Implementazione del sistema di gestione privacy in azienda
Prima fase: mappatura ed assessment dei rischi collegati ai trattamenti di dati personali posti in essere nell’operatività aziendale; la fase si conclude con la stesura del Registro dei trattamenti, di cui all’art.30/GDPR. Questo strumento, ancorché elencato come non obbligatorio dal Regolamento stesso, configura un elemento che – proprio in coerenza con i principi di responsabilità del titolare – permette di dotare il costituendo sistema di gestione di un “cruscotto” di controllo e riepilogo generale fondamentale. Il nostro approccio quindi, tranne limitate eccezioni, ne prevede sempre l’implementazione.
Nell’ambito di questa fase, occuperà un opportuna sessione di lavoro quella dedicata alla ricognizione degli ambiti territoriali geografici di interesse per i trattamenti di dati personali attuati dall’organizzazione aziendale, con particolare riferimento agli eventuali spazi “extra UE”.
Seconda fase: gestione dei rapporti informativi e di eventuale consenso con tutte le parti terze censite dall’organizzazione aziendale; queste, essenzialmente clienti ed altre parti interessate, dovranno essere dotate di supporti, non solo documentali, per una trasparente e corretta gestione dei loro dati personali.
Terza fase: implementazione delle procedure ritenibili, nella giusta proporzionalità, come “obbligatorie” nel trattamento dei dati personali; queste si potranno riferire all’esercizio dei diritti da parte dei soggetti interessati, così come declinati dal Regolamento agli artt.15 e seguenti, nonché alle misure organizzative e preordinate alla gestione delle possibili violazioni subite nel processo di trattamento dei dati personali, ai sensi degli artt.33 e 34, fino a giungere alla valutazione per l’obbligatorietà o meno della nomina del Responsabile della protezione dei dati (DPO), come citato agli artt.37, 38 e 39.
Quarta fase: a fronte di opportune analisi di vulnerabilità, implementazione delle misure di sicurezza del sistema di Information Technology utilizzato per il trattamento dei dati personali o comunque coinvolto nei trattamenti posti in essere dall’operatività aziendale.
Quinta fase: costituisce quella che precede l’avvio del nuovo sistema di gestione a questo punto individuato nei precedenti “step”; essa vedrà una sua parte preponderante nel lavoro di definizione dell’organigramma aziendale per la privacy. Questo documento individua tutti gli attori aziendali coinvolti nelle responsabilità e nella gestione dei dati personali, individuando il Responsabile del Sistema Privacy, al quale ad esempio saranno assegnati tra gli altri i compiti di referente per i terzi ed – in mancanza del DPO – per l’Autorità Garante, e non trascurando di dedicare la giusta attenzione agli Amministratori di Sistema, la cui figura – va detto – si poteva auspicare avrebbe potuto essere destinataria di maggiore attenzione da parte del regolatore europeo.
L’approccio per fasi qui descritto mira a realizzare in buona sostanza un altro dei principi fondamentali del Regolamento, quello dell’art.25, noto secondo la definizione di “by design, by default” e ribadito dall’art.35, che tratta della cosiddetta “valutazione d’impatto”, nient’altro che la preliminare valutazione dei rischi insiti in un trattamento di dati. Secondo questo principio infatti il sistema di gestione aziendale promosso per il trattamento dei dati personali in azienda dovrà costituirsi come un sistema progettato in senso implementativo ed applicato secondo modalità operative determinate in modo stabile.