GDPR: azioni raccomandate dal legale avv. Luca Bolognini, Founding Partner ICT Legal Consulting & Presidente dell Istituto Italiano per la Privacy e la Valorizzazione dei Dati luca.bolognini@ictlegalconsulting.com - www.ictlegalconsulting.com l.bolognini@istitutoprivacy.it - http://www.istitutoitalianoprivacy.it Follow @lucabolognini ICTLC www.ictlegalconsulting.com
Manca meno di un anno alla scadenza del termine ultimo per mettersi in regola con il nuovo Reg. 679/2016(UE) (http://eurlex.europa.eu/legal-content/it/txt/?uri=celex%3a32016r0679). Dati i numerosi e significativi cambiamenti imposti da questa rivoluzionaria normativa privacy, entrata in vigore nel maggio 2016, ha senso impostare il lavoro di adeguamento con approccio proattivo ed efficiente.
1. Due Diligence & Gap Analysis privacy, audit tecnologico misure di sicurezza e piano strategico di transizione e compliance, alla luce della nuova disciplina. La Due Diligence & Gap Analysis è finalizzata all individuazione delle possibili azioni correttive ex Reg. 679/2016 con riferimento all attuale/corrente sistema privacy adottato nell organizzazione Titolare o Responsabile del trattamento, allo scopo di prepararsi consapevolmente anche in termini di valutazione del potenziale rischio sanzionatorio connesso all inadempimento all avvento della nuova normativa. Il risultato della Due Diligence & Gap Analysis sarà un Report pratico e dettagliato in cui si indicheranno: trattamento censito, obblighi, adempimento/inadempimento, livello di priorità (secondo criteri di rischiosanzione), azione raccomandata. Questo documento costituirà l indispensabile strumento di orientamento per i passi di compliance privacy successivi.
2. Alla Due Diligence segue la stesura del Piano di transizione dalla compliance ex D.Lgs. 196/2003 Direttiva 95/46/CE all applicazione del Reg. 679/2016. E inoltre raccomandata un analisi strategica, per le imprese con sedi in più Paesi, relativa all applicabilità delle leggi e alla competenza giurisdizionale privacy a seconda dei trattamenti e degli stabilimenti del Titolare/Responsabile.
3. Organizzazione del nuovo Data Protection Office(r) aziendale/dell ente, anche esternalizzato. Necessario un team con competenze privacy e di IT security ( Data Protection Office ) a supporto dell operatività quotidiana della nuova figura di Responsabile della protezione dei dati personali, Data Protection Officer, (obbligatoria per chi faccia monitoraggio o tratti dati sensibili/giudiziari su larga scala e per tutti gli enti pubblici). 4. Designazione del Data Protection Officer che, supportato dal team di cui sopra, svolgerà in maniera proattiva e il più possibile autonoma le necessarie attività privacy per conto dell azienda/ente.
5. Data Protection Impact Assessment (Valutazione d impatto privacy) per i trattamenti di dati che presentano rischi specifici per i diritti degli interessati, da operarsi dopo avere individuato tali trattamenti in fase di due diligence/gap analysis. Tale analisi può essere svolta anche a mezzo dell adozione di sistemi software di analisi dei rischi privacy (possibilmente combinati con ISO27001).
6. Eventuale preparazione di verifiche/consultazioni preliminari innanzi al Garante in caso di trattamenti di dati che non presentino sufficienti misure di mitigazione dei rischi di impatto, a norma dell art. 17 Cod. Privacy e, in futuro, del nuovo Reg. 679/2016.
7. Revisione dei testi delle informative e dei consensi per il trattamento di dati personali, on line e off line, rendendoli già compatibili con i requisiti di cui al Reg. 679/2016. 8. Revisione dei testi degli incarichi, delle nomine e dei data processing agreements necessari per i soggetti che trattano dati personali, per renderli già conformi ai requisiti previsti dal Reg. 679/2016.
9. Impostazione e redazione delle nuove documentazioni obbligatorie, con armonizzazione delle vecchie documentazioni presenti nella struttura del Titolare/Responsabile del trattamento e loro trasformazione nei Registri di cui ai nuovi artt. 30 e ss. del Reg. 679/2016; la realizzazione e successiva tenuta dei registri obbligatori possono essere svolte anche attraverso un software di gestione documentale privacy, disegnato in ossequio ai requisiti di cui al Reg. 679/2016.
10. Data Breach (Notification/Communication) Management (Gestone della violazione dei dati personali e relativa notifica all Autorità e comunicazione agli interessati). Assistenza volta alla predisposizione di una dettagliata procedura per gestire le eventuali violazioni dei dati personali al fine di individuarne prontamente le cause, mitigarne gli effetti, valutare la necessità di notifica all Autorità e di comunicazione agli interessati nonché svolgere correttamente tali adempimenti -> ruolo forensics essenziale.
11. Predisposizione di procedure per facilitare i diritti dell interessato (ad es. nel caso di diritto alla portabilità ex art. 20.1 e del diritto all oblio ex art. 17.2). 12. Formazione degli incaricati sulla nuova disciplina privacy europea, ex Reg. 679/2016.
13. Designazione dei Data Protection Designer. Professionisti in grado di assistere e guidare l applicazione dei principi di data protection by design e data protection by default nella progettazione di nuovi processi, prodotti e servizi, a norma degli artt. 24 e ss. del Reg. 679/2016.
14. Corretta integrazione fra adempimenti settoriali (ancora di competenza nazionale, es. privacy e Jobs Act, privacy sanitaria, ecc.) e nuova compliance generale europea. Attenzione alle sanzioni.
15. Presidio continuativo legale e tecnologico di tutti gli aspetti di compliance GDPR: chi si ferma, è perduto. 3 PAROLE-CHIAVE: DOCUMENTARE, DOCUMENTARE, DOCUMENTARE
16. Last but not least anzi da sviluppare e far evolvere sin dall inizio del percorso realizzare un Piano di Sicurezza dei Dati che garantisca un livello di sicurezza adeguato al rischio, avendo la capacità di: a) cifrare, pseudonimizzare o anonimizzare i dati a seconda dei casi; b) assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
A voler pensare male Dulcis in fundo: stipulare una polizza intendo una polizza assicurativa contro il cyber-risk (nessuno è perfetto)
Grazie dell attenzione Q&A avv. Luca Bolognini, Founding Partner ICT Legal Consulting & Presidente dell Istituto Italiano per la Privacy e la Valorizzazione dei Dati luca.bolognini@ictlegalconsulting.com - www.ictlegalconsulting.com lucabolognini@istitutoprivacy.it - http://www.istitutoitalianoprivacy.it ICTLC www.ictlegalconsulting.com 31