Quali sono oggi le priorità per le aziende impegnate nel percorso di adeguamento al nuovo Regolamento Europeo GDPR sulla protezione dei dati personali?
Il tema è stato al centro del Laboratorio pomeridiano, nel corso del Cybersecurity Summit 2018, lo scorso 21 marzo a Roma, momento di approfondimento e discussione sul tema “IMPLEMENTAZIONE DEL REGOLAMENTO GDPR (PRIVACY UE): BEST PRACTICES, RACCOMANDAZIONI E ASPETTI CRITICI DA CONSIDERARE”, con la partecipazione di 3 esperti, Cosimo Comella, Garante per la Protezione dei dati personali, Roberto Fermani, Responsabile Funzione Privacy, TIM e Alessandro Cecchetti, General Manager, Colin & Partners.
Secondo Cosimo Comella del Garante, due adempimenti basilari molto importanti, come erano stati indicati già 1 anno fa in una comunicazione del Garante alle Pubbliche Amministrazioni italiane, sono
- provvedere alla nomina del DPO (Data Protection Officer, o anche RPD, Responsabile Protezione Dati)
- predisporre il Registro dei trattamenti.
Quest’ultimo è uno strumento di auto-analisi molto utile: in precedenza esisteva il DPS, ma aveva una natura più tecnica. Il nuovo registro invece è un embrione di quella che dovrebbe essere una completa analisi dei rischi, da cui far poi dipendere misure di sicurezza che non sono indicate ma dipendono dalla singola situazione. Per quanto riguarda il DPO, il riferimento sono le Opinion del Gruppo di Lavoro Articolo 29[1], ma si segnalano anche, sulle pagine del sito del Garante, le Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato[2].
Inoltre, tra le novità riportate sempre sul sito del Garante (http://www.garanteprivacy.it/regolamentoue) , si segnalano le procedure online e la modulistica per la gestione delle notifiche, oltre che per la nomina del responsabile del trattamento dei dati.
Roberto Fermani, Responsabile Funzione Privacy di TIM, ha approfondito il tema della gestione e notifica di eventuali data breach, suggerendo le seguenti Best practices: innanzi tutto, disporre di una procedura scritta e ben dettagliata per l’Incident Response, che sia una guida condivisa delle attività da svolgere in caso di incidente. Non trascurare il tema delle terze parti, anzi, possibilmente allertare tutti i fornitori perché inviino segnalazioni nel caso in cui siano loro vittima di un data breach che coinvolge dati dei propri clienti. Questo perché sappiamo oggi che in molti gravi data breach ha giocato un ruolo chiave il coinvolgimento delle terze parti come anello debole della catena. Un altro tema importante è quando decidere di fare la notifica al Garante: secondo Fermani, in caso di dubbio è comunque meglio procedere a notificare (anche perché il Garante non sanziona in genere la violazione – i problemi nascono solo quando non viene fatta o avviene in ritardo). Altro aspetto importante è poi la formazione delle persone, anche sulla procedura di gestione di un eventuale incidente.
Infine, dal punto di vista di Alessandro Cecchetti di Colin & Partners, gli step critici in un progetto di GDPR compliance si possono sintetizzare nei seguenti elementi:
- Partire da un’ampia analisi, su sistemi, applicativi e procedure dell’azienda, in modo da far discendere da questa le scelte sulle misure da attuare, e su chi avrà il compito di compierle;
- Considerare da subito il tema del Privacy-by-design; questo è infatti un elemento che sarà sempre iniziale in qualsiasi progetto ICT, e oggi il rischio è che progetti intrapresi negli ultimi anni, con un coinvolgimento pesante di dati personali (pensiamo a un nuovo CRM o a una soluzione di HR, Sales, ecc.), siano completamente da riconsiderare, con il rischio quindi di vanificare gli investimenti pregressi;
- Fare molta attenzione al fatto che le scelte dettate dal GDPR sono strategiche per l’azienda, vanno fatte dai vertici aziendali, non solo un ambito esclusivo dell’ICT interna;
- Considerare con attenzione le modifiche da apportare alla contrattualistica: capire bene cosa è necessario fare, gestire le modifiche, concordarle con le terze parti, in modo da avere tutto conforme quanto prima;
- Non sottovalutare la documentazione, necessaria anche per l’accountability e comunque richiesta per più aspetti, per l’informativa e il consenso, per comunicare agli interessati dove sono allocati i dati, il periodo di retention e quant’altro (quello che si scrive sarà una conseguenza delle scelte fatte in precedenza).
Un ulteriore tema emerso nel corso del workshop è stato quello relativo alla nomina del Responsabile del trattamento (nel nuovo regolamento europeo “data processor”), ossia la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Secondo il GDPR Responsabile del trattamento è un SOGGETTO ESTERNO all’azienda: il titolare del trattamento potrà anche distribuire incarichi interni (es. responsabile dell’area legale, dell’area marketing), ma la responsabilità rimarrà sua e dell’eventuale responsabile (esterno) nominato. Ciò non toglie che quelli che, sulla base del precedente Codice Privacy (D.L. n. 196/2003) erano stati individuati come “responsabili interni” del trattamento dei dati, rappresentino oggi comunque figure importanti per le aziende, perché hanno acquisito negli anni un’esperienza e una sensibilità sugli aspetti legati alla privacy che è bene rimanga.
A cura di:
Elena Vaciago,
Associate Research Manager, The Innovation Group
