Adeguarsi al GDPR in Italia.

In questo periodo molte imprese italiane si stanno muovendo per avviare o gestire un progetto di adeguamento al nuovo Regolamento europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati – RGPD). Ma quante lo stanno facendo nel modo corretto?Quante stanno pianificando o hanno avviato un progetto strutturato che gli consentirà, entro il 25 maggio 2018, di avere la certezza che nulla sia stato omesso o tralasciato?

Le azioni preliminari

Prima di partire in qualunque direzione, occorre che l’azienda rifletta, si ponga alcune domande fondamentali e faccia delle analisi preliminari del suo contesto aziendale raccogliendo tutte le informazioni riguardanti non solo sé stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate. È altamente probabile, infatti, che se l’azienda italiana è all’interno di un gruppo di imprese con casa madre all’estero, quest’ultima abbia già strutturato un progetto di adeguamento al RGPD e possa quindi fornire all’azienda italiana delle utili indicazioni su come muoversi. Viceversa, se la casa madre è l’azienda italiana, sarà questa a doversi preoccupare di organizzare un progetto di adeguamento per le sue controllate all’estero.

In ogni caso, l’azienda italiana dovrà muoversi in autonomia, quindi dovrà comunque raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte. Tra gli altri, l’azienda deve analizzare i settori di business in cui opera, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e conseguenti nomine.

Il tutto per arrivare ad avere un quadro completo che consenta di schematizzare (immagine che segue) e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (questi ultimi possono tranquillamente sopravvivere nonostante il RGPD non li contempli, ciò è stato confermato anche dal Garante Privacy), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.

Fatto ciò, l’azienda si potrà interrogare su come dovrà essere poi organizzato il progetto di adeguamento e, soprattutto, chiedersi se è in grado di gestire il progetto solo con proprie risorse interne o avvalersi di consulenza esterna.

In questa fase è importante che l’azienda comprenda l’importanza ed il valore che hanno le informazioni che possiede (i dati personali), soprattutto se relativi ai propri clienti. Quindi l’azienda non deve tanto interrogarsi su “Quanto costa un progetto di adeguamento al RGPD?” ma “Quanto costa non adeguarsi al RGPD?” o “Quanto costa perdere delle informazioni e subire una violazione?”. Se un’azienda subisce una perdita di informazioni (dati) rilevanti, perde denaro, molto denaro, ciò è incontrovertibile. 

Un progetto qualificato di adeguamento al RGPD dovrà quindi ricevere non solo un endorsement dal management ma coinvolgere la governance dell’impresa che possa assicurare le coperture economiche necessarie all’adeguamento da attuare immediatamente.

In ogni caso, a prescindere dalla scelta che l’azienda opererà, da un punto di vista generale, sarà opportuno procedere con un modello di progetto di adeguamento al RGPD che consenta di:

• assicurare un’applicazione coerente e omogenea delle norme a protezione del trattamento dei dati personali. In tal senso, è necessario svolgere una identificazione, comprensione e classificazione dei requisiti normativi indicati non solo dal RGPD, ma monitorando anche costantemente l’uscita di disposizioni e linee guida emanate dalle Autorità preposte (es. Linee guida del Gruppo ex art. 29);
• valutare le implicazioni che le nuove disposizioni determinano sui processi/sistemi già esistenti;
• stabilire quali sono le nuove disposizioni che presentano un maggiore impatto dal punto di vista delle azioni che le stesse devono intraprendere per adeguarsi al RGPD.

Effettuate tutte le opportune valutazioni preliminari sin ad ora illustrate, si può quindi iniziare ad agire concretamente per modificare i processi e le attività dell’azienda e portarli a conformità del RGPD, non dimenticandosi di adempiere comunque ai provvedimenti del Garante Privacy che resteranno in vigore anche dopo il 25 maggio 2018.

 

Registro dei trattamenti di dati personali

Il primo adempimento che è opportuno porre in essere è senza dubbio è l’adozione del Registro dei trattamenti di dati personali. È possibile definirlo come un “documento” ma solo se lo si intende nel senso ampio del termine, come mezzo/strumento che provi l’esistenza di qualcosa. Il Registro dei trattamenti ha dei contenuti obbligatori previsti specificamente dal RGPD ma ciò non toglie che possa che comprendere anche altre informazioni non obbligatorie, per garantire il perfetto allineamento con i principali «oggetti» aziendali (mappa dei processi, organigramma aziendale, portafoglio fornitori, mappa degli applicativi). 

Tutte le informazioni raccolte per popolare il Registro dei trattamenti, torneranno utili per quando poi, in una fase successiva, andranno identificati e valutati i principali gap da colmare per essere compliant al RGPD. Ovvero per definire e redigere, alla luce dei gap evidenziati, un piano di adeguamento complessivo (action plan), nonché la implementazione ed il conseguente monitoraggio degli interventi previsti seguendo lo schema qui di seguito:

• definizione, formalizzazione e implementazione della struttura organizzativa della data protection, sia a livello di macro-struttura sia a livello di micro-struttura (ruoli e responsabilità);
• sensibilizzazione e formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito del modello di funzionamento della data protection, ma anche della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
• definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, sia in modo diretto (es. gestione dei diritti degli interessati) sia in modo indiretto (es. gestione misure di sicurezza tecnico-organizzative);
• stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali) e avvio della relativa adozione, anche verso l’esterno;
• definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali (es. sistema di deleghe), ivi compresa la realizzazione di internal audit volti a evidenziare eventuali non conformità. A valle dell’intero processo di adeguamento deve essere quindi effettuato un controllo periodico in merito alla corretta adozione del modello di funzionamento della data protection ed elaborazione di eventuali azioni correttive, con conseguente aggiornamento del modello stesso.                                 

 

 

Fonte: agendadigitale.eu