Il primo adempimento da porre in essere è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione.
In questo periodo molte imprese italiane si stanno muovendo per avviare o gestire un progetto di adeguamento al nuovo Regolamento europeo sulla Privacy (Regolamento Generale sulla Protezione dei Dati – RGPD). Ma quante lo stanno facendo nel modo corretto? Quante stanno pianificando o hanno avviato un progetto strutturato che gli consentirà, entro il 25 maggio 2018, di avere la certezza che nulla sia stato omesso o tralasciato?
Prima di partire in qualunque direzione, occorre che l’azienda rifletta, si ponga alcune domande fondamentali e faccia delle analisi preliminari del suo contesto aziendale raccogliendo tutte le informazioni riguardanti non solo sé stessa (come titolare di un trattamento principale) ma, se esistenti, eventuali società controllate/controllanti o collegate. È altamente probabile, infatti, che se l’azienda italiana è all’interno di un gruppo di imprese con casa madre all’estero, quest’ultima abbia già strutturato un progetto di adeguamento al RGPD e possa quindi fornire all’azienda italiana delle utili indicazioni su come muoversi. Viceversa, se la casa madre è l’azienda italiana, sarà questa a doversi preoccupare di organizzare un progetto di adeguamento per le sue controllate all’estero.
In ogni caso, l’azienda italiana dovrà muoversi in autonomia, quindi dovrà comunque raccogliere tutte le informazioni che la riguardano, partendo da quelle relative a quanto posto in essere sino ad oggi per adeguarsi alla legislazione attuale (principalmente il Codice Privacy ed i provvedimenti del Garante Privacy) e procedendo poi a raccogliere, più in generale, le informazioni relative a tutte le attività svolte. Tra gli altri, l’azienda deve analizzare i settori di business in cui opera, i Paesi in cui operano i vari titolari e responsabili del trattamento, i servizi di supporto, gli “oggetti” aziendali disponibili (es. organigramma, funzionigramma), le certificazioni ottenute, le principali categorie di dati trattati, gli eventuali trattamenti terziarizzati e conseguenti nomine.
Il tutto per arrivare ad avere un quadro completo che consenta di schematizzare e mappare: organizzazione e ruoli, persone, cultura e competenze, processi e regole, documentazione che abbia impatti sul trattamento dei dati, contratti con i fornitori che trattano dati, nomine a responsabili e incaricati del trattamento (questi ultimi possono tranquillamente sopravvivere nonostante il RGPD non li contempli, ciò è stato confermato anche dal Garante Privacy), processi e procedure di gestione dei sistemi informativi, tecnologie e strumenti per la gestione della sicurezza informatica, sistemi di controllo, sistemi di internal audit.
Per approfondire, vi invitiamo a consultare il seguente link http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali
