Blog

Gestiamo progetti di certificazione in conformità alle normative internazionali ISO.

GDPR: COME FUNZIONA, LE MISURE DA ADOTTARE E LA FIGURA DEL DPO

GDPR

Il GDPR si sa ha apportato importanti modifiche alla disciplina sul trattamento dei dati personali, creando parecchio clamore forse, anche, per gli elevati importi delle sanzioni applicabili.

In realtà, malgrado le preoccupazioni suscitate dalle sanzioni l’approccio del GDPR non è poi così stringente di quanto non lo fosse già la precedente normativa. Molti titolari del trattamento, in particolare le PMI, non intravedono nell’adeguamento al GDPR un’opportunità di crescita e di investimento per le proprie aziende. Anzi, lo percepiscono come adempimento obbligatorio e formale oltre che un costo, non considerando che maggiori sarebbero quelli relativi alle sanzioni e al porre rimedio a problemi come un eventuale data breach.

Per capire l’importanza dell’adeguamento alle norme, basta farsi un po’ i conti.

Ciò che impedisce ai titolari del trattamento di avere una visione “positiva”, è senza dubbio la complessità della disciplina dal punto di vista del contenuto e dell’ applicabilità operativa.

Per questo motivo, un titolare del trattamento che non ha mai curato l’aspetto data protection nell’ambito della propria attività, deve necessariamente adeguare la propria azienda ad una normativa che risulta praticamente impossibile applicare correttamente per i “non addetti ai lavori”. In questo caso è fondamentale il ruolo dei Data Protection Officer, che hanno l’importante compito di tradurre il linguaggio del GDPR e trasmetterne e divulgare i principi.

L’approccio privacy basato sul rischio

La normativa sulla privacy si basa su due nuovi fondamentali principi: la Privacy by Design e la Privacy by Default. Il consenso al trattamento dei dati personali è sempre valido, esplicito e revocabile

La Privacy by Design, stabilisce che ogni progetto deve essere pensato in modo da garantire la privacy degli utenti, riservando e proteggendo i loro dati personali coinvolti in quel determinato progetto. In questo caso, quindi, non si segue uno standard fisso, bensì occorre una tutela ad hoc per ogni singola situazione.

Con la Privacy by Default, invece, si stabilisce che le aziende devono trattare i dati personali solo ed esclusivamente nella misura necessaria per quelli che sono gli scopi previsti, e solo per un tempo strettamente necessario.

Questi principi, dunque, non fanno altro che guidare i titolari del trattamento verso l’adozione di misure e cautele che consentono di trattare i dati personali limitando il più possibile i rischi per gli interessati. L’approccio basato sul rischio, quindi, può tradursi come l’analisi preventiva del contesto del trattamento, del grado di probabilità e di gravità dei potenziali rischi ai quali è esposto l’interessato e la predisposizione di piani di azione volti a limitare il verificarsi degli eventi a rischio.

È un processo di autovalutazione, all’esito del quale il titolare deve adottare le cautele e le misure che risultino più idonee a tutelare e proteggere gli interessati e i relativi dati personali.

Il principio di accountability, insieme all’approccio privacy basato sul rischio, determina il superamento del concetto di misure “minime di sicurezza” della precedente disciplina, colpevole di aver generato nei titolari la percezione errata che la conformità alla normativa e la tutela dei dati personali potesse essere conseguita mediante adempimenti meramente formali, scollegati dall’applicazione pratica e quotidiana di trattamento.

La valutazione di impatto come best practice e adempimento obbligatorio

Sulla base dei citati principi e dell’approccio basato sul rischio, il GDPR ha previsto un adempimento obbligatorio, la cosiddetta valutazione di impatto Data Protection Impact Assessment, finalizzato a tutelare i casi in cui i rischi ai quali si espone l’interessato siano particolarmente elevati e mettano in pericolo i diritti e le libertà delle persone fisiche.

Senza entrare nel merito degli aspetti interpretativi e applicativi della norma, la valutazione di impatto e i suoi benefici, sono importantissimi per i titolari del trattamento, in termini di conformità e di adeguatezza nella gestione del rischio.

La predisposizione di una valutazione di impatto da parte di un titolare del trattamento non obbligato figurerebbe senz’altro come l’adozione di una best practice, in perfetta sintonia con l’applicazione del principio di accountability e dell’approccio basato sul rischio.

La figura del DPO (Data Protection Officer)

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il Responsabile della protezione dei dati riferisce direttamente al vertice, è indipendente. Inoltre, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti.

In realtà ancora oggi persistono troppi dubbi su cosa sia il DPO. È una figura rilevante, ma certamente non è il “centro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. È non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento attuati al titolare. È altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.

Condividi l'articolo

Share on twitter
Tweet
Share on facebook
Share
Share on pinterest
Pin it
Share on linkedin
Share
ks certification logo neg
KS Certification Sagl Via Monte Carmen 15 – 6900 Lugano T. +41 764 339 546  – info@kscert.com
COPYRIGHT 2019. TUTTI I DIRITTI RISERVATI CHE-247.071.741 CAPITALE 20.000.-CHF PRIVACYCOOKIESCONTATTI