L'evoluzione della privacy: il ruolo chiave del GDPR e del Data Protection Officer

Il 25 maggio 2018 ha segnato l'entrata in vigore del Regolamento (UE) 2016/679, noto come GDPR, che si propone di uniformare la protezione dei dati personali nell'Unione Europea. Questo regolamento presenta diversi obiettivi innovativi, tra i quali il rafforzamento dei diritti degli interessati e l'enfasi sui principi di responsabilità, privacy by design e by default. Inoltre, introduce sanzioni più severe, che possono arrivare a €20.000.000 o al 4% del fatturato annuo mondiale del gruppo. Una figura chiave del GDPR è il Data Protection Officer (DPO), incaricato di sovraintendere alla conformità delle norme. Le organizzazioni devono pertanto sviluppare un sistema di gestione della privacy, che include vari componenti essenziali ai fini della compliance.

Gestione dei trattamenti e informative

Uno degli elementi fondamentali per la conformità al GDPR è il Registro dei Trattamenti, che deve essere mantenuto dal Titolare del Trattamento. Esso deve contenere dettagli come i dati di contatto del titolare e, se applicabile, del DPO, le finalità del trattamento dei dati, una descrizione delle categorie di interessati e dati personali, le categorie di destinatari dei dati e, se del caso, i trasferimenti verso paesi terzi o organizzazioni internazionali. Inoltre, include i termini di conservazione dei dati e una descrizione delle misure di sicurezza adottate. Il Titolare è anche tenuto a fornire informative chiare e trasparenti agli interessati, sull'uso dei loro dati. Queste informative devono coprire vari aspetti, tra cui l'identità del Titolare, gli scopi del trattamento e i diritti degli interessati.

Designazioni e procedure

Oltre alla gestione dei trattamenti, il Titolare deve emettere Lettere di Designazione per chiunque tratti dati personali per suo conto, siano essi Responsabili del Trattamento (fornitori) o Soggetti Autorizzati (dipendenti, inclusi gli Amministratori di Sistema). Queste designazioni devono essere redatte in forma scritta e contenere istruzioni specifiche. Le procedure operative devono essere ben definite e conformi al GDPR, includendo la Privacy by Design e la DPIA (Data Protection Impact Assessment), la gestione delle violazioni dei dati (Data Breach), e i processi per l'esercizio dei diritti degli interessati e per la nomina dei Responsabili e dei Soggetti Autorizzati. Queste procedure garantiscono la gestione corretta e sicura dei dati personali.

Analisi dei rischi e privacy by design

Secondo l'articolo 32 del GDPR, il Titolare del Trattamento deve condurre un'analisi dei rischi per determinare le misure di sicurezza appropriate. Questa analisi deve considerare lo stato dell'arte, i costi di implementazione, e i rischi per i diritti e le libertà degli interessati. Le misure possono includere la pseudonimizzazione e la cifratura dei dati, la capacità di garantire riservatezza, integrità, disponibilità e resilienza dei sistemi, e la possibilità di ripristinare tempestivamente l'accesso ai dati in caso di incidenti. Il concetto di Privacy by Design, delineato all'art. 25 del GDPR, richiede di integrare la protezione dei dati fin dalla progettazione di nuovi processi o sistemi. Per i trattamenti che comportano rischi elevati, il Titolare deve eseguire una DPIA, ossia una valutazione dell'impatto sulla protezione dei dati, per garantire una gestione sicura e conforme alle normative.