Il modello di gestione della data protection in ottica GDPR si articola nelle seguenti componenti:

ORGANIZZAZIONE: individuazione di strutture, di comitati e di ruoli adottati dall'organizzazione per indirizzare e governare, eseguire e controllare il modello di protezione dei dati personali. In particolare, il GDPR introduce il Data Protection Officer (DPO), figura avente compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziali (dare pareri), alcuni interni all'organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l'Autorità di Controllo).

FORMAZIONE E SENSIBILIZZAZIONE: comprensione delle azioni del Titolare per sensibilizzare e formare opportunamente il personale. Nello specifico, il GDPR pone particolare attenzione ai requisiti che deve soddisfare la persona che ricoprirà il ruolo di DPO, tra cui assenza di conflitto di interessi e conoscenza specialistica di normativa e prassi in materia di protezione dei dati.

PROCESSI E DOCUMENTAZIONE: elaborazione delle norme di autoregolamentazione di cui si e? dotata l'organizzazione per essere conforme alla normativa. In particolare, il GDPR richiede di rivedere radicalmente il sistema di processi e regole dell'organizzazione, introducendo una serie di elementi che hanno impatti significativi sull'operativita? della stessa, tra cui Data Protection by Design / Data Protection By Default, Data Protection Impact Assessment (DPIA) e violazioni di dati personali (data breach). Il GDPR richiede inoltre la necessità di rivedere le informative e i consensi al trattamento dei dati personali nonché le clausole contrattuali e le lettere di nomina a responsabile del trattamento.

TECNOLOGIA E STRUMENTI: comprensione dei sistemi informativi adottati per il trattamento dei dati personali, sia lato applicativi sia lato infrastrutture, e le relative misure di sicurezza predisposte dall'organizzazione. In particolare, il GDPR prevede l'adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (es. la pseudonimizzazione e la cifratura dei dati personali), tenendo conto dello stato dell'arte e dei costi di attuazione, nonche? della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravita? per i diritti e le liberta? delle persone fisiche.

SISTEMA DI CONTROLLO: comprensione delle azioni e degli strumenti messi in campo dall'organizzazione per verificare l'esistenza, l'adeguatezza e l'effettiva applicazione del modello di protezione dei dati personali, con riferimento a tutte le componenti sopra indicate. In particolare, il GDPR sottolinea l'importanza di dimostrare le scelte effettuate dall'organizzazione ("accountability"), motivo per il quale diventa fondamentale dimostrare l'effettuazione di controlli periodici, opportunamente documentati, e l'esistenza di piani di remediation a fronte di eventuali non conformità rilevate.

 

Quale sono gli adempimenti più complessi in sede di assessment?

La maggior parte degli adempimenti previsti dal GDPR è piuttosto complessa. Tale complessità è generata dalla necessità di adottarsi di competenze specialistiche, non sempre presenti nelle organizzazioni aziendali, come le competenze giuridiche specifiche, le competenze organizzative e quelle tecnologiche, dai costi elevati da sostenersi nonché dalle incertezze normative che, su alcune tematiche, ancora oggi permangono (si pensi all'individuazione del legittimo interesse, alla base giuridica da applicare al trattamento delle categorie particolari di dati personali quando necessario per dare esecuzione a un contratto o a misure pre-contrattuali, alla minore età stabilità a livello locale, alle sanzioni amministrative e penali).

Tra gli adempimenti che destano maggiori difficoltà vi è senza dubbio l'individuazione del Responsabile della Protezione dei dati personali (RPD o DPO) e la collocazione all'interno dell'organizzazione aziendale in conformità con le previsioni contenute nell'art. 37, 38 e 39 GDPR.

 

3 ottobre 2018