Trattamento dei dati, ovvero quello che c’è da sapere sul GDPR

Il 25 maggio scorso è entrato ufficialmente in vigore il regolamento generale sulla protezione dei dati (GDPR). Secondo un rapporto di Capgemini, solo il 48% delle nostre imprese si dichiara ampiamente o completamente conforme. Abbiamo cercato di fare chiarezza con Raja Marazzini, “data protection officer” di aziende italiane operanti nel settore dell’information technology e consulente privacy da circa 15 anni.

Dottor Marazzini, quanto devono preoccuparsi le aziende veronesi a seguito dell’entrata in vigore del GDPR?
Quanto basta, ma non è il caso di stracciarsi le vesti. Ognuno di noi ha visto in questi giorni centinaia di email arrivare da società che chiedevano di rinnovare il consenso al trattamento, ma nella maggioranza dei casi quel consenso era già stato raccolto nel modo corretto quindi azione non solo inutile, ma fastidiosa per gli utenti.

Qual è lo spirito del GDPR?
Il GDPR (General Data Protection Regulation) è il Regolamento europeo 2016/679 per la protezione dei dati personali e nasce principalmente per due ragioni: in primis creare una regolamentazione minima di base a protezione dei dati personali delle persone fisiche direttamente applicabile in tutti gli Stati Membri. In secondo luogo costruire un sistema basato sul principio della responsabilizzazione dei titolari del trattamento per cui ogni azienda, ente pubblico e privato deve fare una valutazione sulle proprie finalità e attività di trattamento e stabilire politiche di protezione dei dati che possono essere basate su basi minime (privacy by default) oppure costruite su misura per la propria struttura (privacy by design).

Quali sono i soggetti che costituiscono l’organigramma privacy nel nuovo Regolamento?
Ogni azienda avrà le seguenti figure: il titolare del trattamento, nella persona del legale rappresentante, il responsabile del trattamento interno ed esterno, i soggetti autorizzati a trattare i dati (quelli che nella precedente normativa venivano chiamati “incaricati”, e che in genere erano dipendenti), e nel caso l’azienda abbia diversi dipartimenti, o stabilimenti in luoghi diversi o dipartimenti con trattamenti diversi, potrà nominare i “referenti privacy”, che riporteranno al titolare del trattamento e/o al responsabile del trattamento ove nominato)

Chi è obbligato a nominare il Data Protection Officer?
La nomina del D.P.O. (che è figura manageriale, che deve essere contrattualizzata con un compenso adeguato e alla quale deve essere affidato un budget da poter investire in miglioramento dei processi aziendali) è obbligatoria per tutti i soggetti pubblici, per i soggetti che trattano dati particolari (che nella normativa italiano erano denominati “dati sensibili”), e per i soggetti che trattano dati di profilazione sistematica su larga scala. Tutte le altre tipologie di aziende hanno la facoltà di nominarlo, e se viene nominato, tale nomina deve essere comunicata all’Autorità Garante Privacy sul sito www.garanteprivacy.it.

Cosa consiglia alle aziende che hanno necessità di adeguarsi al GDPR?
Il primo consiglio è di verificare con un consulente che abbia esperienza in tema di privacy e data protection cosa è necessario fare per adeguarsi alla normativa: è importante non fare adempimenti formali, ma sostanziali. Una chiara e trasparente informativa, comprensibile anche da un ragazzo di 16 anni, senza tanti formalismi in “legalese” e con tutti i dati richiesti; un regolamento interno con mansionari per i soggetti autorizzati a trattare i dati, ma anche per tutti gli altri dipendenti in modo da poter regolamentare meglio le attività aziendali.

Immaginiamo che grande spazio vada dato alla formazione…
La formazione dei dipendenti sulle modalità di trattamento e sui rischi del trattamento dei dati è adempimento essenziale, perché trattare dati è considerata attività pericolosa, come trattare sostanze esplosive: se si prova di aver adottato misure di sicurezza fisiche logiche e procedurali è possibile contenere il danno, altrimenti si incorre in responsabilità e si è costretti a un risarcimento. E poi è importante nominare i responsabili (esterni) del trattamento, ad esempio il commercialista, il consulente del lavoro…Per le strutture più complesse consiglio di gestire l’analisi dei rischi in modo strutturato e di tenere il registro dei trattamenti ed il registro delle violazioni (data breach) per avere un documento che attesti gli interventi a protezione dei dati nel tempo.

CHI E’ RAJA MARAZZINI
Dopo la laurea in Legge, si è specializzato in Diritto della rete internet con un Master presso l’Università di Padova, tenuto dai principali esperti a livello italiano ed europeo in materia di protezione dei dati (Privacy e Data Protection). È co-fondatore di Airpim, PMI Innovativa operante nel settore ICT (Information and Communication Tecnology), specializzata in servizi cloud di identity management.