Protezione dei dati personali: a 10 mesi dall’avvio del Gdpr è ancora possibile adeguarsi con le informazioni giuste di Antonio Campodipietro

Chi conosce il significato dell’acronimo Gdpr ha ben in mente anche una data: 25 maggio 2018. Da quel giorno, infatti, partirà la piena applicazione del regolamento europeo in materia di protezione dei dati personali (General data protection regulation – Regolamento UE 2016/679).
Probabilmente fra quanti conoscono il significato dell’acronimo e questa data come termine ultimo, c’è anche chi, a grandi linee, ha presente alcune delle novità del Regolamento rispetto alla normativa vigente (come l’approccio basato sul rischio del trattamento, le misure di accountability di titolari e responsabili, l’obbligo di notifica all’autorità di controllo di eventuali violazioni di dati personali, la possibile necessità di nominare un responsabile della protezione dei dati personali (Dpo, Data protection Officer) o un responsabile della privacy (Rdp), le pesanti sanzioni che potrebbero essere comminate ecc.).

Le informazioni
Eppure anche coloro che possiedono già queste informazioni sono ancora ampiamente impreparati; e questa inadeguatezza inizia a essere un problema da risolvere al più presto se si vuole arrivare pronti all’appuntamento del 25 maggio 2018. Che cos’è che rende così difficile iniziare il lavoro di adeguamento? Certamente la mancanza di informazioni chiare e univoche.
Le aziende associate ad AssoSoftware (imprese dell’Information technology che realizzano software applicativo e gestionale per imprese, intermediari e Pa), anche se stanno affrontando questo tema da tempo, hanno deciso di cercare la risposta a questa esigenza rivolgendosi alla miglior fonte disponibile al riguardo: il Garante della Privacy. Dopo aver creato un gruppo di lavoro, che avrà il compito di definire un codice di condotta specifico per le software house, e aver raccolto una serie di domande per ricevere chiarimenti su alcuni punti del Regolamento, i rappresentanti di alcune delle aziende associate si sono incontrati con l’Autorithy presso la sua sede in Piazza di Montecitorio a Roma, mentre altri associati hanno potuto seguire l’evento in diretta tramite webinar.

Le risposte del Garante
Il “Dirigente del Dipartimento tecnologie digitali e sicurezza informatica del Garante per la protezione dei dati personali” e i suoi collaboratori sono stati molto disponibili e hanno puntualmente dato risposta alle domande che erano state anticipate loro prima dell’incontro.
Oltre alla competenza dimostrata nelle risposte alle domande specifiche, il Garante ha fornito degli ottimi spunti, dimostrandosi un fondamentale punto di riferimento per la corretta impostazione del lavoro di adeguamento.
La prima indicazione interessante è stata quella della costante attenzione da tenere nei confronti del legislatore nazionale. Per il Garante questa attenzione al legislatore è istituzionale (ma potremmo anche dire “naturale”, visto che la sua sede si affaccia sulla stessa piazza della seconda entrata di Palazzo Montecitorio). Il Garante è quindi consapevole che il legislatore su alcune norme del General data protection regulation (Gdpr) non ha spazi di intervento, mentre su altri potrebbe esprimersi.
Il Garante, sul primo tipo di norme, fornisce dei chiari suggerimenti su azioni che possono già essere intraprese; diventa però riferimento anche per il secondo tipo di norme perché, qualora vi fossero novità legislative, sarebbe il primo a recepirle e a divulgarle nella sua Guida al Regolamento europeo in materia di protezione dei dati personali (una guida che è appunto continuamente in evoluzione perché aperta a queste possibili evoluzioni sia a livello nazionale sia a livello europeo).
La seconda indicazione fornita dal Garante è stata quella di diffidare di chi oggi promuove delle certificazioni in ambito Gdpr. Effettivamente l’articolo 42 del Regolamento incoraggia «l’istituzione di meccanismi di certificazione della protezione dei dati», ma in base a criteri approvati dall’autorità di controllo. A oggi il Garante Privacy (che è appunto questa autorità di controllo) non si è ancora espressa in materia, visto che è in attesa di un intervento del legislatore nazionale.
Quindi bisogna iniziare subito a lavorare per il Gdpr dove è possibile, mentre bisogna solo abbozzare il lavoro dove non è possibile. Per farlo ovviamente bisogna cercare il consulente veramente preparato e trasparente. Nel frattempo il Gruppo di lavoro (Gdl Privacy) di AssoSoftware continua la sua attività per rispondere a queste esigenze in modo da preparare altro materiale per un nuovo confronto già programmato con il Garante.

(*) Comitato tecnico AssoSoftware

2017-07-18T19:02:53+00:00 18 Luglio, 2017|Press|