VADEMECUM GDPR

Prima di iniziare ad orientarsi nel nuovo mondo del GDPR, che rivisita i già noti adempimenti in materia di privacy, l’azienda deve imparare a dedicare un po’ di tempo all’analisi del “contesto” in cui opera.

In linea con le novità introdotte dalle UNI EN ISO 9001, 14001 e 45001, l’azienda deve comprendere l’importanza e il valore dei dati, nonché gli ingenti danni economici legati a una perdita di informazione.

La prima operazione da fare, allora, è l’analisi del suo contesto aziendale. Per farlo ha necessità di raccogliere tutte le informazioni riguardanti non solo sé stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate.

Tra gli altri, l’azienda deve analizzare i settori di business in cui opera, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni aziendali, le principali categorie di dati trattati, gli eventuali trattamenti gestiti all’esterno e le conseguenti nomine.

Solo dopo tale analisi l’azienda può aggiornare e rivisitare il suo organigramma e funzionigramma in relazione a quanto richiesto dal DGPR:

procedere, quindi, alla riorganizzazione di ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (questi ultimi possono tranquillamente sopravvivere nonostante il RGPD non li contempli, ciò è stato confermato anche dal Garante Privacy), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.

I passi da fare per adeguarsi entro il 25 maggio al GDPR:

1.       Analisi Del contesto: individuazione chiara del contesto aziendale (sia interno che esterno) e definizione delle attività operate e dei processi aziendali;

2.       Valutazione della compliance: raccolta di tutte le informazioni sull’organizzazione aziendale, analisi e valutazione della documentazione in uso;

3.       Creazione del registro dei trattamenti: obbligatorio da 250 dipendenti in su ma inteso “utile” dal Garante della privacy se visto come documento volto a tenere traccia dei trattamenti effettuati da parte del titolare e degli eventuali responsabili e se definisce: le finalità del trattamento, le categorie di interessati e dei dati personali, i destinatari, gli eventuali trasferimenti verso Paesi terzi e una descrizione generale delle misure di sicurezza;

4.       Implementazione della documentazione secondo le prescrizioni della nuova normativa;

5.       Individuazione dei ruoli e delle responsabilità dei soggetti che effettuano il trattamento;

6.       Definizione delle politiche di sicurezza e valutazione dei rischi: accountability;

7.       Processo di Data Breach: al fine di assicurarsi di aver adottato tutte le procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti della violazione subita;

8.       Valutazione d’impatto sulla protezione dei dati personali: al fine di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione agli stessi, implica che il titolare effettui precise e adeguate valutazioni d’impatto privacy. Attraverso tale istituto è possibile, quindi, valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;

9.       Implementazione dei processi per l’esercizio dei diritti dell’interessato;

10.   Individuazione e nomina di un Data Protection Officer (DPO): figura la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (all’interno di un’azienda.