Gdpr, tre passi verso il 25 maggio
Niente panico. La normativa europea sulla privacy che entrerà in vigore il 25 maggio potrebbe mettere in crisi anche i manager più esperti. “Si è parlato molto di rivoluzione, esasperando il messaggio sulle sanzioni” ha detto Daniele De Paoli del Dipartimento realtà economiche e produttive del Garante per la protezione dei dati personali. In occasione del Salone del Risparmio, tenutosi nei giorni scorsi a Milano, De Paoli è intervenuto al convegno Il nuovo approccio alla privacy: sicurezza dei dati personali e data breach. “L’Autorità non esiste per minacciare gli imprenditori” ha ricordato il dirigente, che ha messo in evidenza come il Gdpr non è altro che una evoluzione di una normativa già esistente. La prova è nei primi articoli che trovano corrispondenza con quelli del Codice della privacy vigente. “I principi sono gli stessi. Le differenze non sono altro che aggiornamenti e maggiori specificazioni rispetto a quanto già richiesto” ha continuato De Paoli. Il fattore chiave è quindi la continuità, sia per il legislatore italiano che per i soggetti coinvolti.
Attenzione alle misure di protezione dei dati
Per De Paoli, l’atipicità del regolamento sulla privacy deriva dalla sterminata dimensione della materia che affronta. Per questo, ha voluto indicare tre passi da compiere per arrivare al meglio all’appuntamento del 25 maggio. Il primo è individuare nel più breve tempo possibile il Dpo, ossia il responsabile del trattamento dei dati all’interno della struttura societaria; il suo compito è quello di tenere sotto controllo l’adeguatezza della propria azienda rispetto alla normativa europea. La nomina anticipata rispetto alla scadenza del 25 maggio consentirà al Dpo di acquisire già esperienza. Per le società di medie-grandi dimensioni, ha ricordato De Paoli, il Dpo può essere agevolmente individuato tra le figure interne, con il vantaggio di avere una agevolazione in partenza rispetto a un consulente esterno, perché ha già conoscenze del funzionamento dell’azienda e dei dati trattati. Per le società che avessero difficoltà a trovare un responsabile interno, De Paoli ha consigliato di trovare il consulente giusto tra gli esperti di lungo periodo, “perché il mondo della privacy è un settore complesso e ogni azienda ha le sue specificità”.
Tra continuità ed evoluzione dell'analisi dei rischi
Il secondo problema da affrontare immediatamente è l’informativa sui consensi. Anche in questo caso De Paoli ha sottolineato che serve procedere in continuità con il lavoro che l’azienda ha svolto fino a oggi. Si tratta di una integrazione delle informazioni che il regolamento chiede: occorre indicare le basi giuridiche del trattamento, i principi secondo cui si conservano i dati, e i relativi tempi. Il terzo consiglio verso il 25 maggio riguarda la realizzazione del registro dei trattamenti. De Paoli ha ricordato il ruolo delle realtà associative di categoria, che sta già dando importanti contributi per tutelare le aziende iscritte. Il registro, di fatto, è un foglio elettronico, che dovrà focalizzare l’attenzione sul censimento delle tipologie di trattamento (ad esempio dati clienti, fornitori, risparmiatori), con le ragioni giuridiche che portano al trattamento di questi dati. De Paoli ha tuttavia ricordato che il vero fattore di preoccupazione sarà l’indicazione delle misure di sicurezza, che va seguito non tanto per il regolamento, quanto per la sua importanza. Contro il rischio di attacco informatico servono adeguate misure di sicurezza. “Solo l’adozione di misure adeguate esonera da responsabilità. Per questo, occorre rivolgersi a consulenti esperti, per una seria analisi dei rischi” ha concluso De Paoli.