Privacy, le indicazioni del Garante in vista dell'applicazione del GDPR

ROMA - Nomina del responsabile della protezione dei dati, istituzione dei registri di trattamento e preparazione delle procedure di segnalazione degli attacchi informatici subiti. Sono le tre cose che il Garante della privacy chiede agli enti pubblici di fare fin da subito, con priorità assoluta, per adeguarsi alla privacy a tinte Ue. E cioè al Regolamento 2016/679/Ue.

La nuova disciplina, spiega il Garante, impone alle amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un'intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Una normativa che, dunque, comincia a battere il tempo. Il catalogo delle cose da fare è lungo e se non inizia subito ci saranno problemi grossi, una volta che il Regolamento diventerà pienamente efficace. Anche in considerazione delle sanzioni amministrative pecuniarie prescritte per le violazioni. Il tutto si può tradurre con: non si può aspettare quella data con le mani in mano, perché gli adempimenti non sono istantanei, ma vanno preparati e i procedimenti amministrativi sottesi hanno il loro decorso tecnico. E un anno passa in fretta. Le cose da mettere in lavorazione, tra l'altro, sono tante, ma, per il Garante, tre emergono per l'urgenza. Vediamo quali.

La figura del Responsabile della protezione dei dati (Rpd) è una nuova figura che le amministrazioni devono obbligatoriamente nominare, in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati. Il Garante sottolinea la opportunità di un diretto coinvolgimento del Rpd in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria: ciò è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l'esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate).

Sul punto si aggiunge che i procedimenti per la scelta del Rpd, soprattutto se esterno, prendono un po' di tempo, ad esempio per lo svolgimento di selezioni o gare. Tempi di cui tenere conto per non sforare la data del 25 maggio 2018.

Il Garante ammonisce: è essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro delle attività di trattamento. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali, la liceità del trattamento (verifica dell'idoneità della base giuridica) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default): tutto ciò in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso.

E' inoltre fondamentale, rileva il Garante, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni. Secondo le disposizioni del Regolamento, in caso di attacco bisogna fare una notificazione al Garante e, in alcuni casi, anche agli interessati.

Anche per questo adempimento, si devono stanziare risorse, predisporre strumenti interni o acquisirli in outsourcing, assegnare personale interno o affidarsi a consulenti: tutte cose che hanno bisogno di tempo.

(Articolo a cura di Antonio Ciccia Messina)