Hi, How Can We Help You?

Obbligo di conformità al GDPR...

Obbligo di conformità al GDPR, la nuova normativa europea

L’obbligo di conformità al GDPR, conosciuto anche come principio di “accountability”, impone al titolare del trattamento dei dati il rispetto della normativa e della relativa documentabilità. Esaminiamo insieme come procedere per essere in regola con le prescrizioni di legge.

Gli art.5 e 24 cons. 74 e 78 del GDPR sanciscono il cosiddetto principio di accountability a carico del titolare del trattamento di dati personali sul web; inteso non solo come obbligo di conformità al GDPR, ma anche e soprattutto di documentazione adeguata del rispetto di tale conformità e del raggiungimento dell’obiettivo prefissato di protezione dei dati.
Specialmente tale secondo aspetto riveste una fondamentale importanza; da qui l’opportunità di seguire scrupolosamente il dettato normativo, nonché di affidarsi a professionisti esperti in materia di informatica giuridica.

Obbligo di conformità al GDPR: l’importanza della documentazione

Il principio di accountability rappresenta il vero punto focale dell’intera normativa imponendo al titolare a “dimostrare la conformità”.
Comprendere appieno l’importanza di tale principio è condizione essenziale per addivenire ad una corretta implementazione del proprio intero sistema di governo dei dati personali, tale da garantirne l’effettiva protezione, intesa come punto di partenza e traguardo da raggiungere.

Da ciò discendono una serie di fondamentali accorgimenti nella gestione della compliance (link ad articolo e-commerce e compliance, ndr) alle prescrizioni sui dati personali, che possono giungere sino al punto di revisionare l’intero sistema di governo dei dati messo a punto dall’azienda del titolare, con la previsione di un nuovo apparato documentale e procedurale.

Si tratta di una modalità di trattamento dei dati personali totalmente nuova rispetto a quanto prescritto dal D.Lgs 196/2003. Mentre quest’ultimo richiedeva esplicitamente solo un numero limitato di documentazione e di misure tecniche ed organizzative, il nuovo Regolamento europeo in materia di GDPR impone un approccio completamente nuovo alla materia della data protection.
La vecchia normativa infatti, pur prevedendo apposite informative per i soggetti interessati al trattamento, lettere di incarico dei soggetti designati con le relative istruzioni nonché misure minime di sicurezza, non richiedeva la formazione di una esplicita policy e procedure.

La nuova normativa, invece, impone di dimostrare la policy nonché il processo che è stato adottato per la protezione dei dati all’interno dell’organizzazione aziendale o del relativo sito. Ma ciò che impatta maggiormente sulla responsabilità giuridica del titolare è proprio l’onere di dimostrare che il modello di gestione dei dati utilizzato sia in grado di assicurare il rispetto effettivo del diritto alla protezione dei propri dati personali.

Conformità al GDPR: il principio di trasparenza

Uno dei principi fondamentali che il titolare dei dati deve assolutamente rispettare in ossequio alla nuova normativa è il cosiddetto Principio di trasparenza.
Informazioni chiare, semplici, trasparenti ed esposte con un linguaggio chiaro: questo l’obbligo di esposizione imposto al titolare.

Inoltre occorre fornire all’interessato talune indicazioni ulteriori rispetto al precedente impianto normativo, tra cui: tempi e criteri di conservazione dei dati; trasferimenti nazionali ed internazionali degli stessi; meccanismi legittimanti.

In base al principio di accountability, non è dunque sufficiente predisporre i testi. Occorre dimostrare di avere strutturato una procedura interna idonea a governare l’intero processo: individuare le funzioni aziendali che se ne occupano e mettere a punto “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32).

Utile a questo proposito disporre di un registro dei trattamenti ove annotare le richieste, che oltre a standardizzare la procedura ne documenti la gestione.

L’impianto organizzativo
Il titolare, come abbiamo visto, deve attuare e dimostrare di aver adottato una corretta accountability, e quindi un idoneo modello organizzativo che individui i ruoli e le responsabilità degli attori coinvolti nel trattamento dei dati.
Oltre ai ruoli tipizzati, previsti esplicitamente dal Regolamento, l’art. 2-quaterdecies del Codice novellato consente ulteriori margini di autonomia organizzativa e di espressione di accountability nel disegnare il proprio assetto organizzativo.
E’ infatti prevista la possibilità che “specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche espressamente designate” che operino all’interno dell’organizzazione del titolare o del responsabile, rimettendo poi alla libera scelta del titolare o del responsabile l’individuazione delle “modalità più opportune per autorizzare al trattamento” tali persone (2° comma).
Nella prassi, si è giunti all’individuazione di figure specifiche quali il “referente privacy”, il “privacy manager”, il “coordinatore privacy”. Si tratta di figure di vario profilo accomunate dall’essere autorizzate ad accedere ai dati personali in conformità all’art. 2-quaterdecies 2°comma del Codice novellato, operando in base alle istruzioni specifiche ricevute, previste agli artt. 29 e 32 par.4 del Regolamento.
Conformità al GDPR: conclusioni

Abbiamo dunque esaminato quanti adempimenti e di quale complessità siano previsti dalla nuova normativa in materia di accountability. Non solo: il Regolamento è talmente incisivo da permeare la stessa struttura organizzativa del Titolare dei dati.

Si comprende pertanto la necessità di creare una figura professionale, anche esterna, che funga da “regista” e che abbia costantemente il polso della situazione, ne sia il punto di riferimento, governi le relazioni interne e agisca quale intermediario fra i vari stakeholder (autorità di controllo, interessati e diverse business unit aziendali).
Affidarsi dunque ad un legale esperto in materia di trattamento dei dati sensibili acquisisce pertanto una rilevanza essenziale per avere la certezza di rimanere sempre all’interno del nuovo perimetro disegnato dalla Legge.

Share Post