GDPR, sei domande per capire come adeguarsi

Tempi brevi, tempi lunghi. Per adeguarsi al nuovo Regolamento europeo sulla data protection non c’è fretta, basta muoversi per tempo

Come accade per molti fenomeni, quando si è esposti a troppe informazioni su un tema, si rischia di perdere la sensibilità per quelle che davvero contano. È dal 2012[1] che molti “venditori” millantano un’ormai prossima applicazione del Regolamento europeo sulla privacy[2] (“Regolamento”), in Italia.

Questo fenomeno ha portato alla diffusione di molte imprecisioni, oltre che di alcune valide indicazioni che, tuttavia, nel mare di parole e allarmismi, sono passate in sordina.

Ora il tempo si fa più prossimo e si può iniziare il percorso per raggiungere il necessario grado di compliance, senza farsi prendere dall’ansia. Non c’è un adempimento unico da soddisfare e alcuni adempimenti non possono essere anticipati. Per questo motivo, la programmazione è la strada migliore per arrivare preparati al momento in cui il Regolamento sarà applicabile (ossia, il giorno 25 maggio 2018).

A tal fine, potrebbe essere utile rispondere a quesiti “mirati”, come negli esempi che seguono.

Bisogna cambiare subito l’informativa? – No, a meno che non sia di per sé insoddisfacente (in questo caso andrebbe cambiata comunque). Una versione più rispondente alle previsioni del Regolamento potrà essere predisposta, con calma, entro maggio.

Occorre procedere alla nomina del Responsabile della protezione dei dati (RDP) (in inglese DPO, Data Protection Officer)? – Non prima di aver capito se siamo obbligati o meno, o se, per qualche motivo, sia preferibile nominarlo anche in assenza di obbligo.

Leggi anche:  Kaspersky Lab rileva il terzo exploit zero-day per Microsoft Windows in tre mesi

Dobbiamo progettare i trattamenti dei dati seguendo i principi della privacy by default e privacy by design? – Sì, questo può essere fatto anche prima dell’effettiva applicabilità del Regolamento ed è, anzi, opportuno.

Bisogna avviare una data protection impact analysis (c.d. DPIA o PIA)? – Prima di partire con zelo con una DPIA, cerchiamo di capire se la stessa è necessaria, nulla impedirà di condurla ugualmente qualora la sua obbligatorietà dovesse essere ritenuta on the edge. Se, viceversa, ci sono elementi che rivelano, a priori, la necessità di una consultazione preventiva (e che anticipano, per qualche motivo, ciò che in altri casi emerge solo a esito di una DPIA), si consiglia di considerare questo passaggio prioritario.

Si può disapplicare o ignorare il Codice privacy (d.lgs. 30 giugno 2003, n. 196)? – No! Le parti incompatibili verranno abrogate ma il Governo ha la delega per “novellarlo”, colmando, tra l’altro, i molti vuoti dovuti alla “genericità” del Regolamento europeo.

E se uno degli adempimenti previsti dal Regolamento non riguarda la nostra realtà, come ci comportiamo? – Il gruppo dei Garanti europei (il c.d. article 29 working party), nelle linee guida adottate (al momento due: un documento sul DPO e uno sulla data protection impact analysis), ha espresso la raccomandazione di “documentare” i motivi del mancato assolvimento di un obbligo. Questa raccomandazione è espressa, in particolare, in merito alla nomina del Data Protection Officer.

Il primo consiglio che si ritiene di formulare è, dunque, quello di non affrontare con superficialità l’argomento. Il secondo è quello di non limitarsi a leggere gli articoli del Regolamento ma di soffermarsi anche sui “considerando” (che, sovente, non hanno un ruolo marginale ma, al contrario, chiariscono concetti utilizzati nel Regolamento medesimo), nonché di esaminare i numerosi documenti “di contorno” (ad esempio le citate Linee guida). Infine, sarà bene “schedulare” con attenzione ogni passaggio, partendo da quelli più strutturali per terminare con quelli più “burocratici”, in modo tale da porre in essere un’attività che conduca, in maniera organica ed efficace, all’attuazione delle previsioni del Regolamento.

Leggi anche:  Le 7 Predictions di Security per il 2019 secondo Forcepoint

Per saperne di più, l’appuntamento è a Omat Forum, il workshop dedicato alle nuove frontiere della gestione delle informazioni digitali. Info sulle prossime tappe su www.omatforum.it.

Riccardo Abeti, avvocato, partner di EXP Legal – Associazione Professionale. Svolge la propria attività prevalentemente nelle materie del diritto dell’Information & Communication Technology, Data Protection e Responsabilità amministrativa degli Enti (d.lgs. 231/ 2001) fornendo attività di docenza sugli stessi temi.


[1]Anno in cui la Commissione europea presentò la proposta di nuova normativa UE sulla protezione dei dati personali.

[2] Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).