Tutti i soggetti economici che intendono offrire servizi, anche non a pagamento, a Interessati che si trovano all’interno dei confini dell’Unione Europea devono rispettare le prescrizioni del Regolamento indipendentemente da dove ha sede l’azienda o dove si trovano gli apparati con i quali i trattamenti vengono effettuati.

Il panico è comprensibile: solo le sanzioni amministrative possono raggiungere i 20 milioni di euro o il 4 % del fatturato mondiale totale annuo.


Non ci sarà più come parametro di riferimento le c.d. “misure minime” della vecchia normativa (DLgs 196/2003), applicate le quali il Titolare poteva considerarsi al sicuro da possibili contestazioni, ma si tratterà di effettuare un’attività di valutazione che è rimessa alla sua responsabilità: in estrema sintesi sarà il Titolare, o il Responsabile del trattamento, che dovrà individuare ed applicare le “misure idonee” a garantire che il trattamento avvenga nel rispetto dei dettami normativi e senza rischi per le libertà e i diritti dell’Interessato.

Il principio di PbD costituisce uno strumento indispensabile a creare le condizioni affinché alla protezione dei dati personali venga prestata la necessaria attenzione sin dalle fasi iniziali di progettazione di un prodotto/servizio/applicativo destinato a trattare dati personali.
Una tale scelta consentirà di applicare fin da subito soluzioni e misure di protezione in grado di garantire adeguati livelli di tutela ai dati trattati adottando, ad esempio, forme di offuscamento di una parte di dati, pseudoanonimizzazione, o altre idonee misure di protezione.
Più in generale al Titolare è richiesto di garantire la “Sicurezza del trattamento” prestando le necessarie attenzioni alle misure tecniche ed organizzative che avendo a riferimento la tipologia dei trattamenti, le finalità perseguite, la probabilità di accadimento e di gravità dei rischi connessi per i diritti e le libertà degli individui, garantiscano un contesto protetto nel quale tali trattamenti vengono effettuati.

Ogni volta che si verifica una violazione di dati personali il Titolare deve notificare alla DPA (Data Protection Authority) competente e, in certi caso anche agli Interessati, l’accadimento entro 72 ore dal momento nel quale l’evento si è verificato o è stato rilevato.
Inoltre il Titolare è tenuto a documentare ogni violazione dei dati personali, le circostanze in cui si è verificata, le conseguenze nonché la descrizione delle attività svolte per porre rimedio o per limitare gli impatti dell’evento: tale documentazione deve essere messa a disposizione della DPA in caso di controlli.
Si tratta di un adempimento che richiede un notevole dispiego di energia poiché si dovranno implementare una serie di controlli sui processi di trattamento dei dati personali al fine di evitare le violazioni o, comunque, rilevarle tempestivamente per poter dar seguito alle previste attività di notifica

Se la tua azienda è stabilita fuori dall’Unione Europea e hai intenzione di fare affari nell’UE, è necessario comprendere i requisiti legali previsti per trattamento dei dati personali.
Le leggi sulla protezione dei dati dell’UE sono più rigide delle leggi in vigore sia nel continente americano che asiatico e le imprese devono pertanto implementare idonee procedure per poter trasferire e elaborare dati in Europa.

Il Regolamento Privacy (GDPR) prevede la designazione obbligatoria di un Privacy Officer (DPO, Data Protection Officer) per le seguenti categorie di Titolari del Trattamento:

• amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
• tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Il Privacy Officer, nominato dovrà:

• possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati;
• adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il Privacy Officer non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali;
• operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (Privacy Officer esterno). Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Il Privacy Officer dovrà, in particolare:

• sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment);
• informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre disposizioni in materia di protezione dei dati;
• cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
• supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

L’Audit Privacy è composto dalle seguenti differenti fasi, finalizzate allo studio della situazione preesistente all’interno di un’organizzazione e al suo successivo adeguamento alla Normativa:

• analisi documentale pre-audit, verifica della documentazione redatta in possesso dell’Organizzazione e in uso;
• analisi approfondita dell’organizzazione di lavoro, dei relativi processi e procedure, del sistema informativo e relativo flusso dei dati, delle aree e dei locali nei quali sono custoditi e trattati i dati, analisi dei dati trattati (cartacei e digitali) con relativa identificazione ed organizzazione in banche dati, e loro classificazione sulla base delle categorie previste dalla normativa di riferimento, della loro modalità di archiviazione e trattamento, delle finalità del trattamento e delle relative misure di sicurezza adottate, nonché dei rischi che incombono sui dati stessi;
• analisi del sistema informatico e dei relativi dispositivi di sicurezza in collaborazione con i Responsabili IT/Amministratori di Sistema (interni/esterni), attraverso un’attività di consulenza tecnico-sistemistica accurata finalizzata alla verifica delle policy di accesso ai dati, di archiviazione e di ripristino degli stessi.

• permettere al Management di evidenziare situazioni critiche o prassi errate nel trattamento dei dati personali;
• permettere al Mangement di valutare correttamente eventuali investimenti in misure di sicurezza (minime o idonee);
• fornire la prova di una costante verifica di conformità in merito al trattamento dei dati allegando il rapporto di audit al Registro dei trattamenti o al Modello Organizzativo Privacy adottato;

Al termine delle attività di verifica, viene redatta una documentazione specifica, suddivisa in tre parti, che evidenzia il livello di conformità e il grado di rischio a cui l’Organizzazione è esposta:

• Rapporto di audit: documento che fornisce una registrazione completa e accurata dell’attività di controllo e comprende i riferimenti agli obbiettivi dell’audit, il suo campo di applicazione (identificando le unità organizzative e funzionali o i processi sottoposti ad audit), identificazione del committente dell’audit, identificazione del gruppo di audit e dei partecipanti all’audit dell’organizzazione oggetto della verifica, le date e i siti dove sono state condotte le attività di audit, i criteri della verifica, le risultanze dell’audit e le relative evidenze, le conclusioni dell’attività di verifica e una dichiarazione sul grado i cui criteri  di audit sono stati soddisfatti. Il rapporto di audit può anche includere altri riferimenti appropriati.
• Risk assessment: redazione del DPIA (Data Protection Impact Assessment). Considerata la tipologia di attività svolta e sulla base dei dati trattati e loro classificazione, tale Documento indicherà per ogni misura di sicurezza che l’Organizzazione è tenuta ad ottemperare il relativo livello di compliant rispetto alle norme di riferimento e discipline di settore (Conformità, Parziale Conformità o Non Conformità).
• Risk management: redazione del Piano delle Azioni Correttive (PAC): tale Documento indicherà i correttivi adeguati, le azioni da intraprendere, le misure minime e idonee di sicurezza e di protezione da adottare, la formazione del personale coinvolto, e nuove soluzioni tecnologiche, per poter adeguare il Modello Privacy dell’Organizzazione alla normativa di riferimento e alle discipline di settore di riferimento. In funzione anche degli obiettivi dell’audit, tale documento indicherà quindi l’esigenza di correzioni o azioni correttive di tipo preventivo e/o di miglioramento.