FederNotizie

L'informazione è per tutti

GDPR in azienda: come fare per mettersi in regola

gdpr-in-azienda-come-fare-per-mettersi-in-regola

Cosa cambia a partire dal 25 maggio 2018 per le aziende nel trattamento dei dati? Lo scopriremo all'interno del nostro articolo di approfondimento. Fino all'entrata in vigore della legge, approvata a livello europeo e gradualemente resa effettiva all'interno dei paesi membri, le caratteristiche del consenso erano le seguenti: libero, informato, specifico, disponibile in forma scritta e sopratttutto revocabile in qualsiasi momento da parte dell'utente.

Con l'introduzione del GDPR, il consenso al trattamento dei dati conserverà le caratteristiche viste in precedenza (libero, informato e specifico) ma dovrà in più essere del tutto inequivocabile. Inoltre dovrà essere in ogni momento revocabile a scelta di chi l'ha prestato. Il titolare dei diritti avrà per legge l'obbligo a mostrare sempre - qualora venisse richiesto - i documenti che attestano il consenso fornito dalla parte interessata. In tal senso, con l'entrata a norma del GDPR, va a modificarsi fortemente quella che si definisce "Prova del consenso". Ecco che ad ogni titolare dei dati non sarà più sufficiente salvare l'IP, bensì avrà l'obbligo di conservare la versione esatta del form che il proprietario dei dati ha sottoscritto e confermato nonché tutto il log della chiamata al server effettuata durante il passaggio dei dati contenuti nel form stesso. Sarà infine necessario certificare tutte queste informazioni apponendo sempre una sigla temporale, senza la quale non saranno da ritenersi valide.

Come garantire la portabilità del dato? Chiunque abbia prestato il proprio consenso a fornire i propri dati personali avrà la capacità, in ogni momento lo ritenesse opportuno, di ricevere copia dei dati che ha comunicato. Questi saranno forniti in formato elettronico, dovranno essere utilizzabili comunemente (quindi divieto assoluto di utilizzare programmi troppi specifici). I dati dovranno quindi essere leggibili e accessibili affinché colui che li ha forniti in prima istanza possa procedere a conservarli e riutilizzarli ed eventualmente poterli trasferire comodamente ad un nuovo titolare dei dati.

Il diritto alla portabilità del dato non è un concetto generico che interessa tutti i dati. Per rientrare all'interno di questa categoria di portabilità è necessario che il dato venga trattato esclusivamente attraverso strumenti automatici e che questo sia fornito solo previo consenso o contratto con l'interessato. Infine, la portabilità riguarda solo il dato "puro" e non invece riguarda i dati cosidetti accessori o derivati, quelli che si generano tramite l'utilizzo di software, come ad esempio i metadati, stringhe di codice che servono ai programmatori per identificare e classificare un determinato dato. Infine, il diritto alla portabilità del dato - nel caso fosse tecnicamente possibile - può avvenire anche direttamente fra i titolari stessi, lasciando così chi ha prestato il consenso più libero.

Veniamo al punto forse più importante, nonché atteso, da parte degli utenti, ossia quello che riguarda il diritto all'oblio. Con l'introduzione del GDPR, tutti coloro che hanno prestato il consenso al trattamento dei propri dati personali avranno il diritto di richiederne la cancellazione in un numero svariato di occasioni. In buona sostanza, chi ha fornito le proprie informazioni in prima istanza potrà avere un maggiore controllo sull'utilizzo che ne viene fatto in seguito. Esistono per legge delle eccezioni piuttosto specifiche al diritto all'oblio. Esse riguardano principalmente ragioni giudiziarie, se ad esempio questo tipo di dato può essere utile al fine di accertamenti in corso, oppure sono legate a un obbligo legale specifico, per lo più avente a che fare con interessi pubblici. Infine, il diritto all'oblio non può essere esercitato nel caso in cui vada a minare il diritto alla libertà d'informazione e di espressione.

Come fare a rispettare i nuovi principi introdotti dal GDPR? Come prima cosa è necessario entrare in confidenza con il termine accountability, che prevede, tra le altre cose, che le aziende con più di 250 dipendenti abbiano un registro di trattamento. Questo registro dovrà contenere la specifica esatta di quali sono i dati che vengono trattati, chi vi ha accesso (sia a livello interno sia a livello esterno) e con che fine. Il registro dovrà inoltre riportare se il dato subisce un eventuale trasferimento su di un server al di fuori dei confini nazionali e quali sono le misure attraverso cui ne viene garantita la sicurezza, oltre alle specifiche di data retention (come e quando poter cancellare i dati). Un nuovo processo aziendale che si renderà necessario a partire dal 25 maggio 2018 sarà quello del DPIA, acronimo della formula inglese Data Protection Impact Assessment. Attraverso la messa in opera di questo processo aziendale il titolare avrà la possibilità di mettere in atto, rendendo perciò di fatto effettivi, quanto previsto dai principi di privacy by default e privacy by design. Inoltre, avrà modo di valutare in ogni singolo caso qual è il rischio collegato ad ogni attività nuova di trattamento dei dati.

Come individurare il Data Protection Officer? Il Data Protection Officer, comunemente abbreviato come DPO, è una nuova figura dell'assetto aziendale che si renderà necessario introdurre dopo l'entrata in vigore del GDPR. Può essere formato da una o più persone fisiche o da una persona giuridica che nell'organizzazione diventerà il riferimento per la gestione di eventuali controversie legate alla protezione dei dati. Non sarà necessario in tutti i casi, ma solo in alcuni, e chiunque venga abilitato a tale mansione non sarà tenuto a svolgerla in senso esclusivo. Avrà un contatto diretto con il consiglio di amministrazione, visto il ruolo chiave e molto delicato che andrà ad occupare. Nonostante ciò non esistono albi che ne certificano le competenze, per lo meno ad ora. Esistono dei casi in cui è necessario nominare il DPO: 1) se i dati trattati sono utilizzati in ambito giudiziario 2) se si tratta di un ente pubblico 3) se il trattamento dei dati richiede un monitoraggio di chi li ha forniti su scala ampia.

Cosa fare in caso di "data breach"? Se si assiste alla violazione dei dati, per essere conformi con quanto indicato dal GDPR, sarà necessario fornire immediatamente i contatti del DPO, assieme a un verbale che indica quando è avvenuta la violazione, quanti dati sono stati interessati e cosa si è messo in atto nell'immediato come contromisura di sicurezza.