Skip to main content

Cosa significa essere “GDPR COMPLIACE”

| Imma Daiana Rivetti
Il termine “To comply” deriva dal latino “complere”, che significa compiere (fonte Treccani.it), pertanto possiamo affermare che c’è “compliance” quando un’azienda o un ente pubblico, nello svolgimento delle proprie funzioni, applica la normativa vigente ed è conforme ad essa. Essere “compliance” rispetto al GDPR significa quindi applicare la normativa dello stesso nello svolgimento delle proprie funzioni ed in particolare nel trattamento dei dati personali. Essere conformi al GDPR vuol dire anche avere conoscenza del Regolamento, di cosa siano i dati sensibili, di come proteggerli e di come gestire una eventuale violazione dei dati. La GDPR Compliance è strettamente legata alle procedure organizzative e di sicurezza da adottare per garantire il rispetto del Regolamento Europeo per la protezione dei dati personali. Si deve garantire che, nell’effettuare i vari trattamenti, il rischio di un eventuale “Data breach” sia sempre basso. Il “set minimo di misure di sicurezza” da attuare pone a carico dell’Ente Pubblico/Azienda l’onere di dimostrare di aver adottato delle misure adeguate nel campo della sicurezza dei dati. Il livello di adeguatezza è un criterio che va valutato in base ai seguenti parametri:
  • tipologie dei dati trattati;
  • ampiezza del trattamento;
  • quantità dei flussi informatici;
  • modalità di conservazione;
  • entità esterne e professionisti coinvolti.
Si tratta pertanto di una quantità di informazioni e di valutazioni che devono essere effettuate e, soprattutto DOCUMENTATE, per poter, un domani, dimostrare, se necessario, il lavoro che è stato svolto per garantire la “compliance”. Proprio per questa ragione, prima di qualsiasi trattamento, è sempre opportuno procedere a una consultazione del proprio DPO così da produrre una adeguata valutazione preventiva rispetto al trattamento e una DPIA per porre in essere un trattamento senza rischi o, più realisticamente, con rischi accettabili. La “GDPR Compliance” prevede che:
  • il titolare del trattamento dei dati sia consapevole di quali dati vengono trattati, di chi sono, di come vengono raccolti e di come e perché vengono utilizzati;
  • i dati vengono trattati solo se il rischio è accettabile, pertanto va effettuata sempre un’analisi preventiva e vanno adottate le contromisure necessarie per proteggerli;
  • i responsabili esterni (chi tratta i dati per conto del titolare) devono essere anch’essi conformi al GDPR;
Per questi motivi è importante che in una organizzazione (come ad esempio un Istituto scolastico, un Comune, una azienda privata, …) tutto il personale conosca la normativa, almeno basilare, che riguarda la privacy; la formazione è, quindi, uno degli aspetti cardini della “compliance”. All’interno di una scuola, ad esempio, non è solo il Dirigente Scolastico ad operare con i dati personali, ma tutto il personale dell’Istituto, partendo dai collaboratori, passando per il corpo docente e finendo con il DSGA e gli assistenti amministrativi. Per questo il GDPR impone, ex art 29, in capo al Titolare del trattamento, l’obbligo della formazione per tutto il personale dipendente che tratta i dati personali. Il lavoro di adeguamento al GDPR prevede anche un continuo aggiornamento sia delle informative, delle nomine, dei registri, sia dei restanti obblighi previsti dallo stesso GDPR. Fondamentale è che all’interno dell’ente vengano sempre individuate le figure previste dal GDPR:
  • titolare del trattamento;
  • responsabili (esterni) del trattamento;
  • eventuali sub-responsabili, soggetti autorizzati;
  • responsabile della protezione dei dati;
  • referente privacy;
  • amministratore di sistema;
Tutte queste figure fanno parte del cosiddetto organigramma privacy che deve essere pubblicato nella sezione privacy del sito web insieme alla seguente documentazione:
  • Nomina e contratto DPO;
  • Comunicazione dei dati del DPO al Garante;
  • Informativa generale sul trattamento dati;
  • Informative dei trattamenti che vengono effettuati all’interno dell’ente.
In conclusione, il lavoro di “compliance” va visto in continuità. Essere adeguati in un determinato momento non significa essere in regola sempre. Per questo ogni qualvolta si introduce una innovazione o un semplice cambiamento nel trattamento dei dati, come, ad esempio, la nomina di un nuovo DPO o l’adozione di nuove misure tecniche o organizzative, non basterà farle approvare dagli organismi competenti, ma bisognerà anche portare a compimento la loro adozione documentando il tutto in modo adeguato e misurandone l’efficacia.