Documento privacy - Regolamento UE

2018-05-16

Si avvicina la scadenza dell’entrata in vigore delle nuove norme in materia di privacy dettate dal Regolamento Europeo n. 679/2016 e non poche perplessità sussistono in relazione all’armonizzazione delle disposizioni nazionali con il dispositivo europeo.

Il decreto legislativo predisposto lo scorso marzo pare sia suscettibile di apprezzabili modifiche e, seppure prossimi al 25 maggio, non ne risulta perfezionato il documento definitivo.

Ciò malgrado le aziende dovranno rispondere nei tempi e nelle procedure alle nuove norme dettate dal Regolamento UE e potranno elaborare il nuovo documento anche sulla scorta del DPS già previsto dal 2006.

Ancor prima di elaborare il nuovo documento, sarà opportuno adeguare i documenti di informativa e consenso che riguardano i soggetti coinvolti nella sfera aziendale secondo le nuove disposizioni; ricordiamo che i documenti già formalmente in atto prima dell’entrata in vigore del Regolamento restano validi e non necessitano di sostituzione o integrazione.

Come predisporre il documento privacy?

Il primo approccio alla redazione del documento è ipotizzare una fotografia della nostra azienda, per rilevare le attività svolte, i dati trattati, la nostra configurazione informatica e le procedure interne nella gestione di dati cartacei e informatici.

In dettaglio potremo procedere come segue:

• analisi dell’architettura informatica, strumenti di archiviazione e di protezione dati, metodi e livelli di accesso al sistema, nonché metodi e strumenti di salvataggio
• analisi dei rischi interni: verifica delle procedure in atto per la raccolta, il trattamento, la conservazione e la diffusione dei dati, sia cartacei, che informatici
• analisi dei rischi esterni: verifica dell’adeguatezza degli strumenti di protezione del sistema informatico, adeguata protezione da abusive intrusioni, tutela degli ambienti con accesso al pubblico con limitazioni nelle aree riservate

Acquisita adeguata valutazione, si procederà all’analisi delle possibili criticità presenti nella gestione delle procedure, quali una scarsa informazione o mancata formazione al personale, mancanza di regole interne, inadeguata organizzazione del lavoro, procedure obsolete, carenza di risorse interne, strumenti informatici insufficienti per portata o prestazioni, mancata tutela dei sistemi di accesso al sistema

A consuntivo delle analisi di possibili criticità il titolare del trattamento o il suo delegato (RPD) metteranno in atto gli eventuali interventi necessari a scongiurare il danneggiamento o la perdita dei dati e verificare periodicamente il rispetto delle procedure di tutela da parte del personale incaricato.

Particolare attenzione dovrà essere riferita ad attività svolte in remoto, quali uso di lap-top personali, prestazioni in smart working, il cui accesso al sistema dovrà prevedere particolari credenziali di accesso e la sottoscrizione, da parte degli interessati, di un documento aziendale contenente regole e condizioni di particolari inibizioni ai dati del sistema.

Quale documento integrativo al documento privacy, dovrà essere predisposto il Disciplinare Interno, già previsto dalla legge 196/2003 e destinato alla regolamentazione della gestione dei flussi di posta elettronica e degli accessi e navigazione internet.

Nel documento aziendale saranno indicate le regole e i divieti posti in capo al personale, il cui inadempimento potrebbe comportare conseguenti azioni disciplinari.

Il documento in materia di privacy potrà essere suscettibile di future integrazioni, per effetto di modifiche dei dati trattati, di innovazione dell’architettura informatica o implementazione di nuove tecnologie e/o strumenti di tutela aziendale.

Vale la pena di ricordare l’obbligo di tenuta del registro dei trattamenti, adempimento escluso per le aziende che occupano sino a 250 dipendenti, fatto salvo che i trattamenti possano rappresentare un elevato rischio per i diritti e le libertà degli interessati.