Premessa
L’entrata in vigore del nuovo Regolamento Privacy Europeo avrà importanti ricadute per le aziende, anche in termini economici e di organizzazione. La portata delle norme che entreranno in vigore comporterà un cambiamento radicale e si passerà da quello che ora è un censimento dei trattamenti relativi alla privacy, ad un vero e proprio “sistema dei rischi”.
Ma quali sono in pratica i passi da fare per essere in regola?
Modalità di archiviazione
- In primo luogo, si dovrà intervenire sulle modalità di archiviazione locale dei dati, sostituendoli con sistemi che centralizzino sia la gestione delle autorizzazioni sia l’accesso ai dati. In altre parole, non sarà più possibile conservare i file esclusivamente su un computer o un disco locale, bensì sarà bene optare per una più avanzata e affidabile soluzione di storage e backup: i sistemi cloud costituiscono a tal fine una delle migliori alternative disponibili, grazie anche (ma non solo) alla ridondanza dei sistemi impiegati.
- Sarà necessario acquisire il consenso libero, specifico ed informato al trattamento dei dati, in modo corretto e conforme al GDPR, che detta specifiche linee guida dettagliando quali tipologie di informazioni minime è necessario offrire al soggetto al fine di ottenere il suo consenso al trattamento. In particolare si tratta di sei categorie: identità del titolare; scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione); nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate. Quindi, occorrerà rivedere policy e modulistica, modificandola ed integrandola, per ottenere consensi validi.
- La tutela dei dati dovrà essere predisposta mediante l’impiego di crittografia, così da renderli non fruibili a soggetti non autorizzati. Inoltre, sarà necessario garantire che, in seguito a un eventuale problema di natura fisica o tecnica, l’accesso alle informazioni venga ristabilito in modo tempestivo. Tutto questo richiederà delle procedure standardizzate di protezione che dimostrino l’effettiva capacità di salvaguardia dei medesimi, nonchè la riservatezza, l’integrità, la disponibilità, la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente fisico o tecnico.
Il principio fondante del Regolamento Privacy è quello di accountability, che deve riguardare tutte le fasi del trattamento. Questo significa adottare soluzioni e strumenti che garantiscano non soltanto la protezione del dato ma anche il controllo, la verifica e l’analisi delle procedure.