GDPR, necessario un approccio multidisciplinare tra misure fisiche, tecniche ed organizzative
Il legislatore europeo con il Regolamento UE 2016/679 ha apportato una svolta epocale all’articolato concetto del trattamento dei dati ponendo l’attenzione proprio sulla protezione dei dati personali. A causa dell’intangibilità di tali informazioni non vi è la consapevolezza, da parte degli interessati e di tutti i soggetti autorizzati al trattamento, dell’inestimabile valore dei dati personali che quotidianamente sono trattati o… maltrattati.
Il legislatore europeo, con il GDPR (General Data Protection Regulation), ha l’ambiziosa vision di far comprendere l’estremo valore posseduto dai dati personali. Tutti siamo chiamati in causa a riflettere sulle devastanti conseguenze derivanti da un uso inappropriato dei dati personali e delle informazioni più intime.
Durante il corso di formazione manageriale per Data Protection Officer al Cnr di Pisa, ho valutato con i discenti alcuni eventi che hanno discriminato e danneggiato pesantemente gli individui a cui si riferivano le informazioni utilizzate impropriamente.
Nell’art. 5 comma 1 lettera F e nell’art. 32 comma 1 lettere B e C si evidenzia l’obbligatorietà di garantire la Confidenzialità, l’Integrità e la Disponibilità del dato.
E’ del tutto evidente che la perdita di Confidenzialità comprometterebbe l’interessato e la sua sfera personale esponendolo a diversi rischi fisici, morali o materiali. La perdita dell’integrità di un dato sanitario, per esempio il valore di un esame di laboratorio, sottoporrebbe l’assistito a cure mediche non necessarie. Infine, la mancata disponibilità del dato causerebbe all’interessato un disagio.
Si è tutti chiamati, quindi, a dare il giusto valore ai dati personali. Lo sforzo di tutti, dai cittadini ai titolari del trattamento, dai responsabili a tutti i soggetti autorizzati, deve essere orientato verso un uso consapevole di tali preziose informazioni.
Nel GDPR sono previsti numerosi adempimenti attraverso i quali, non solo si garantisce la protezione dei dati personali, ma rappresentano, per i titolari del trattamento, degli straordinari strumenti per conoscere finalmente a fondo la propria organizzazione.
Numerose volte, nei 99 articoli del GDPR si richiama l’attenzione all’analisi dei rischi con la quale il titolare è in grado di determinare le più adeguate misure di sicurezza tecniche ed organizzative da adottare.
Si citano a fini esplicativi e non esaustivi alcuni “preziosi” adempimenti dalla duplice utilità:
- Registri delle attività di trattamento
- Privacy by Design e by Default
- Data Protection Impact Assessment
Il registro delle attività di trattamento rappresenta uno scrigno al cui interno vi sono delle pregiate informazioni che riguardano l’intero processo del trattamento dall’acquisizione delle informazioni alla loro distruzione. Ed è proprio grazie alla conoscenza approfondita di tutte le fasi del trattamento che il titolare sarà in grado di decidere le misure tecniche ed organizzative più adeguate al contesto, alla finalità, alla modalità ed al trattamento in atto.
Con la Privacy by Design si valutano, prima che il trattamento abbia inizio, tutti i suoi aspetti compreso i rischi. Mentre con la Data Protection Impact Assessment si valutano i rischi e le probabilità che un evento avverso si verifichi su un trattamento che preveda l’uso di particolari tecnologie o che sia particolarmente a rischio per la libertà e dignità dell’individuo.
In conclusione si raccomanda un approccio proattivo, tipico del Risk Management
(Nel video: il Dott. Giovanni Lucatorto intervistato a margine della sua lezione al Corso di formazione manageriale per Data Protection Officer di Federprivacy al CNR di Pisa)