La privacy in azienda tra nuovi adempimenti e cultura digitale
E’ ufficialmente iniziato il countdown che ci porterà alla data del 25 maggio 2018, scelta dal legislatore Europeo, per l’applicabilità in tutti i paesi della UE, del Regolamento Generale sulla protezione dei dati (GDPR).
Il Regolamento disegnerà un quadro normativo sulla privacy comune in tutta Europa e introdurrà nel nostro ordinamento giuridico principi e obblighi nuovi rispetto all’attuale normativa, oltre ad un nuovo modo di affrontare la gestione e la protezione dei dati personali.
Un approccio flessibile alla privacy: libertà e responsabilità
Il Regolamento, infatti, imporrà ai titolari del trattamento di approcciare il tema della privacy in modo meno formale e rigido lasciando libertà sulle valutazioni e sulla progettazione di qualsiasi processo aziendale che abbia ad oggetto il trattamento dei dati e sulle misure di sicurezza da implementare.
Gli innovativi principi della privacy by design, privacy by default e accountability segneranno un cambio di prospettiva per ogni titolare del trattamento che dovrà, prima ancora di iniziare il trattamento dei dati, analizzare il contesto del trattamento, individuare i processi interni con i quali verranno trattati i dati e le risorse informatiche utilizzate.
Il processo di progettazione, quindi, avrà la finalità di:
- analizzare la natura dei dati personali, il contesto e le finalità del trattamento;
- individuare i soggetti che all’interno dell’organizzazione del titolare del trattamento sono autorizzati a trattare i dati personali;
- valutare le minacce ed il rischio per l’integrità e la perdita dei dati e conseguentemente individuare le misure di sicurezza tecniche ed organizzative adeguate.
Misure di sicurezza: dalla rigidità alla flessibilità
Proprio quest’ultimo aspetto, relativo alle misure di sicurezza, rappresenta un’importante novità rispetto a quanto stabilito dal codice della privacy. Infatti, il Regolamento non individua più l’elenco di misure di sicurezza minime, ma lascia al titolare del trattamento ampia scelta decisionale sulle misure di sicurezza fisiche ed organizzative più adatte a proteggere i dati personali. In particolare, il titolare del trattamento dovrà tenere conto della natura dei dati, della finalità del trattamento, del contesto e dei costi di attuazione delle misure di sicurezza.
Documentazione e responsabilità: il nuovo approccio del GDPR
La libertà di valutazione e di scelta riconosciuta dal Regolamento è però bilanciata dall’obbligo di provare, con specifica documentazione, l’analisi e le scelte fatte ed il livello di sicurezza adottato. Dovrà essere documentata ad esempio: l’analisi dei rischi, o in alcuni casi la P.I.A. (privacy impact assessment), l’organigramma privacy ed i relativi incarichi alle persone autorizzate a trattare i dati, gli accordi con i fornitori e le certificazioni di sicurezza dei fornitori di sistemi informatici ( hosting, videosorveglianza ecc.)
Con l’entrata in vigore del Regolamento, quindi, cambierà il modo di rispettare la normativa della privacy. Non ci si dovrà limitare a produrre documentazione “preconfezionata”, magari compilata da un software, come ad esempio avveniva con la stesura del DPS, ma si dovrà avere un approccio molto più flessibile e dinamico.
Personalizzazione degli adempimenti privacy: un’opportunità di riorganizzazione
Ogni Titolare del trattamento, sulla base delle proprie analisi e valutazioni, elaborerà il proprio modello organizzativo, personalizzando così gli adempimenti privacy alle reali esigenze e attività svolte. Legare, infatti, la responsabilità del titolare del trattamento alle sue valutazioni ed alla capacità di documentarle è un considerevole cambiamento culturale che porterà a considerare il tema della privacy, soprattutto nel mondo business, non più come un adempimento formale e burocratico, ma come un’opportunità per organizzare, o riorganizzare i propri processi interni.
Inoltre, gestire i cambiamenti introdotti dal Regolamento in modo professionale e con la giusta consapevolezza determinerà anche effetti positivi dal punto di vista economico finanziario, in quanto la progettazione e definizione di un proprio modello organizzativo e la capacità di dimostralo permetterà di:
- valorizzare il patrimonio di informazioni che ogni azienda tratta al suo interno;
- adottare le misure di sicurezza fisiche ed organizzative adeguate alle reali esigenze con notevoli risparmi sugli investimenti soprattutto tecnologici;
- garantire la giusta tutela di dette informazioni ed evitare o limitare, anche tramite specifiche polizze assicurative, la responsabilità civile e penale, nonché le gravose sanzioni previste dal Regolamento.
GDPR e tecnologia: la sfida della cultura digitale
Affrontare questo cambiamento con consapevolezza è ancora più importante se si pensa che l’entrata in vigore del Regolamento avviene in un momento storico caratterizzato dalla tendenza di basare qualsiasi processo di business su l’utilizzo di tecnologie informatiche che velocizzano i processi lavorativi, lo scambio delle informazioni e ne permettono la condivisione con un numero sempre maggiore di soggetti.
L’utilizzo di queste tecnologie rende sicuramente efficiente ed efficace il processo di business, ma espone i dati personali trattati a rischi di perdita di integrità e di sicurezza. L’evoluzione tecnologica e l’alta propensione all’utilizzo di questa tecnologia rendono ormai necessario acquisire un grado di conoscenza e professionalità sempre più elevato.
Infatti, spesso, la rincorsa all’evoluzione tecnologica è accompagnata da una scarsa “cultura digitale”, cioè limitata “capacità” di gestire il cambiamento digitale con metodi e soluzioni diverse rispetto a quelli tradizionali.
Acquisire la cultura digitale, intesa come consapevolezza, capacità e professionalità tecnica e giuridica in ambito digitale è il primo passo per poter approcciare nel modo corretto i nuovi adempimenti introdotti dal Regolamento.
Il GDPR nel contesto normativo digitale
Inoltre, la cultura digitale diventa fondamentale se si considera che negli ultimi anni il legislatore ha emanato numerose leggi finalizzate a gestire l’evoluzione tecnologica e l’utilizzo degli strumenti informatici nei processi aziendali e della P.A.
I vari temi giuridici relativi al documento informatico, quali il valore del documento informatico, gli strumenti di validazione informatica, la fattura elettronica e la conservazione digitale, sono stati oggetto di specifiche leggi e norme tecniche che inevitabilmente hanno introdotto obblighi e adempimenti finalizzati a gestire il processo di formazione, gestione, archiviazione e conservazione del documento informatico.
Detto panorama normativo si caratterizza per la presenza di leggi in stretto collegamento tra di loro dove la normativa sulla privacy rappresenta l’elemento comune ai vari aspetti giuridici richiamati con i quali si integra ed è complementare.
Pertanto, la corretta applicazione del Regolamento Europeo passa, oltre che da un cambiamento culturale che permette, da un lato di attribuire la giusta importanza alle operazioni di trattamento dati personali e, dall’altro, di acquisire maggiore sensibilità e consapevolezza dei vantaggi e dei rischi legati all’utilizzo della tecnologia informatica, anche da una visone chiara e ampia di tutte quelle che sono le problematiche tecnico giuridiche legate al digitale ed alla loro applicazione pratica.
A cura di: Andrea Battistella
Avvocato cassazionista, DPO, Digital Transformation Advisor, titolare dello Studio Legale Battistella (www.battistella.legal).
Nell’arco di quindici anni di attività ha maturato una profonda expertise negli aspetti giuridici connessi ai temi legali del data protection, della digitalizzazione dei processi aziendali, con particolare riferimento alla gestione del ciclo di vita del valore legale del documento informatico ed alla gestione delle attività di e-commerce.
Relatore in workshop ed eventi formativi, nonché autore di articoli e pubblicazioni. sui temi relativi alla firma digitale e data protection.
Presidente dell’associazione culturale Centro Studi Informatica Giuridica (CSIG) di Pescara e socio fondatore dell’Associazione Prodigitale, associazioni che promuovono la diffusione della cultura digitale in campo giuridico ed economico.