Norme & Tributi

Trattamento dati obbligatorio, aziende al lavoro per il budget

  • Abbonati
  • Accedi
gestione

Trattamento dati obbligatorio, aziende al lavoro per il budget

L’ultima notizia è di qualche giorno fa e riguarda Uber, la società statunitense che gestisce l’applicazione per prenotare automobili con autista: circa un anno fa avrebbe subito l’hackeraggio dei dati di 57 milioni di utenti nel mondo, di cui 600mila conducenti. Ma ormai quasi quotidianamente arriva l’eco di accessi a siti e applicazioni di aziende e, cosa più preoccupante, istituzioni pubbliche con conseguente “furto” dei dati personali degli utenti, che stanno diventando sempre più la vera ricchezza di questa era digitale. Questo è sufficiente per far comprendere come il tema del trattamento dei dati personali sia pressante e come l’applicazione del regolamento europeo 2016/679 a partire dal 25 maggio 2018 (noto anche come Gdpr, acronimo di General data protection regulation) diventi centrale per le imprese.

Nonostante il termine per mettersi al pari sembri lontano, la materia è complessa e i cambiamenti che apporta il regolamento consistenti, per cui è buona cosa cominciare prima possibile.

Il censimento dei trattamenti e delle rispettive componenti essenziali (mappatura), insieme alla ricognizione degli adempimenti e delle misure tecnico-organizzative adottate rappresentano i primi passi che consentono all’azienda, con il supporto di un esperto della materia, di valutare lo stato di conformità attuale (stato dell’arte) insieme all’accertamento del delta differenziale rispetto a quanto prescritto dal Gdpr (valutazione delle carenze). La lista delle carenze, con l’attribuzione a ciascuna di un indice di rilevanza, permette di individuare le azioni di rimedio e di pianificarne l’implementazione, secondo un ordine di priorità ed una tempistica predefinita.

Questa modalità rende possibile determinare con sufficiente accuratezza alcuni elementi fondamentali per la gestione del relativo progetto aziendale: cioè, quali e quante risorse interne occorrono, qual è il budget stimato, quali sono le interdipendenze tra un’attività e l’altra, quali gli artefatti o i risultati attesi nei diversi stati di avanzamento lavori, come facilitare l’assimilazione dei risultati da parte del tessuto aziendale interno, evitando contraccolpi o negligenze.

La rilevazione delle carenze inevitabilmente rivelerà qualche mancanza rispetto alla normativa vigente ed altre riguardo alle future prescrizioni del Gdpr, ponendosi l’interrogativo di come comportarsi nei riguardi di quelle mancanze che cesseranno di essere tali con il Gdpr (ad esempio, l’obbligo di notificazione preventiva al Garante); al riguardo occorrerà tener presente che in proposito vige il principio per cui l’atto è soggetto alla norma vigente al momento in cui è stato compiuto: cioè, se la notificazione è dovuta ora ma non lo sarà più dopo maggio 2018, la mancanza non sarà sanata per il periodo in cui la stessa notificazione era obbligatoria. Completeranno i rimedi quelli dipendenti da nuove prescrizioni del Gdpr, distinguendo le misure tecniche (come la maggior parte delle misure di sicurezza) dalle organizzative (ad esempio, il modello organizzativo dei ruoli data protection) e tra quelle di natura documentale (come informative, modelli contrattuali, registro dei trattamenti e dei data breach) o di processo (approccio basato sul rischio, impostazione in fase di progettazione, gestione delle violazioni, valutazioni e Dpia).

© Riproduzione riservata