di Marilena Hyeraci*
Il Regolamento Ue sulla protezione dei dati personali (Gdpr) è entrato in vigore lo scorso 25 maggio, apportando novità di rilievo alla disciplina vigente. Si forniscono di seguito alcuni suggerimenti pratici per un’applicazione appropriata della nuova normativa europea.
1. Mappatura e analisi. Ogni titolare (persona fisica o giuridica che determina finalità e mezzi con cui sono trattati i dati) e responsabile (persona fisica o giuridica che tratta i dati per conto del titolare) è chiamato a predisporre una mappatura dei dati personali (intesi come qualsiasi informazione riguardante una persona fisica identificata o identificabile), delle piattaforme e dei sistemi (locali e/o globali) utilizzati delle persone che sono – anche indirettamente – coinvolte nel trattamento dei dati personali (per trattamento si intende qualsiasi operazione applicata a dati personali, con o senza strumenti automatizzati).
2. Soggetti. Il Gdpr pone l’accento sul principio di accountability di titolare e responsabile e sul fatto che gli stessi debbano fare un’analisi e valutazione dei rischi connessi al trattamento dei dati personali che svolgono, e devono identificare e porre in essere garanzie adeguate a detti rischi. In conseguenza, figure quali referenti privacy (interni e/o esterni), responsabili della protezione dei dati (Data Protection Officer o Dpo), assumono un ruolo chiave nel modello organizzativo privacy.
3. Documenti. Il Gdpr introduce regole chiare e precise in tema di contenuti e forma della documentazione sulla privacy (informative, consensi, accordi, registro dei trattamenti e dei soggetti). Detta documentazione deve essere predisposta e utilizzata in contesti operativi aziendali ordinari, ma anche in contesti straordinari (fusioni o acquisizioni), nonché in fasi patologiche (a titolo esemplificativo, indagini interne avviate dalle aziende, procedimenti giudiziari).
4. Formazione. La formazione in materia di privacy è una conseguenza imprescindibile derivante dal principio di accountability e del fatto che ogni titolare/responsabile siano chiamati a valutare ed assumersi il rischio connesso al trattamento dei dati personali che svolgono. Un modello organizzativo sulla privacy per essere efficace deve trasmettere i suoi principi e contenuti ai soggetti coinvolti nei singoli processi di trattamento di dati personali.
5. Quadro normativo. L’Italia ha adottato solo uno schema di decreto attuativo del Gdpr, lasciando pertanto molti temi applicativi e interpretativi aperti, per esempio in materia di indagini interne in contesti transnazionali, oppure in relazione alle piattaforme whistleblowing che coinvolgano più Paesi. Titolare e responsabile sono chiamati a monitorare l’evoluzione della normativa, tenendo in considerazione gli eventuali contesti internazionali e/o gli ambiti interdisciplinari di volta in volta rilevanti.
Quello legato alla privacy è uno dei rischi che management e funzioni interessate sono chiamati a tenere in considerazione in sede di definizione e valutazione strategica dei rischi legali e di non conformità della azienda cui fanno parte. Cosa titolare e responsabile non devono certamente fare è sottovalutarlo, banalizzando le analisi sottostanti alla documentazione da produrre. Il Gdpr ribadisce come i temi privacy non rappresentino una check-list da compilare, ma sono da ricondurre all’etica aziendale e alla fiducia nei confronti dei portatori di interessi coinvolti, da guadagnare e mantenere. Un tema pertanto non solo da quantificare in termini di sanzioni, ma piuttosto di competitività sul mercato. (riproduzione riservata)
*partner, Paul Hastings
Fonte: