NEWS

GDPR: i vantaggi del privacy planning

La conformità al GDPR non è uno status quo, cristallizzabile ad una certa data, ma è frutto di un processo dinamico che segue costantemente i flussi dell’attività aziendale. Inoltre, per le azioni di adeguamento non si può individuare una ricetta buona per tutti: la compliance va valutata secondo il criterio dell’adeguatezza, variabile nel tempo e a seconda di diverse circostanze e parametri. Sono riassumibili in dieci le regole d’oro che devono essere considerate per testare la regolarità agli obblighi del GDPR: quali sono? E come elaborare un “privacy planning” per la comparazione dei costi e dei benefici? L’adeguamento al GDPR è un iter continuativo e progressivo. Non è un risultato statico, ma segue la dinamica dell’attività aziendale. In sostanza si può avere la conformità a una certa data, ma bisogna programmare un aggiornamento a cadenza predeterminata, sotto la sorveglianza del Data protection officer. Per essere in regola con il GDPR è utile seguire questo percorso:


1. conoscere il GDPR.
2. seguire le priorità fissate dal Garante per la protezione dei dati personali
3. verifica delle unità aziendali interessate dalle modifiche
4. individuazione dei soggetti/uffici delegati a curare il processo di adeguamento
5. verifica degli investimenti sostenibili (in comparazione con i costi diretti e indiretti da parziale o mancato adeguamento)
6. analisi dell’esistente
7. comparazione dell’esistente con lo standard normativo
8. programmazione azioni di adeguamento
9. realizzazione delle azioni di adeguamento
10. controllo della correttezza/efficacia/efficienza delle azioni realizzate.

Consulta il dossier GDPR: come gestire gli adempimenti

Azioni di adeguamento al GDPR - Con riferimento alle azioni di adeguamento, non si può individuare una ricetta buona per tutti, perché non c’è uno standard normativo minimo.

Questo non significa che vi sia un unico grado di conformità (quello massimo esigibile), ma che la conformità deve essere valutata secondo il criterio dell’adeguatezza. Il concetto di adeguatezza può essere variabile, sia nel tempo, sia a seconda di diverse circostanze e diversi parametri.

Pertanto la genericità della norma espone di per sé a un rischio di non coincidenza delle valutazioni aziendali con quelle dell’autorità di controllo, ma tale genericità apre la strada a contestazioni della valutazione dell’autorità di controllo.

La valutazione, soprattutto, in sede di irrogazione delle sanzioni amministrative, comporta un’attenta motivazione della non congruità, poiché certamente l’autorità di controllo non ha titolo per imporre le migliori scelte aziendali, dovendo limitarsi a rilevare la non conformità.

Peraltro, si può costruire una griglia delle azioni da compiere, con l’avvertenza che la mancata iniziativa in ciascuna delle attività indicate nella tabella sottostante implica l’alea non solo della responsabilità amministrativa, ma anche della responsabilità civile per danni.

Obiettivi

Articoli GDPR

Documenti da predisporre

Conoscenza trattamenti in essere

30

Registro trattamenti

Livello adeguato di sicurezza

32

Analisi dei rischi

35

Valutazione di impatto sulla protezione dei dati

36

Consultazione preventiva

33, 34

Procedura data breach

Organizzazione esterna/Contitolari

26

Accordo con contitolari

Organizzazione esterna/Nomina responsabili esterni

28

Contratto di responsabile esterno

Organizzazione esterna/Nomina sub-responsabili esterni

28

Contratto con sub-responsabili (da parte del responsabile esterno)

Organizzazione interna/Nomina “designati interni”, comunque denominati

5

Designazione

Organizzazione interna/Nomina autorizzati

29

Nomina dipendenti e collaboratori

Formazione autorizzati

39

Corsi per gli autorizzati

Protezione persone fisiche/rapporti con interessati

12, 13, 14

Informazioni e trasparenza

6, 7, 8, 9

Raccolta consensi (a seconda dei casi attestazioni, comportamenti inequivoci, consensi espliciti, consensi del genitore o rappresentante legale)

6, 9

Condizioni di liceità diverse dal consenso

6

Legittimo interesse

Funzione garanzia

37, 38, 39

Nomina DPO

Trasferimenti sicuro dati estero - Extra UE

44-50

Rispetto delle condizioni di liceità

Conseguimento attestazioni/Certificazioni

42, 43

Certificazione: acquisizione e mantenimento

Rispetto regole settoriali/Codice di condotta

40, 41

Adesione e osservanza di codice di condotta


I vantaggi del privacy planning - La griglia delle attività evidenzia investimenti. A tale proposito si sottolinea che è necessaria una programmazione comparativa, un “privacy planning”, che sortisca dal raffronto dei benefici con i costi diretti e indiretti da parziale o mancato adeguamento.

In ogni caso non bisogna considerare solo il costo della singola operazione (e cioè il costo vivo per effettuare gli adempimenti), ma anche il costo di opportunità e cioè le rinunce che si è disposti a sostenere i rischi che si è disposti a correre.

Così rappresentano un costo le risorse umane da destinare alla gestione delle procedure in materia di privacy, ma si evitano le sanzioni amministrative e si auspica di poter raggiungere il risultato di un maggiore livello di protezione dei beni aziendali, materiali e immateriali.

Rappresenta un costo lo sviluppo e aggiornamento delle procedure interne, ma si minimizza la spesa per risarcimento dei danni e si auspica di poter raggiungere il risultato di enfatizzare la funzione sociale dell’impresa.
Rappresenta un costo la formazione e l’aggiornamento del personale, ma si minimizza il rischio della lesione dell’immagine dell’impresa o dell’ente e si auspica di poter raggiungere il risultato di un maggiore livello di protezione dei clienti/utenti.

Infine, rappresenta un costo controllo e audit della gestione della privacy, ma si evitano le sanzioni; e si auspica di scongiurare perdite di mercato.

In sostanza l’adeguamento alla privacy è uno strumento e non uno scopo, può essere bene o male utilizzato: alle imprese l’ardua scelta.

Fonte: Ipsoa - Articolo a cura di Antonio Ciccia Messina

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Dati personali sotto attacco del marketing selvaggio, ma con il GDPR le soluzioni per il business corretto ci sono
Next I consulenti del lavoro non sono obbligatoriamente responsabili del trattamento

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy