La privacy in azienda tra nuovi adempimenti e cultura digitale

A cura di:Andrea Battistella Ore

E’ ufficialmente iniziato il countdown che ci porterà alla data del 25 maggio 2018, scelta dal legislatore Europeo, per l’applicabilità in tutti i paesi della UE, del Regolamento Generale sulla protezione dei dati (GDPR).

Il Regolamento disegnerà un quadro normativo sulla privacy comune in tutta Europa e introdurrà nel nostro ordinamento giuridico principi e obblighi nuovi rispetto all’attuale normativa, oltre ad un nuovo modo di affrontare la gestione e la protezione dei dati personali.

Il Regolamento, infatti, imporrà ai titolari del trattamento di approcciare il tema della privacy in modo meno formale e rigido lasciando libertà sulle valutazioni e sulla progettazione di qualsiasi processo aziendale che abbia ad oggetto il trattamento dei dati e sulle misure di sicurezza da implementare.

Gli innovativi principi della privacy by design, privacy by default e accountability segneranno un cambio di prospettiva per ogni titolare del trattamento che dovrà, prima ancora di iniziare il trattamento dei dati, analizzare il contesto del trattamento, individuare i processi interni con i quali verranno trattati i dati e le risorse informatiche utilizzate.

Il processo di progettazione, quindi, avrà la finalità di:

  • analizzare la natura dei dati personali, il contesto e le finalità del trattamento;
  • individuare i soggetti che all’interno dell’organizzazione del titolare del trattamento sono autorizzati a trattare i dati personali;
  • valutare le minacce ed il rischio per l’integrità e la perdita dei dati e conseguentemente individuare le misure di sicurezza tecniche ed organizzative adeguate.

Proprio quest’ultimo aspetto, relativo alle misure di sicurezza, rappresenta un’importante novità rispetto a quanto stabilito dal codice della privacy. Infatti, il Regolamento non individua più l’elenco di misure di sicurezza minime, ma lascia al titolare del trattamento ampia scelta decisionale sulle misure di sicurezza fisiche ed organizzative più adatte a proteggere i dati personali. In particolare, il titolare del trattamento dovrà tenere conto della natura dei dati, della finalità del trattamento, del contesto e dei costi di attuazione delle misure di sicurezza.

La libertà di valutazione e di scelta riconosciuta dal Regolamento è però bilanciata dall’obbligo di provare, con specifica documentazione, l’analisi e le scelte fatte ed il livello di sicurezza adottato. Dovrà essere documentata ad esempio: l’analisi dei rischi, o in alcuni casi la P.I.A. (privacy impact assessment), l’organigramma privacy ed i relativi incarichi alle persone autorizzate a trattare i dati, gli accordi con i fornitori e le certificazioni di sicurezza dei fornitori di sistemi informatici ( hosting, videosorveglianza ecc.)

Con l’entrata in vigore del Regolamento, quindi, cambierà il modo di rispettare la normativa della privacy. Non ci si dovrà limitare a produrre documentazione “preconfezionata”, magari compilata da un software, come ad esempio avveniva con la stesura del DPS, ma si dovrà avere un approccio molto più flessibile e dinamico. Ogni Titolare del trattamento, sulla base delle proprie analisi e valutazioni, elaborerà il proprio modello organizzativo, personalizzando così gli adempimenti privacy alle reali esigenze e attività svolte. Legare, infatti, la responsabilità del titolare del trattamento alle sue valutazioni ed alla capacità di documentarle è un considerevole cambiamento culturale che porterà a considerare il tema della privacy, soprattutto nel mondo business, non più come un adempimento formale e burocratico, ma come un’opportunità per organizzare, o riorganizzare i propri processi interni.

Inoltre, gestire i cambiamenti introdotti dal Regolamento in modo professionale e con la giusta consapevolezza determinerà anche effetti positivi dal punto di vista economico finanziario, in quanto la progettazione e definizione di un proprio modello organizzativo e la capacità di dimostralo permetterà di:

  • valorizzare il patrimonio di informazioni che ogni azienda tratta al suo interno;
  • adottare le misure di sicurezza fisiche ed organizzative adeguate alle reali esigenze con notevoli risparmi sugli investimenti soprattutto tecnologici;
  • garantire la giusta tutela di dette informazioni ed evitare o limitare, anche tramite specifiche polizze assicurative, la responsabilità civile e penale, nonché le gravose sanzioni previste dal Regolamento.

Affrontare questo cambiamento con consapevolezza è ancora più importante se si pensa che l’entrata in vigore del Regolamento avviene in un momento storico caratterizzato dalla tendenza di basare qualsiasi processo di business su l’utilizzo di tecnologie informatiche che velocizzano i processi lavorativi, lo scambio delle informazioni e ne permettono la condivisione con un numero sempre maggiore di soggetti.

L’utilizzo di queste tecnologie rende sicuramente efficiente ed efficace il processo di business, ma espone i dati personali trattati a rischi di perdita di integrità e di sicurezza. L’evoluzione tecnologica e l’alta propensione all’utilizzo di questa tecnologia rendono ormai necessario acquisire un grado di conoscenza e professionalità sempre più elevato.

Infatti, spesso, la rincorsa all’evoluzione tecnologica è accompagnata da una scarsa “cultura digitale”, cioè limitata “capacità” di gestire il cambiamento digitale con metodi e soluzioni diverse rispetto a quelli tradizionali.

Acquisire la cultura digitale, intesa come consapevolezza, capacità e professionalità tecnica e giuridica in ambito digitale è il primo passo per poter approcciare nel modo corretto i nuovi adempimenti introdotti dal Regolamento.

Inoltre, la cultura digitale diventa fondamentale se si considera che negli ultimi anni il legislatore ha emanato numerose leggi finalizzate a gestire l’evoluzione tecnologica e l’utilizzo degli strumenti informatici nei processi aziendali e della P.A.

I vari temi giuridici relativi al documento informatico, quali il valore del documento informatico, gli strumenti di validazione informatica, la fattura elettronica e la conservazione digitale, sono stati oggetto di specifiche leggi e norme tecniche che inevitabilmente hanno introdotto obblighi e adempimenti finalizzati a gestire il processo di formazione, gestione, archiviazione e conservazione del documento informatico.

Detto panorama normativo si caratterizza per la presenza di leggi in stretto collegamento tra di loro dove la normativa sulla privacy rappresenta l’elemento comune ai vari aspetti giuridici richiamati con i quali si integra ed è complementare.

Pertanto, la corretta applicazione del Regolamento Europeo passa, oltre che da un cambiamento culturale che permette, da un lato di attribuire la giusta importanza alle operazioni di trattamento dati personali e, dall’altro, di acquisire maggiore sensibilità e consapevolezza dei vantaggi e dei rischi legati all’utilizzo della tecnologia informatica, anche da una visone chiara e ampia di tutte quelle che sono le problematiche tecnico giuridiche legate al digitale ed alla loro applicazione pratica.

A cura di: Andrea Battistella

Profilo Autore
Andrea Battistella

Avvocato cassazionista iscritto all’Ordine degli avvocati di Pescara e titolare dello Studio Legale Battistella (www.battistella.info). Nell’arco di oltre dieci anni di attività ha maturato una significativa esperienza nelle problematiche giuridiche legate alla privacy ed alle nuove tecnologie, con particolare riferimento al valore giuridico dei documento informatico ed alla sua conservazione digitale. Al riguardo, è consulente legale di aziende del settore ed è relatore in workshop ed eventi formativi, nonchè autore di articoli e pubblicazioni.
Presidente dell’associazione culturale Centro Studi Informatica Giuridica (CSIG) di Pescara e socio fondatore dell’Associazione Prodigi tale svolgenti attività di promozione e diffusione della cultura digitale in campo giuridico, economico, amministrativo.

Altri Articoli
Condividi sui Social Network:

Articoli simili

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

A cura di:Redazione Ore Pubblicato il

In questo momento di emergenza sanitaria, rispettare le normative è fondamentale ed un gran numero di aziende si è dovuto adattare sperimentando per i propri dipendenti la modalità di lavoro da casa. Mentre i responsabili delle risorse umane e quelli finanziari stanno avendo numerose difficoltà a capire come gestire la situazione dei vari dipendenti, tra…

10° Cyber Crime Conference – Comunicato Post Evento

10° Cyber Crime Conference – Comunicato Post Evento

A cura di:Redazione Ore Pubblicato il

La 10a edizione della Cyber Crime Conference, svoltasi lo scorso 17 aprile nell’Auditorium della Tecnica a Roma, ha registrato una straordinaria partecipazione di pubblico con oltre 1200 visitatori, confermando la propria autorevolezza quanto a rilevanza e attualità dei contenuti trattati. Il programma si è aperto con la Tavola Rotonda Cryptocurrency e Blockchain: storia, potenzialità e fattori di rischio – moderata dal Consulente…

Intervista a Corrado Broli – Cyber Crime Conference 2019

Intervista a Corrado Broli – Cyber Crime Conference 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”331969141″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 10° CYBER CRIME CONFERENCE Corrado Broli – Country Manager per l’Italia, Darktrace Nata a Cambridge (UK), Darktrace ha sviluppato – in collaborazione con la celebre Università – l’innovativa piattaforma Enterprise Immune System; una tecnologia basata su algoritmi statistici sofisticati, in grado di monitorare integralmente il traffico in…

Intervista a Cristiano Paris – Cyber Crime Conference 2019

Intervista a Cristiano Paris – Cyber Crime Conference 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”334009048″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 10° CYBER CRIME CONFERENCE Cristiano Paris – AIEA Board Member Le blockchain ci vengono raccontate come oggetti che garantiscono elevati livelli di integrità e disponibilità. Tuttavia, anche rispetto a questa tecnologia gli incidenti di sicurezza possono avvenire: il codice, essendo pubblico, è costantemente monitorato da attori malevoli…

Kingston Technology – Dati in mobilità nell’era del GDPR

Kingston Technology – Dati in mobilità nell’era del GDPR

A cura di:Redazione Ore Pubblicato il

L’utilizzo di unità Flash UBS crittografate è un elemento essenziale nella promozione della sicurezza informatica aziendale, soprattutto in tempi di GDPR. Uno scenario comune è quello che vede i dipendenti salvare dati sensibili sui drive USB senza però utilizzare alcuna forma di crittografia hardware, e la mancanza di attenzione da parte di organizzazioni e dipendenti…

Information Security Governance e PMI: analisi critica di un modello di Risk Management

Information Security Governance e PMI: analisi critica di un modello di Risk Management

A cura di:Achille Pierre Paliotta Ore Pubblicato il

If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. Sun Tzu, The Art of…