GDPR: gli aspetti di Privacy Enforcement



Il GDPR entrerà in vigore fra una decina di giorni e la maggior parte delle aziende ha sicuramente predisposto e indirizzato i cambiamenti imposti dal nuovo Regolamento Europeo.

IBM ha affiancato diversi clienti nel loro percorso verso il GDPR proponendo un approccio completo, che copre tutti gli aspetti impattati nelle aziende, ovvero governance, formazione dei dipendenti e comunicazione, processi, dati e sicurezza.

Tre sono i domini di attività che in IBM abbiamo identificato per coprire, assieme alle aziende, l’intero spettro dei requisiti della normativa. Si tratta di:

  • Privacy & Security Compliance Management System, per indirizzare nel complesso la GDPR Accountability.
  • Privacy Enforcement, ovvero l’area basata sull’Analisi dei Rischi di Privacy.
  • Security Enforcement, l’area basata sull’Analisi dei Rischi di Security.

Il dominio relativo alla Privacy Enforcement è quello in cui si colloca l’Analisi dei Rischi di Privacy per poi indirizzare identificazione, disegno, sviluppo, implementazione, gestione e raccolta delle misure e degli adempimenti specifici sulla Privacy. Inoltre copre le applicazioni e gli aspetti di gestione ICT per le richieste e i diritti degli interessati.

In questo dominio rientra l’aspetto relativo al Registro dei Trattamenti. Il nuovo Regolamento Europeo stabilisce che tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’organizzazione, sia essa un'azienda, un ente o un'associazione, dovranno essere tracciate.

Per farlo il titolare del trattamento e gli eventuali responsabili sono chiamati a utilizzare lo strumento descritto nell’Art. 30: il registro dei trattamenti.

Dentro questo registro andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati in virtù del concetto di Accountability, ovvero essere in grado di dimostrare di aver rispettato il requisito normativo.

Partendo dal GDPR abbiamo approfondito tutti i requisiti del Registro dei trattamenti e le tecnologie più opportune per renderlo un effettivo strumento di gestione e governo dei dati, creando dunque un collegamento tra GDPR e Data Governance.

Il risultato finale è quello di passare da un semplice foglio di calcolo a uno strumento che venga alimentato con le logiche di Data Discovery di dati strutturati e non- strutturati e che permetta di mappare in continuazione tutti i trattamenti, le finalità e le misure tecniche adeguate che variano durante il tempo.

Il Registro dei Trattamenti può così diventare LO strumento della data protection all’interno dell’organizzazione. E se volete approfondire questi aspetti, potete riascoltare il nostro Webinar Privacy Enforcement 1: Il registro dei trattamenti (art.30).

Un altro aspetto che rientra nel dominio della Privacy Enforcement è quello relativo alla gestione del consenso e dei dati personali.

Il GDPR richiede delle nuove procedure per la raccolta del consenso da parte degli utenti. È questo un punto molto importante perché il nuovo approccio al consenso impone a tutti i titolari (privati e della pubblica amministrazione) una forte trasparenza per garantire un maggiore controllo per tutti i cittadini.

L’approccio usato fino ad oggi si basava su clausole del tipo “prendere o lasciare”, spesso incomprensibili ai più e poco flessibili: condizioni che venivano lette raramente e accettate in pochissimi secondi.

Dal 25 maggio il Regolamento Europeo richiede la chiarezza delle condizioni che devono essere scritte in modo trasparente e con un linguaggio semplice, e devono descrivere le esatte implicazioni di ciò a cui si acconsente.

Inoltre è necessario che l’utente affermi in modo esplicito di dare il proprio consenso; il consenso di default non è sufficiente e le caselle spuntate in automatico sono state esplicitamente vietate.

Ogni specifica operazione richiede un consenso granulare e tutte le terze parti che si basano sul consenso devono essere chiaramente nominate.

Chiaramente i meccanismi di consenso devono essere evidenti, brevi e facilmente comprensibili per ogni tipo di dato e metodo di raccolta. Se si apportano modifiche alle condizioni originali per cui si è chiesto il consenso, per esempio perchè cambia lo scopo dell’elaborazione dei dati, è necessario richiedere un ulteriore consenso.

Inoltre l’utente ha diritto di revocare in qualsiasi momento il proprio consenso e chi gestisce i dati deve mettere in atto procedure che facilitino questa opzione.

Il consenso deve essere quindi una vera scelta e non può essere una condizione di servizio.

Per rispondere a questa esigenza che impone alle società di tenere traccia di ogni consenso raccolto IBM ha sviluppato delle soluzioni di Master Data Management (MDM) che forniscono un unico punto di accesso e di controllo per i dati personali e che si integrano con il Registro dei Trattamenti.

Per approfondire il tema potete rivedere il webinar dal titolo Privacy Enforcement 2: gestione del consenso e dei dati personali.

14 Maggio 2018

Tomasz Slowinski
@slow_tommy, linkedin.com/in/slowinskitomasz

Visit us on LinkedIn