Privacy e sicurezza aziendale

*Articolo a cura del Dott. Massimo Zampetti – Privacy Control

www.privacycontrol.it

A distanza di oltre due anni dal momento in cui è divenuta applicabile la nuova normativa sulla privacy, si ritiene utile richiamare e riassumere le principali novità introdotte, in particolare con riferimento alle conseguenze per le società ed aziende private, tenute oggi ad effettuare una serie di adempimenti per poter essere conformi alla legge.

A partire dal 25 maggio 2018 tutte le società che trattano dati di persone fisiche devono adeguarsi al Regolamento UE n. 679 del 2016 relativo alla protezione e alla libera circolazione dei dati personali (c.d. G.D.P.R. – General Data Protection Regulation).

Se prima del G.D.P.R., quindi, le aziende vedevano la legge sulla privacy come un fastidioso rallentamento dell’attività aziendale e si astenevano dal totale adeguamento a tale normativa, ora tutte le aziende sono chiamate a conformarsi – indipendentemente dalla loro dimensione – alle disposizioni normative, ai regolamenti, alle procedure e ai codici di condotta ed a mettere al sicuro i dati sensibili dell’azienda e dei suoi dipendenti (c.d. Compliance aziendale), evitando in tal modo anche di incorrere in pesanti sanzioni.

Ciò che il Regolamento Europeo introduce è l’accountability (o responsabilizzazione), principio che introduce un onere della prova interamente a carico del Titolare del trattamento, che dovrà essere in grado di dimostrare la propria conformità alla normativa in caso di avvenute violazioni e/o contestazioni.

Le aziende, per realizzare quanto sopra decritto, non potranno seguire dei modelli o standards fissi definiti dalla legge, in quanto nel panorama normativo non esistono indicazioni formali o criteri minimi da seguire nella predisposizione di una policy aziendale di sicurezza nel trattamento dei dati personali. Tutto viene lasciato alle conoscenze e capacità di analisi dei singoli titolari, che debbono prima esaminare il contesto organizzativo interno e poi produrre adeguate norme di comportamento.

Cosa deve fare, pertanto, una società per poter operare in ambito privacy in sicurezza? Quali sono le azioni necessarie da compiere e quali i rischi da prevedere ed escludere?

Innanzitutto, si deve individuare e nominare il Titolare del trattamento (o data controller) che, secondo quanto stabilito dall’art. 4 comma 7 del GDPR, è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza. In linea generale, all’interno di un’azienda, il Titolare è individuato nel vertice dell’azienda, ovvero la società, l’ente, l’associazione, l’organizzazione o lo studio associato nel loro complesso e, pertanto, corrisponde ad una persona giuridica.

Altra importante figura da nominare, da parte del Titolare del trattamento (come sopra individuato) è il Responsabile del trattamento (in inglese data processor), necessario qualora l’azienda decida di avvalersi di un terzo per l’elaborazione dei dati personali (commercialista, studio di elaborazione buste paga, medico del lavoro, etc.). Egli è un soggetto, distinto dal Titolare, che deve essere in grado di fornire al Titolare garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.

In ogni caso, ai fini di una compliance aziendale adeguata è necessario che l’azienda si renda consapevole dei dati personali in suo possesso, che raccoglie e che processa, di quali siano le minacce ai quali gli stessi possono essere esposti, nonché dei soggetti (persone fisiche) che trattano tali dati e che sono sotto il controllo aziendale.

Il panorama attuale, con una sempre maggiore digitalizzazione ed un massivo utilizzo di dispositivi elettronici, ha amplificato i campi di interesse ed i rischi connessi in relazione alla privacy; si pensi alla Videosorveglianza, alla geolocalizzazione, allo smart working. L’innovazione digitale comporta la necessità di raggiungere una governance integrata con conseguente evoluzione dei modelli organizzativi aziendali, processo di cui la privacy costituisce parte integrante.

©RIPRODUZIONE VIETATA

ARTICOLO COMPLETO NELL’ULTIMO NUMERO DI AZ FRANCHISING MAGAZINE > CLICCA QUI