Facciamo chiarezza: l’adeguamento GDPR non è puramente giuridico

L’entrata in vigore del Regolamento UE 2016/679, comunemente noto come GDPR o legge sulla privacy, in Italia non ha ancora prodotto i risultati desiderati. L’approccio continua essere quello di ottemperare forzatamente ad una norma come imposizione dall’alto senza valutare l’oggettivo vantaggio che comporta seguire un percorso strutturato all’adeguamento GDPR.

 

Gli errori e le convinzioni comuni

Ancora oggi, novembre 2018, ci sottopongono, per una valutazione, documenti di nomina quale “Responsabile esterno al trattamento” riportante richiami a norme “ABROGATE”, ad esempio:

[…] gestite con le modalità previste dal Disciplinare Tecnico, Allegato “B” al D.Lgs. 196/03 – “Codice della Privacy”

Questo significa che non solo chi ha redatto questa nomina non ha la benché minima idea di quali siano le vigenti normative (il D.Lgs. 196/03 è stato modificato pesantemente dal D.Lgs. 101/2018 abrogando gran parte della precedente norma) ma non vengono prese in considerazione tutte le necessarie analisi dei contesti di trattamento del dato fatto dal ricevente.

In questo scenario, la confusione che l’approccio all’adeguamento GDPR sia prevalentemente “Giuridico” viene purtroppo erroneamente alimentata dalla sempre maggiore indicazione da parte di organi di informazione che forse non sono ancora riusciti a carpire i meccanismi innescati dal GDPR.

 

Raggiungere la compliance GDPR

In quanto professionisti della materia, invece vorremmo chiarire che il contesto applicativo del Regolamento europeo sulla protezione e il trattamento dei dati personali è molto più ampio del solo ambito normativo. Così ampio e complesso che potremmo identificare tre aree di intervento fondamentali per il reale adeguamento GDPR:

Normativo

Partendo dalla legislazione vigente in materia di protezione dei dati personali, si definiscono le regole per raggiungere la conformità.

Organizzativo

Attraverso l’analisi dei processi e delle attività, si individuano i trattamenti dei dati effettuati dall'impresa, se ne valuta la loro conformità e si formulano le proposte di modifica.

ITC

Si realizza un focus sugli aspetti tecnologici dell’infrastruttura con cui vengono trattati i dati. In questo ambito vengono analizzate e ridefinite le misure di sicurezza per la protezione dei dati.

Viene quindi spontaneo domandarsi come sia possibile giungere all’adeguamento GDPR con un approccio puramente “legale”.

Rischi e opportunità dell’adeguamento GDPR 

A nostro avviso, premessa la necessaria ed approfondita conoscenza del Regolamento stesso, è necessario trasferire ai vertici aziendali la dovuta consapevolezza dei rischi di una cattiva o inadeguata valutazione dei rischi, oltre ad evidenziare che un’analisi strutturata dei processi aziendali che, a qualsiasi titolo, trattano informazioni personali, consente di migliorare i processi stessi ottimizzandone le performance operative.

Se ti è piaciuto questo articolo, condividilo!

Be the first to comment

Leave a Reply

L'indirizzo email non sarà pubblicato.


*