lunedì 30 aprile 2018

PRIVACY PILLS: 6 - Responsabilizzazione del Trattamento

RESPONSABILIZZAZIONE DEL TRATTAMENTO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"




La pillola di oggi riguarda: la Responsabilizzazione del Trattamento

Il GDPR cambia radicalmente l’approccio al trattamento dei dati personali ponendo con forza l’accento sulla “responsabilizzazione” (“accountability” nell’accezione inglese) di titolari e responsabili – ossia, sull’ adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Cosa cambia:
• Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
• Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.


Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
• Un primo passo verso l’adeguamento alla nuova normativa sulla privacy è sicuramente quello di prevedere un percorso di formazione personale/aziendale sulla materia. La conoscenza del nuovo approccio europeo alla materia sarebbe sicuramente un ottimo inizio nell’ottica della responsabilizzazione e consapevolezza del trattamento dei dati e andrebbe integrata con un corso incentrato sull’autovalutazione del proprio operato professionale in modo da fornire gli strumenti di “pronto intervento” in caso di nuove practice ovvero di eventi imprevisti.
• Sempre nell’ottica della consapevolezza e responsabilizzazione, per le imprese con un organigramma strutturato, sarebbe buona prassi prevedere delle lettere d’incarico al trattamento dei dati per i singoli dipendenti delle diverse aree, che siano manager od operatori. Tale pratica sortirebbe un duplice effetto positivo; responsabilizzare i singoli componenti dell’azienda rispetto all’attività da loro svolta, reperire agevolmente la persona più idonea in relazione ad un singolo trattamento per effettuare tutte le valutazioni necessarie in merito allo stesso.
• Ricorrere integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in proprio il problema, effettuare una prima autovalutazione potrebbe costituire buon punto di partenza per approcciare e risolvere il problema. Solo ed esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla propria attività di trattamento dei dati per arrivare a formare una propria convinzione in merito ai pericoli che potrebbero annidarsi dietro tale attività.
• Identica dinamica dovrebbe seguire l’attività di autovalutazione in merito alla sicurezza dei sistemi di trattamento e conservazione dei dati che si impiegano quotidianamente. Tale autovalutazione dovrebbe estendersi fino alle pratiche aziendali di utilizzo di supporti fisici ed informatici.

Nessun commento:

Posta un commento