A partire dal 25 maggio del 2018 è entrato ufficialmente in vigore, e pertanto applicabile in tutti gli Stati membri dell’Unione Europea, il Regolamento UE 2016/679 (GDPR ovvero General Data Protection Regulation) in materia di protezione dei dati personali e della libera circolazione di essi sia all’interno dello stesso territorio europeo che entro i suoi limiti con gli altri Stati non membri.
Va poi aggiunta una piccola precisazione per completezza d’informazione. Il testo è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio del 2016 ed è entrato in vigore poche settimane dopo mentre è solo dal maggio di quest’anno (2018) che è effettivamente operativo. Detto questo, che cosa bisogna fare ora per regolarsi con queste ultime disposizioni europee? Vediamolo brevemente assieme. Per essere “compliant”, ovvero “conformi”, a tutti gli effetti bisogna innanzitutto conferire al Data Controller (il titolare vero e proprio di tale trattamento sui dati) una maggiore responsabilizzazione (altresì detta “accountability”) che si occuperà di realizzare e fornire un apposito controllo, tramite un sistema, su questioni fondamentali come la documentazione, la tecnologia, i ruoli, gli individui e naturalmente tutto l’insieme di processi e regole che tiene insieme la “struttura”. Per semplificare ulteriormente il tutto, va quindi preso in considerazione un modello costituito da 7 step. In questo sistema di step, ognuno dei passaggi è praticamente la “consecutio logica” del precedente, ma non perdiamoci ulteriormente in chiacchiere.
Primo step: i requisiti
Essi vanno identificati, compresi e classificati al fine di capire dove meglio intervenire. Oltre a questo devono essere sempre monitorate le ulteriori leggi e norme che l’Unione Europea dispone.
Secondo step: gli attori
Bisogna identificare tutti i tipi di attori, sia interni che esterni, che rivestiranno un “ruolo attivo” in ogni fase del percorso General Data Protection Regulation.
Terzo step: gestire la Data Protection
Vanno analizzate le modalità di gestione della Data Protection in base ai requisiti indicati dal Regolamento Generale sulla Protezione dei Dati ed alla maturità dell’organizzazione entro la quale si vogliono applicare.
Quarto step: i trattamenti
Per prima cosa bisogna effettuare una mappatura preliminare che fungerà da base per la successiva creazione di un apposito registro dove si calcoleranno i rischi e le variabili valutando come usare i più moderni sistemi automatizzati per la conservazione e la comunicazione dei dati.
Quinto step: i gap
Applicare un nuovo tipo di regolamento ad una realtà già esistente e non trovare al suo interno nessun problema, o per meglio dire “gap”, è un’impresa assai ardua. Essi devono essere individuati ed annotati a tutti i livelli all’interno della struttura.
Sesto step: il piano d’adeguamento complessivo
Il piano d’adeguamento complessivo, o per meglio dire “Action Plan”, consiste in un elenco di azioni e provvedimenti per rimediare ai gap rinvenuti nello step precedente. Questo deve aiutare a superarli e ad adeguarsi. Per facilitare tale operazione si divideranno in “cantieri” (topic principali) e “sotto – cantieri” (topic correlati).
Settimo step: l’implementazione del piano di adeguamento
Dopo aver eseguito tutti questi step è l’ora del finale dove si attueranno le misure decise. Qui rivestirà un’importanza chiave la figura del Data Protection Officer, vero e proprio responsabile di tutte le azioni volte alla sensibilizzazione sul tema, al cambiamento ed al monitoraggio.