Mancano appena 365 giorni all’entrata in vigore del GDPR che segnerà una svolta importantissima nei processi delle aziende ma anche della pubblica amministrazione.
Tra le novità più importanti ricordiamo:
Data Protection Officer
Privacy by design e privacy by default
Data breach
Data Protection Impact Assessment (DPIA): valutazione di impatto per i trattamenti delicati e ad alto rischio
Diritto alla portabilità dei dati
Obbligo di tenuta dei registri delle attività di trattamento
Pseudonimizzazione dei dati
Designazioni dei responsabili esterni
Predisposizione di procedure e sportelli atti alla facilitazione dei diritti dell’interessato
E molti altri cambiamenti che andranno necessariamente ad impattare sulla quotidianità delle aziende.
Cosa cambierà nella pratica? A differenza della vecchia legge italiana si introdurrà il concetto di accountability ovvero della responsabilizzazione del Titolare del trattamento che ha l’onere di porre in essere una serie di adempimenti che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta.
Questo cambierà radicalmente la percezione della privacy: da adempimento burocratico dovranno essere messi in funzione molti cambiamenti concreti in modo da non essere coinvolti in sanzioni che potranno arrivare fino ai 20 mln di € o addirittura al 4% del fatturato mondiale annuo.
Come le aziende potranno proteggersi a riguardo? Il metodo più semplice è quello di affidarsi ad una persona (o ad un pool) internamente o tramite contratto di servizi/consulenza che assuma il ruolo di Data Protection Officer (o Privacy Officer, italianizzato in Responsabile della protezione dei dati) che coadiuvi il titolare del trattamento nell’adeguamento dei processi alle nuove richieste europee.
Cosa significa questo? Significa che i titolari del trattamento potranno (laddove non sia già obbligatoria la nomina in base ai casi già precisati nel regolamento 679) nominare o un soggetto interno al proprio organigramma o un soggetto esterno come consulente (ma che deve essere regolamentato da contratto) che lo assista nelle procedure di adeguamento. Quello che cambia radicalmente è che tale soggetto deve essere necessariamente un conoscitore approfondito della materia in modo oggettivo (quindi un professionista certificato ISO 17024 rientra perfettamente nei requisiti) ma che non si limiti a conoscere solo la materia “legale” ma che sia anche consapevole di tutta la parte informatica o informatizzata dei processi aziendali.
Altra differenza fondamentale è che se con la vecchia legge si parlava spesso di consulenze una tantum legate ai rinnovi della documentazione cartacea, adesso si dovrà svolgere una sorta di azione di vigilanza continuativa con azioni da compiere in caso di data breach, richiesta di accesso da parte degli interessati, richieste da parte dell’autorità di controllo e così via, motivo per il quale un contratto di assistenza assume una forma di regolamentazione decisamente preferibile.
Saranno pronte le aziende al termine della scadenza ad essere conformi con le nuove richieste?