Compliance privacy, necessario un approccio che coinvolga tutta l'organizzazione con gli strumenti previsti dal GDPR
Per le aziende e le organizzazioni che trattano dati personali, il rispetto del GDPR è naturalmente fondamentale. Diversi sono gli strumenti previsti e anche le pratiche per garantire la compliance al GDPR:
1. Assessment e mappatura dei dati - Software di mappatura dati o sistemi di gestione: utilizzati per identificare, classificare e mappare i dati personali trattati dall'organizzazione; inventario dei Dati e registri delle attività di trattamento: documentazione dettagliata avente ad oggetto quali dati sono raccolti, come vengono utilizzati, dove sono memorizzati, e chi vi ha accesso.
2. Valutazioni di Impatto sulla Protezione dei Dati - Strumenti DPIA che aiutano a identificare e minimizzare i rischi per la privacy derivanti da nuovi progetti o processi.
3. Consensi e gestione preferenze - Piattaforme di gestione del consenso: per ottenere, registrare e gestire il consenso degli utenti in modo conforme al GDPR.
4. Crittografia e anonimizzazione dei dati - Strumenti di crittografia: per proteggere i dati durante la trasmissione e lo stoccaggio; software di anonimizzazione: per rimuovere o modificare dati personali in modo che non possano essere ricollegati all'individuo.
5. Formazione e consapevolezza del Personale - Programmi di formazione preferibilmente in presenza ma anche on-line: per educare i dipendenti sulle pratiche di protezione dei dati e sulle politiche GDPR.
6. Accordi e clausole contrattuali - Template e strumenti legali: per assicurarsi che tutti i contratti con fornitori e partner includano le dovute clausole di protezione dei dati.
7. Gestione delle richieste degli interessati - Strumenti per la gestione dei diritti degli interessati: per gestire richieste di accesso, rettifica, cancellazione, o trasferimento dei dati.
8. Audit e monitoraggio della conformità - Software di audit della conformità: per condurre regolari controlli e verificare la conformità con il GDPR.
9. Policy e documentazione - Generazione di policy personalizzate: strumenti che aiutano nella creazione di politiche sulla privacy e procedure interne (si pensi all’utilizzo di strumenti informatici, Internet, videosorveglianza, strumenti di lavoro, ecc.).
10. Incident management e notifica di violazione dei dati - Strumenti per la gestione dei Data Breach: per rilevare, segnalare e gestire le violazioni di dati nel rispetto dei tempi previsti dal GDPR.
11. Integrazione con altri Regolamenti - Strumenti Multi-Regolamentari: per gestire la compliance incrociata con altre leggi sulla privacy e protezione dei dati (come CCPA, HIPAA ecc.).
Si ricorda come assumono rilievo in tale materia la creazione di policy che rappresentano un passaggio fondamentale per assicurare la conformità alla normativa sulla protezione dei dati.
(Nella foto: l'Avv. Vittorio Iaselli, co-autore del nuovo libro "Nuove tecnologie, sicurezza e protezione dati" edito da Giuffrè)
Al fine di strutturare una policy di privacy efficace è necessario innanzitutto spiegare lo scopo della policy, l'impegno dell'organizzazione nella protezione della privacy e la rilevanza della policy per i dipendenti, clienti e partner.
Successivamente va definito l’ambito di applicazione e cioè a chi si applica la policy (es. tutti i dipendenti, i fornitori, i collaboratori).
Un passaggio fondamentale è rappresentato anche dalla indicazione di definizioni chiare come cosa si intende per "dati personali", "titolare dei dati", "consenso", ecc.
È necessario, inoltre elencare i principi fondamentali della protezione dei dati (es. minimizzazione dei dati, limitazione della finalità, trasparenza, ecc.) e descrivere quali dati vengono raccolti, come vengono raccolti e per quali finalità. Ovviamente ciò include dettagli su come vengono utilizzati i dati e le basi legali per il loro trattamento.
Naturalmente una policy deve anche spiegare con chi possono essere condivisi i dati (terze parti, autorità, ecc.) e in quali circostanze e vanno inclusi dettagli sui trasferimenti di dati internazionali, se applicabili.
Altro aspetto rilevante è la descrizione sui tempi di conservazione dei dati e le politiche per la loro eliminazione o anonimizzazione.
Vanno anche elencati i diritti degli interessati (accesso, rettifica, cancellazione, opposizione al trattamento, ecc.) e come possono essere esercitati.
Ampio spazio deve essere dedicato anche alle misure di sicurezza adottate per proteggere i dati personali da perdita, furto o abuso ed alla descrizione delle procedure in caso di violazione dei dati, comprese le notifiche alle autorità di regolamentazione e ai soggetti interessati.
Il contesto normativo e tecnologico è in costante evoluzione, quindi gli strumenti e le pratiche devono essere regolarmente aggiornati.
Si ricorda che la compliance GDPR richiede un approccio che coinvolga tutta l'organizzazione, dalla leadership ai team operativi.
Ultimamente si sta definendo sempre di più presso le diverse organizzazioni il Modello Organizzativo Privacy (MOP) che è parte integrante del Modello Organizzativo sia di un'azienda privata che di una Pubblica Amministrazione. Per quanto il MOP non sia un documento espressamente richiesto dal Regolamento UE 679/2016 (GDPR) può essere considerato un'importante misura di accountability.