È giunto il momento: il regolamento generale sulla protezione dei dati dell’Unione europea (GDPR) entrerà in vigore questa settimana, il 25 maggio, e tutti gli occhi sono rivolti alle autorità di regolamentazione dell’UE.
Il GDPR è un regolamento estremamente complesso, ma in sostanza è una legge sulla protezione dei dati. Ciò significa che il GDPR è interamente dedicato alla salvaguardia delle informazioni raccolte, create, utilizzate e condivise dalla tua azienda, indipendentemente dal fatto che vengano raccolte da dipendenti, clienti o fornitori di terze parti. Poiché queste informazioni provengono da così tanti sistemi e ubicazioni diverse, è necessario adottare un approccio alla protezione dei dati basato sul rischio per valutare e mitigare al meglio i rischi principali della propria azienda ai sensi del GDPR.
Forse non molti addetti ai lavori hanno notato che l’approccio basato sul rischio era già presente nel nostro ordinamento nell’ambito dei modelli di organizzazione aziendale, ma nell’ambito del modello di organizzazione e gestione (o “modello ex d.lgs. n. 231/2001), che indica un modello organizzativo adottato da persona giuridica, o associazione priva di personalità giuridica, volto a prevenire la responsabilità penale degli enti.
Dopo aver esaminato le norme del Decreto 231 e quelle del GDPR, osserviamo che entrambe fanno riferimento ad un approccio individuato come “basato sul rischio”.
Il Decreto 231 dispone all’art. 6, comma 2, che:
“In relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a) individuare le attivita’ nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
c) individuare modalita’ di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.
All’art. 7, comma 3, viene altresì specificato che “Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonche’ al tipo di attivita’ svolta, misure idonee a garantire lo svolgimento dell’attivita’ nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio”.
Anche il GDPR ha un risk based approach, come chiarito già nel Considerando 76 secondo cui “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”, oltre al già citato Considerando 77.
La prima cosa da fare è prendere tempo per comprendere la natura dei dati personali e delle informazioni in tuo possesso. Che tipo di dati e informazioni crea e raccoglie la tua azienda? Come si usa tutto? Con chi lo condividi?
Solo dopo aver scoperto tutti i dati in possesso della tua organizzazione, sarai in grado di determinare se lo usi e lo memorizzi in modi che non creano rischi per i tuoi clienti, dipendenti e fornitori di terze parti. Una volta identificati tutti i dati e determinato come lo si utilizza, ecco alcuni altri passaggi che è possibile adottare per implementare al meglio un approccio basato sul rischio alla protezione dei dati in tutti i programmi e sistemi.
Condurre valutazioni di impatto sulla protezione dei dati (privacy)
L’esito di tale approccio, è nel GDPR la valutazione di impatto, che ha non pochi punti di contatto col Modello 231, come protocollo organizzativo aziendale, come emerge dalla lettura del Considerando 84: “Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.
Le aziende dovrebbero intraprendere valutazioni dell’impatto sulla privacy (PIA) o valutazioni dell’impatto sulla protezione dei dati (DPIA), che sono processi sistematici per valutare se creano rischi per la privacy per le persone a causa del modo in cui raccolgono, utilizzano e divulgano i loro dati personali. I DPIA aiutano specificatamente a identificare i rischi per la privacy e i problemi futuri; possono anche aiutare a identificare le soluzioni.
Mentre il GDPR richiede che le organizzazioni debbano condurre DPIA nel caso di attività di elaborazione ad alto rischio, molte aziende già conducono PIA come parte di obblighi legali o regolamentari. Altre valutazioni d’impatto, come le valutazioni di sicurezza, forniscono una buona base alle aziende per valutare i rischi potenziali e in corso che possono influire sui loro sistemi, consentendo ai loro team di privacy e sicurezza dei dati di monitorare e raccomandare controlli appropriati quando necessario.
Implementando un processo per capire se e quando i DPIA devono essere condotti, le organizzazioni saranno in grado di dimostrare la responsabilità nei confronti delle autorità di regolamentazione, avvicinandosi così alla piena conformità GDPR.
Infine, il GDPR richiede che le organizzazioni mantengano una documentazione dettagliata dei loro sforzi per raggiungere la conformità, anche qui non possiamo non trovare un parallelismo col Modello 231 e la dimostrazione di aver adottato le “misure idonee” per andare esenti da responsabilità penali.
Elio Errichiello