GDPR: i vantaggi del privacy planning
La conformità al GDPR non è uno status quo, cristallizzabile ad una certa data, ma è frutto di un processo dinamico che segue costantemente i flussi dell’attività aziendale. Inoltre, per le azioni di adeguamento non si può individuare una ricetta buona per tutti: la compliance va valutata secondo il criterio dell’adeguatezza, variabile nel tempo e a seconda di diverse circostanze e parametri. Sono riassumibili in dieci le regole d’oro che devono essere considerate per testare la regolarità agli obblighi del GDPR: quali sono? E come elaborare un “privacy planning” per la comparazione dei costi e dei benefici? L’adeguamento al GDPR è un iter continuativo e progressivo. Non è un risultato statico, ma segue la dinamica dell’attività aziendale. In sostanza si può avere la conformità a una certa data, ma bisogna programmare un aggiornamento a cadenza predeterminata, sotto la sorveglianza del Data protection officer. Per essere in regola con il GDPR è utile seguire questo percorso:
1. conoscere il GDPR.
2. seguire le priorità fissate dal Garante per la protezione dei dati personali
3. verifica delle unità aziendali interessate dalle modifiche
4. individuazione dei soggetti/uffici delegati a curare il processo di adeguamento
5. verifica degli investimenti sostenibili (in comparazione con i costi diretti e indiretti da parziale o mancato adeguamento)
6. analisi dell’esistente
7. comparazione dell’esistente con lo standard normativo
8. programmazione azioni di adeguamento
9. realizzazione delle azioni di adeguamento
10. controllo della correttezza/efficacia/efficienza delle azioni realizzate.
Consulta il dossier GDPR: come gestire gli adempimenti
Azioni di adeguamento al GDPR - Con riferimento alle azioni di adeguamento, non si può individuare una ricetta buona per tutti, perché non c’è uno standard normativo minimo.
Questo non significa che vi sia un unico grado di conformità (quello massimo esigibile), ma che la conformità deve essere valutata secondo il criterio dell’adeguatezza. Il concetto di adeguatezza può essere variabile, sia nel tempo, sia a seconda di diverse circostanze e diversi parametri.
Pertanto la genericità della norma espone di per sé a un rischio di non coincidenza delle valutazioni aziendali con quelle dell’autorità di controllo, ma tale genericità apre la strada a contestazioni della valutazione dell’autorità di controllo.
La valutazione, soprattutto, in sede di irrogazione delle sanzioni amministrative, comporta un’attenta motivazione della non congruità, poiché certamente l’autorità di controllo non ha titolo per imporre le migliori scelte aziendali, dovendo limitarsi a rilevare la non conformità.
Peraltro, si può costruire una griglia delle azioni da compiere, con l’avvertenza che la mancata iniziativa in ciascuna delle attività indicate nella tabella sottostante implica l’alea non solo della responsabilità amministrativa, ma anche della responsabilità civile per danni.
|
Obiettivi |
Articoli GDPR |
Documenti da predisporre |
|
Conoscenza trattamenti in essere |
30 |
Registro trattamenti |
|
Livello adeguato di sicurezza |
32 |
Analisi dei rischi |
|
35 |
Valutazione di impatto sulla protezione dei dati |
|
|
36 |
Consultazione preventiva |
|
|
33, 34 |
Procedura data breach |
|
|
Organizzazione esterna/Contitolari |
26 |
Accordo con contitolari |
|
Organizzazione esterna/Nomina responsabili esterni |
28 |
Contratto di responsabile esterno |
|
Organizzazione esterna/Nomina sub-responsabili esterni |
28 |
Contratto con sub-responsabili (da parte del responsabile esterno) |
|
Organizzazione interna/Nomina “designati interni”, comunque denominati |
5 |
Designazione |
|
Organizzazione interna/Nomina autorizzati |
29 |
Nomina dipendenti e collaboratori |
|
Formazione autorizzati |
39 |
Corsi per gli autorizzati |
|
Protezione persone fisiche/rapporti con interessati |
12, 13, 14 |
Informazioni e trasparenza |
|
6, 7, 8, 9 |
Raccolta consensi (a seconda dei casi attestazioni, comportamenti inequivoci, consensi espliciti, consensi del genitore o rappresentante legale) |
|
|
6, 9 |
Condizioni di liceità diverse dal consenso |
|
|
6 |
Legittimo interesse |
|
|
Funzione garanzia |
37, 38, 39 |
Nomina DPO |
|
Trasferimenti sicuro dati estero - Extra UE |
44-50 |
Rispetto delle condizioni di liceità |
|
Conseguimento attestazioni/Certificazioni |
42, 43 |
Certificazione: acquisizione e mantenimento |
|
Rispetto regole settoriali/Codice di condotta |
40, 41 |
Adesione e osservanza di codice di condotta |
I vantaggi del privacy planning - La griglia delle attività evidenzia investimenti. A tale proposito si sottolinea che è necessaria una programmazione comparativa, un “privacy planning”, che sortisca dal raffronto dei benefici con i costi diretti e indiretti da parziale o mancato adeguamento.
In ogni caso non bisogna considerare solo il costo della singola operazione (e cioè il costo vivo per effettuare gli adempimenti), ma anche il costo di opportunità e cioè le rinunce che si è disposti a sostenere i rischi che si è disposti a correre.
Così rappresentano un costo le risorse umane da destinare alla gestione delle procedure in materia di privacy, ma si evitano le sanzioni amministrative e si auspica di poter raggiungere il risultato di un maggiore livello di protezione dei beni aziendali, materiali e immateriali.
Rappresenta un costo lo sviluppo e aggiornamento delle procedure interne, ma si minimizza la spesa per risarcimento dei danni e si auspica di poter raggiungere il risultato di enfatizzare la funzione sociale dell’impresa.
Rappresenta un costo la formazione e l’aggiornamento del personale, ma si minimizza il rischio della lesione dell’immagine dell’impresa o dell’ente e si auspica di poter raggiungere il risultato di un maggiore livello di protezione dei clienti/utenti.
Infine, rappresenta un costo controllo e audit della gestione della privacy, ma si evitano le sanzioni; e si auspica di scongiurare perdite di mercato.
In sostanza l’adeguamento alla privacy è uno strumento e non uno scopo, può essere bene o male utilizzato: alle imprese l’ardua scelta.
Fonte: Ipsoa - Articolo a cura di Antonio Ciccia Messina
