* * *
Si tratta innanzitutto di cambiare l’approccio al tema della privacy, o meglio del trattamento dei dati, passando da una valutazione statica ad una dinamica. Tralasciando per il momento la minaccia delle ingenti sanzioni – fino al 4% del fatturato di gruppo – spesso rappresentata per ricordare la necessità di intervento di adeguamento al GDPR, il nuovo impianto normativo è rivolto, infatti, a creare un modello organizzativo che sin dalla sua progettazione prenda in esame il trattamento dei dati assicurando il contemperamento delle finalità del titolare del trattamento con i diritti dell’interessato e che nella sua evoluzione consenta di conservare tale equilibrio, anche a grazie a interventi migliorativi, aggiornamenti e continui adeguamenti.
Ecco perché la privacy non sarà più una serie di adempimenti formali bensì un processo aziendale da gestire in tutte le sue fasi, dalla ideazione alla individuazione di misure tecniche per limitare il trattamento a quanto necessario: con una espressione “privacy by design” e “privacy by default”.
Diversi saranno, anche gli interlocutori della privacy ovvero il loro ruolo: maggior responsabilizzazione del titolare del trattamento, del co-titolare e del responsabile, che secondo il principio della accountability dovranno dimostrare di aver prima valutato e poi adottato tutti quei comportamenti e/o misure tali da assicurare il rispetto della normativa. Peculiari le previsioni di contrattualizzazione di tali ruoli, delle rispettive responsabilità e dei precipui compiti.
A seguire, la nuova figura del “DPO” (Data Protection Officer o Responsabile della protezione dei dati), non sempre obbligatoria ma, comunque, fortemente raccomandata, che dovrà essere un soggetto con conoscenze specialistiche e adeguata formazione, i cui compiti spazieranno dal controllare e garantire una corretta gestione dei dati, a quello di interfacciarsi con gli interessati ed interloquire con l’autorità.
Interventi innovativi, sebbene meno radicali di quelli sopra ricordati, si avranno con riferimento al consenso, che cessa di essere sempre obbligatoriamente scritto e diventa (fatto salvo il caso di alcuni dati particolari: biometrici, genetici, che riguardano la salute, l’origina raziale o etnica, minori, ecc), consenso inequivocabile, desumibile anche dai comportamenti degli interessati. Idem per l’informativa che dovrà diventare un documento semplice, breve (per quanto possibile considerati i numerosi elementi che deve contenere), trasparente, di facile comprensione, con linguaggio semplice rivolto anche ai minori, e dovrà essere arricchito con qualche informazione in più rispetto a prima, come l’indicazione dell’origine dei dati utilizzati dal titolare e del tempo di conservazione previsto.
Di introduzione europea anche il registro dei trattamenti, da aggiornare nel tempo proprio nell’ottica della privacy dinamica summenzionata, ed il documento di valutazione di impatto del trattamento dei dati, entrambi da conservare unitamente ad un elaborato, non espressamente normato, ma altamente consigliato, riepilogativo delle iniziative e misure adottate a comprova di una intervenuta analisi e continua attenzione alla compliance al regolamento.
Documentate dovranno essere anche eventuali violazioni di dati personali, oggetto di notifica al Garante, senza indugio e comunque entro 72 ore, qualora possano derivare rischi per i diritti e le libertà degli interessati.
Maggiori attenzioni, poi, ai diritti degli interessati con alcune novità come il diritto alla portabilità dei dati (soggetti a trattamento automatizzato), così che l’interessato possa chiedere il trasferimento dei propri dati personali da un titolare ad un altro; il diritto alla cancellazione –indicato anche come diritto all’oblio – con obbligo del titolare di informare della richiesta di cancellazione anche gli altri soggetti che trattano tali dati ed il diritto alla limitazione del trattamento, esercitabile dall’interessato in attesa di rettifica dei dati o in caso di opposizione al trattamento.
In tale quadro ricco di novità ed esaminate le peculiarità introdotte dal GDPR, quale prima risposta agli interrogatovi iniziali, si può suggerire alle aziende (onde evitare che arrivino impreparate al 25 maggio 2018), di intraprende un percorso di analisi della loro attuale “situazione” privacy, mappando le banche dati, verificando l’adeguatezza della propria documentazione, rilevando i dati detenuti e il livello di consenso, nonché valutando i soggetti coinvolti nel trattamento. Concluso tale percorso di analisi, le aziende dovranno poi rivedere, secondo l’approccio dinamico ed il diverso punto di esame, i processi di trattamento, l’organigramma della privacy, l’informativa, introdurre il registro dei trattamenti e nell’ottica di operare per la creazione di un modello complessivo di compliance.