GDPR: 3 dubbi, 3 risposte

Nelle ultime settimane abbiamo raccolto sul campo diverse domande sulla nuova normativa a tutela dei dati, e quindi sulla privacy. Sono dubbi importanti a cui vogliamo rispondere in un solo posto, per risolverli anche a voi, qualora ne abbiate bisogno.

A cosa serve fare il GDPR?

Intanto un po' di chiarezza: non si “fa il GDPR”. Il GDPR è il Regolamento Generale sulla Protezione dei Dati. È un insieme di norme e di relative sanzioni che proteggono, appunto, i dati. Dati che per la prima volta vengono definiti “BENE ECONOMICO”.

Quello che dovete avere è il Registro della Privacy, il DPIA ed altri documenti (nota informativa, richiesta consenso…), semmai. Quello che il GDPR non impone sono interventi di natura tecnica: potresti doverli fare, se i dati che conservate non sono al sicuro, ovviamente. Ma non è lo scopo della normativa: questa regolamento vuole che l'imprenditore prenda atto del problema privacy, ne affronti gli aspetti principali e si prepari a gestirne le criticità. Quindi se qualcuno vi dice che installando un nuovo firewall sarete a posto, nella migliore delle ipotesi, sta sottovalutando il problema. Ci vuole la carta per provare di aver fatto l'assessment, non la fibra.. o quanto meno non solo.

Ma sono tenuto anche io a fare queste procedure?

La norma è incentrata sul dato, non su chi lo possiede: azienda grande o piccola, professionista o imprenditore, chi gestisce un dato particolare (evoluzione del dato sensibile), deve prendere coscienza del problema. Ma come si può sapere se lo detenete? Attraverso l’assessment. Il principio che si vuol far valere è che va fatta un'indagine interna per capire tre cose: che dati si possiedono, come si usano e come li si proteggono. Ogni step di questa catena è importante, si direbbe fondamentale, per tutelare il diritto alla privacy degli individui da cui abbiamo acquisito le informazioni.

Ma cosa richiede davvero il Regolamento?

In sostanza, e valevole per tutti quelli che gestiscono dati personali, è la presa di coscienza, documentata nelle forme adeguate. Questo obbligo aumenta di intensità all'aumentare dell'intrusività della natura del dato. Per cui il semplice dato personale è trattabile, purché tutelato. Il dato particolare non è trattabile fuori dal consenso o della necessità. In mezzo vengono affermate nuovi regole, assolutamente rilevanti che riassumono in sé la logica dell'intera normativa. Ovvero i dati devono sottostare ai principi di:

1.     liceità, correttezza e trasparenza nella raccolta

2.     limitazione della finalità

3.     minimizzazione (principio nuovo e da approfondire)

4.     esattezza

5.     limitazione della conservazione

6.     integrità e riservatezza

Inoltre il titolare è tenuto alla responsabilizzazione. Che poi è, forse, il nucleo stesso della normativa.

Per tutti i chiarimenti sul nuovo REGOLAMENTO PRIVACY UE SISECO partecipa al tour di conferenze GDPRDay. Durante le conferenze SISECO presenterà la soluzione GDPR Navigator, una soluzione innovativa che è il risultato di un intenso lavoro di esame ed interpretazione della normativa, condotto in collaborazione con uno studio di Avvocati. Considerando la complessità della normativa, GDPR Navigator consente di “navigare” verso la compliance con facilità e rapidità. Attraverso un assessment guidato, una checklist di attività e la documentazione a corredo l’impresa avrà la possibilità di valutare i rischi e le modalità di “messa in compatibilità” rispetto alla nuova normativa europea.

Siseco partecipa con un workshop a tutte le tappe del GDPR Day 2018:

Milano, 11 aprile. Novotel Milano Ca’ Granda Hotel – Viale Suzzani, 12

Padova, 18 aprile. AC Hotel Padova – Via Prima Strada 1

Roma, 15 maggio. IBIS STYLES Roma Eur – Viale Egeo, 133

Bari, 17 maggio. Hi Hotel Bari – Via Don L. Guanella, 15/L