Gestionale Privacy

Il Regolamento EU 2016/679, in vigore dal 24 maggio 2016, in materia di trattamento dei dati personali stabilisce che il Titolare del Trattamento di Dati Personali debba predisporre misure adeguate per proteggere le informazioni personali fin dalla fase di progettazione di un servizio o di un processo, anche attraverso l’utilizzo di impostazioni predefinite, quali ad esempio la minimizzazione dei dati già in fase di raccolta o la cancellazione automatica delle informazioni in coincidenza con la scadenza dei termini di conservazione dichiarati nell’informativa.

Le Organizzazioni sono quindi chiamate a dedicare al tema della protezione dei dati personali un’attenzione più ampia, conducendo, ove necessario, analisi di rischio o, in casi specifici, dotandosi di un registro dei trattamenti.

Più in generale, ogni organizzazione deve:

  • valutare attentamente la propria situazione specifica e il contesto in cui opera
  • identificare le caratteristiche del trattamento effettuate
  • adottare misure tecnico-organizzative che garantiscano un livello di protezione adeguato tutelando fin dall’inizio i diritti dell’interessato.

Ciascuna organizzazione dovrà inoltre:

  • verificare le clausole dei contratti stipulati con i propri fornitori di servizi per assicurarsi che le operazioni di trattamento avvengano secondo la corretta attribuzione di ruoli e responsabilità, come richiesto dal Regolamento
  • istruire il personale interno
  • predisporre procedure per rispondere alle richieste dei clienti in merito ai propri dati e conservare tutta la documentazione relativa, così da poterla esibire in caso di richiesta dell’Autorità preposta
  • conservare la documentazione attestante la liceità del trattamento effettuato
  • organizzarsi per rispondere alle eventuali richieste dell’Autorità
  • definire metodi documentati per gestire eventuali violazioni dei dati
  • monitorare costantemente lo “stato di salute” dei propri processi e dei trattamenti su dati personali, anche per identificare possibili manomissioni o intrusioni
  • recepire prontamente gli aggiornamenti normativi che dovessero man mano intervenire.

Tutti questi elementi configurano, per l’organizzazione, l’opportunità di dotarsi di un sistema di gestione della protezione dei dati personali.
La protezione dei dati personali, considerati non solo i recenti e spiacevoli fatti di cronaca che hanno richiamato l’attenzione pubblica ma anche la crescente complessità dei sistemi IT, la diffusione della tecnologia mobile, il frequente ricorso a servizi di outsourcing e l’utilizzo diffuso di sistemi cloud (che possono rendere più difficoltoso identificare con sicurezza il luogo fisico di conservazione del dato), non può essere considerata un fattore marginale ma sta diventando sempre più una priorità.

Un efficace Sistema di Gestione della protezione dei dati personali deve essere allineato agli obiettivi dell’impresa, adeguato al contesto specifico e rispondente alle esigenze di tutte le realtà organizzative, coinvolgendole e fornendo indicazioni chiare a tutti gli attori del trattamento. Inoltre, all’interno dell’organizzazione, deve favorire lo sviluppo di una cultura d’impresa diffusa, a cui tutte le funzioni aziendali si sentono chiamate a partecipare.

L’applicazione di un Sistema di Gestione della protezione dei dati personali dovrà inoltre tenere conto delle dimensioni dell’organizzazione, del settore di mercato in cui opera e della quantità di dati personali trattati; permettere di governare ogni aspetto dei processi legati al trattamento di dati personali; introdurre un processo di miglioramento continuo che porterà benefici in termini di ritorno economico dell’investimento.

L’adozione di un sistema di gestione della protezione dei dati personali aiuta le imprese ad applicare correttamente le norme e ad agire virtuosamente. La conformità al Regolamento deve essere percepita dalle organizzazioni come un vantaggio competitivo e non un mero costo.

In un’Europa sempre più attenta alla protezione ed alla difesa dei suoi principi fondanti, consumatori, clienti e associati (gli interessati), premieranno le organizzazioni che, in modo trasparente, saranno in grado di garantire un elevato livello di tutela delle informazioni personali, anche mediante attestazioni di entità indipendenti a seguito di monitoraggi mirati (limitati cioè a pochi documenti obbligatori) o globali del sistema di gestione adottato.