Cominciamo dalle basi. Ormai è noto, il GDPR (Regolamento generale sulla protezione dei dati) è il nuovo fulcro della legislazione europea sulla privacy.
Ogni aspetto della nostra vita ruota intorno ai dati. Dai social media, alle banche, ai rivenditori e ai governi, quasi tutti i servizi che utilizziamo implicano la raccolta e l’analisi dei nostri dati personali. Infatti, si considerano dati personali:
- il nome, il cognome, l’indirizzo;
- il numero di telefono, il codice fiscale, la partita IVA;
- dati inerenti al nucleo familiare e alla professione esercitata, dati bancari e assicurativi;
- fotografie, video, registrazioni audio;
- dati relativi al reddito, al profilo creditizio;
- dati inerenti allo stato di salute del soggetto, la vita sessuale, l’opinione politica.
Chiunque venga a contatto con questi e altri dati è soggetto alla nuova normativa Privacy. In relazione all’attività che esercitano (professionale o imprenditoriale che sia), trattano dati personali di clienti, fornitori, cittadini privati, dipendenti, utenti online, pazienti, soci, associati. In particolare, il GDPR riguarda:
- tutte le aziende indistintamente (società di capitali, società di persone, ditte individuali);
- tutti i liberi professionisti;
- tutti gli enti statali/pubbliche amministrazioni;
- tutte le associazioni;
- tutte le cooperative.
Chi ha la responsabilità di gestire e tutelare i dati all’interno dell’azienda?
Il GDPR pone con forza l’accento sulla “responsabilità” (accountability in inglese) di titolari e responsabili del trattamento. Il cosiddetto Accountable, ovvero il titolare, ha l’obbligo di essere responsabile nella gestione dei dati personali. Non solo in base a ciò che il Regolamento Europeo sancisce, ma anche per etica e buon senso, perché i dati personali che custodisce non gli appartengono, ma gli sono stati affidati unitamente al dovere di proteggerli.
Cosa deve fare quindi l’Accountable? Adottare comportamenti proattivi e attivare misure idonee per soddisfare i requisiti del Regolamento al fine di tutelare i diritti degli interessati. Tale ragione implica, oltre al diventare responsabile di tutto ciò, il dover agire: nello specifico, essere in grado di rendere conto delle azioni fatte o delegate, con valutazioni svolte alla base delle scelte operate. Ma soprattutto di dimostrare in quale maniera, passibile di verifica, venga esercitata la responsabilità.
Ecco alcune semplici regole di accountability che consentono al titolare del trattamento di mettere in pratica una efficace Data Protection:
#1 Mappatura dei trattamenti
Identificare i tipi di dati trattati, le finalità, la durata del trattamento, la provenienza, le modalità di raccolta e di conservazione, i soggetti coinvolti.
#2 Inventario degli asset
Istituire e aggiornare un inventario degli asset per valutarne le vulnerabilità, che possa influenzare l’analisi di rischio definendo le misure di sicurezza applicabili sui dati per garantire la riservatezza, integrità e disponibilità dei dati.
#3 Individuazione dei responsabili esterni e degli addetti interni
Determinare coloro che tratteranno i dati e che utilizzeranno gli asset; in quest’ambito è opportuno che il titolare li informi e li formi con uno specifico programma.
#4 Analisi dei rischi e misure di sicurezza
Effettuare la stima del rischio per ogni tipo di trattamento e, di conseguenza, di dato gestito, valutando le minacce incombenti e l’impatto come danno reputazionale ed economico.
#5 Mitigazione dei rischi
Valutare l’adozione delle misure di sicurezza adeguate, al fine di ridurre il rischio di problemi sui dati.
#6 Redazione delle informative
Compilare le informative sul trattamento dei dati personali rivolte agli interessati e la conseguente gestione del consenso da parte degli stessi.
#7 Redazione degli atti di nomina
Redigere formalmente un elenco degli addetti designati e dei responsabili esterni del trattamento, con l’istituzione di ruoli e responsabilità in materia di trattamento dei dati e previsione di formazione ai dipendenti su queste tematiche.
#8 Eventuale obbligo di nomina del DPO (Data Protection Officer)
ll DPO, in italiano RPD, è il Responsabile della Protezione dei Dati. Ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i principi e le indicazioni del Regolamento europeo. Il DPO è quindi un consulente tecnico, con potere esecutivo e i suoi compiti sono essenzialmente tre: informare, sorvegliare e cooperare. Inoltre, funge anche da tramite fra l’organizzazione e l’autorità. CYBEROO51 è in grado di fornire per la tua azienda una figura di Data Protection Officer as a Service. Contattaci!
Le regole di accountability non finiscono qui. Continua a seguire le nostre news per maggiori informazioni sul GDPR e la figura dell’Accountable: ogni azienda ne ha uno, e per la tua potresti essere tu!
La conformità al GDPR è continua, non un’attività una tantum. Il semplice fatto di disporre delle giuste procedure non significa essere e rimanere conforme.
Non basta adeguarsi al GDPR, bisogna mantenersi compliant anche con il passare del tempo. È quindi necessario monitorare e verificare costantemente le decisioni che impattano sul trattamento di dati personali: dall’avvicendarsi del personale, al passaggio allo Smart Working, ai nuovi protocolli COVID, all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web fino all’innovazione dei propri modelli di business.