E’ ufficialmente iniziato il countdown che ci porterà alla data del 25 maggio 2018, scelta dal legislatore Europeo, per l’entrate in vigore, in tutti gli stati europei, del Regolamento Europeo sul trattamento dei dati personali (GDPR).
Il Regolamento, disegnerà un quadro normativo sulla privacy, intesa come protezione dei dati personali, comune in tutta Europa e introdurrà nel nostro ordinamento giuridico principi e obblighi nuovi rispetto all’attuale normativa. Oltre ad un nuovo modo di affrontare la gestione e la protezione dei dati personali.
Il Regolamento, infatti, imporrà ai titolari del trattamento di approcciare il tema della privacy in modo meno formale e rigido lasciando libertà sulle valutazioni e sulla progettazione di qualsiasi processo aziendale che abbia ad oggetto il trattamento dei dati e sulle misure di sicurezza da implementare.
Gli innovativi principi della privacy by design e privacy by default e accountability segneranno un cambio di prospettiva per ogni titolare del trattamento che dovrà, prima ancora di iniziare il trattamento dei dati, analizzare il contesto del trattamento, individuare i processi interni con i quali verranno trattati i dati e le risorse informatiche utilizzate.
Infatti, la finalità del processo di progettazione preventivo è quella di:
- analizzare la natura dei dati personali, il contesto e le finalità del trattamento;
- individuare i soggetti che all’interno dell’organizzazione del titolare del trattamento sono autorizzati a trattare i dati personali;
- Valutare le minacce ed il rischio per l’integrità e la perdita dei dati e conseguentemente individuare le misure di sicurezza tecniche ed organizzative adeguate.
Proprio quest’ultimo aspetto, relativo alle misure di sicurezza, rappresenta un importante novità rispetto a quanto stabilito dal codice della privacy. Il Regolamento non individua più l’elenco di misure di sicurezza minime ma lascia al titolare del trattamento ambia scelta decisionale sulle misure di sicurezza fisiche ed organizzative più adatte a proteggere i dati personali. In particolare, il titolare del trattamento dovrà tenere conto dello stato della natura dei dati, della finalità del trattamento, del contesto e dei costi di attuazione delle misure di sicurezza.
La libertà di valutazione e di scelta riconosciuta dal Regolamento è però bilanciata dall’obbligo di provare, con specifica documentazione, l’analisi e le scelte fatte ed il livello di sicurezza adottato. Quindi dovrà essere documentata ad esempio: l’analisi dei rischi o in alcuni casi la P.I.A. (privacy impact assessment), l’organigramma privacy ed i relativi incarichi alle persone autorizzate a trattare i dati, gli accordi con i fornitori e le certificazioni di sicurezza dei fornitori di sistemi informatici ( hosting, videosorveglianza ecc.).
Da quando entrata in vigore del Regolamento, quindi, cambierà il modo di essere compliance alla normativa della privacy. Non ci si dovrà limitare a produrre documentazione costituita da tabelle ed elenchi magari compilati da un software, come ad esempio avveniva con la stesura del DPS, ma si dovrà avere un approccio molto più flessibile e dinamico. Ogni Titolare del trattamento, sulla base delle proprie analisi e valutazioni, elaborerà il proprio modello organizzativo personalizzando così gli adempimenti privacy alle reali esigenze e attività svolte.
La responsabilizzazione del titolare del trattamento introdotto dal Regolamento rappresenta una grande rivoluzione culturale che porterà a considerare il tema della privacy, soprattutto nel mondo business e della P.A., non più come un adempimento formale e burocratico ma come un opportunità per organizzare o riorganizzare i propri processi interni in modo da trattare i dati personali in modo consapevole e misure i rischi derivanti dal trattamento dei dati che continua ad essere considerata, soprattutto dal punto di vista del diritto civile, un attività pericolosa da cui possono derivare per gli interessati di danni, materiali e immateriali, e per il titolare o responsabile del trattamento conseguenti richieste di risarcimento del danno.
Affrontare i cambiamenti introdotti dal Regolamento in modo professionale e con la giusta consapevolezza rappresenta, quindi, ha delle ripercussioni anche dal punto di vista economico finanziario in quanto la progettazione e definizione di un proprio modello organizzativo e la capacità di dimostralo permette di: valorizzare il patrimonio di informazioni che ogni azienda tratta al suo interno, adottare le misure di sicurezza fisiche ed organizzative adeguate alle reali esigenze con notevoli risparmi sugli investimenti soprattutto tecnologici, garantire la giusta tutela di dette informazioni ed evitare o limitare, tramite specifiche polizze assicurative, la responsabilità civile e penale nonché le gravose sanzioni previste dal Regolamento.
Affrontare questo cambiamento con consapevolezza è ancora più importante e si pensa che l’entrata in vigore del Regolamento avviene in un momento storico caratterizzato dalla tendenza di basare qualsiasi processo di business su l’utilizzo di tecnologie informatiche che velocizzato i processi lavorativi, lo scambio delle informazioni e permettono la condivisione con un numero sempre maggiori di soggetti.
L’utilizzo di queste tecnologie rendono sicuramente efficiente ed efficace il processo di business ma espongono i dati personali trattati a rischi di perdita di integrità e di sicurezza. L’evoluzione tecnologica e l’alta propensione all’utilizzo di questa tecnologia rendono ormai necessario acquisire un grado di conoscenza e professionalità sempre più elevato.
Infatti, spesso, la rincorsa all’evoluzione tecnologica non è accompagnata da una scarsa “cultura digitale” cioè dalla giusta consapevolezza e sensibilità delle potenzialità che il mondo digitale propone ma soprattutto dalla capacità di gestire il cambiamento digitale con metodi e soluzioni diverse rispetto a quelli tradizionali.
Acquisire la cultura digitale, intesa come consapevolezza, capacità e professionalità tecnica e giuridica in ambito digitale, è il primo passo per poter approcciare nel modo corretto i nuovi adempimenti introdotti dal Regolamento.
Inoltre, la cultura digitale diventa ancora di più importante se si considera che negli ultimi anni il legislatore ha emanato le numerose leggi finalizzate a gestire l’evoluzione tecnologica e l’utilizzo degli strumenti informatici nei processi aziendali e della P.A.
I vari temi giuridici relativi al documento informatico, quali il valore del documento informatico, gli strumenti di validazione informatica, la fattura elettronica e la conservazione digitale, sono stati oggetti di specifiche leggi e norme tecniche che inevitabilmente hanno introdotto obblighi e adempimenti finalizzati a gestire dal punto di vista giuridico e tecnico il processo di formazione gestione archiviazione e conservazione del documento informatico.
Detto panorama normativo si caratterizza dalla presenza di leggi in stretto collegamento tra di loro dove la normativa sulla privacy rappresenta l’elemento comune ad i vari aspetti giuridici richiamati con i quali si integra ed è complementare.
Pertanto, la corretta applicazione del Regolamento Europeo passa da un cambio culturale che permetta da un lato di attribuire la giusta importanza alle operazioni di trattamento dati personali e dall’altro di acquisire maggiore sensibilità e consapevolezza dei vantaggi e dei rischi legati all’utilizzo della tecnologia informatica.
La culture digitale che in ogni caso essere accompagnata da una visone chiara e ampia di tutte quelle che sono le problematiche tecnico giuridiche legate al digitale.