Il regolamento generale per la protezione dei dati UE 2016/679 (General Data Protection Regulement, in acronimo GDPR) è applicabile (e deve essere applicato) a qualsiasi organizzazione che tratta [1] dati personali [2].
Il criterio di proporzionalità dei provvedimenti da assumere per assicurare riservatezza, integrità e disponibilità dei dati è fondamentale: ogni organizzazione è un caso a se e tutto dipende dall’impatto che l’incertezza (il rischio) produce sul trattamento [1] dei dati.
E’ chiaro che l’impatto è molto elevato quando i trattamenti sono su larga scala, ad alto livello di automatizzazione e riguardano dati sensibili (per esempio nel caso di aziende che gestiscono un grande numero di utenze o di account di reti sociali) ed è, al contrario, molto limitato quando si tratta di organizzazioni i cui unici dati personali trattati sono, per esempio, quelli dei dipendenti.
In entrambi i casi (estremi) e nel grande oceano dei casi intermedi (alcuni esempi, nell’ambito delle attività private: cliniche e laboratori di analisi, organizzazioni sociali, patronati, negozi on line, ma anche aziende industriali con dipendenti e clienti) bisognerà aver organizzato un efficace sistema di protezione dei dati.
Gli elementi essenziali di questo sistema sono la conoscenza dei dati personali trattati e dell’impatto sulla loro protezione dei trattamenti utilizzati dall’organizzazione [3], una definizione delle modalità di trattamento e delle misure di protezione dei dati [4], una informativa nella quale sinteticamente e in maniera chiara e comprensibile sia descritto il sistema di protezione dei dati e i diritti dell’interessato, collegata ad un modulo di raccolta del consenso [5], nomina dei responsabili e dei soggetti autorizzati al trattamento dei dati [6], il registro delle violazioni dei dati e il modulo per la comunicazione al Garante [7].
La valutazione dell’impatto del trattamento sulla protezione dei dati, formalizzata o meno, è la prima cosa da fare sia dal punto di vista logico che cronologico. Non è consigliabile, infatti, prevedere misure di protezione, scrivere informative e definire responsabili senza sapere con buona approssimazione quali dati personali vengono trattati dall’organizzazione, come vengono trattati, quali sono i rischi che corrono, quali effetti e quale impatto possono avere sulla libertà e la sicurezza degli interessati (le persone fisiche a cui i dati stessi si riferiscono). E’ necessario avere in merito idee precise, e al di là che sia obbligatoria o meno, è consigliabile, anche nei casi di aziende piccole e non interessate a gestione di dati personali su larga scala, procedere ad una valutazione d’impatto del trattamento sulla protezione dei dati (Data Protection Impact Assessment – DPIA).
Ma come farla? Da dove cominciare?
Di questo tratteremo nell’articolo che segue, con un percorso in 10 passi e prendendo ad esempio il caso di uno studio di medicina del lavoro. Il modello è esportabile con una avvertenza: maggiore è il numero dei dati personali, degli interessati e dei trattamenti e maggiore è la convenienza ad utilizzare database e software disponibili in commercio. L’automazione della valutazione ha, di contro, non solo pregi ma anche difetti: e quando siamo nell’ambito di una piccola impresa con poche decine di dipendenti e qualche migliaio di clienti di cui non sono trattati i dati personali l’utilizzo di database può complicarci la vita e rendere meno efficace l’analisi del rischio e la valutazione dell’impatto del trattamento sulla protezione dei dati, che sono il cuore vero di tutto il sistema.
»» Continua nel prossimo articolo: “Il primo passo: identificare i dati ed i trattamenti“
«« torna al decreto di adeguamento e all’elenco degli articoli
-
- Per trattamento si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
- Per dati personali si intendono i dati identificativi relativi al nome, cognome, data e luogo di nascita, codice fiscale, residenza, domicilio, recapiti telefonici, di posta elettronica, account social; i dati sensibili (art. 9 GDPR) relativi alle informazioni che possano rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale; i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona o, ancora, (art. 10 GDPR) le informazioni relative alle condanne penali e ai reati o a connesse misure di sicurezza di una persona.
- Valutazione dell’impatto sulla protezione dei dati (DPIA art. 35).
- Registro del trattamento dei dati (data register art. 30 GDPR).
- Informativa e modulo di raccolta del consenso al trattamento dei dati (art. 13 e 14 del GDPR).
- Moduli per la nomina dei responsabili del trattamento dei dati (art. 28 GDPR).
- Registro e modulo per la comunicazione delle violazioni dei dati (art. 33 e 34 GDPR).