Ogni giorno un data protection si alza e deve correre più veloce dei cambiamenti che l’evoluzione normativa, l’innovazione tecnologica, l’AI intelligenza artificiale impongono alle policy privacy delle aziende e delle organizzazioni. Potrebbe essere riassunta così la disposizione dell‘art. 25 del Regolamento UE 2016/679, sintetizzata nelle diciture ormai in uso corrente privacy by design e privacy by default. Il principio sotteso alla privacy by design richiede che la tutela dei diritti e delle libertà degli interessati, con riguardo al trattamento dei dati personali, comporta l’attuazione di adeguate misure tecniche e organizzative sia al momento della progettazione sia al momento dell’esecuzione del trattamento dei dati, per garantire il rispetto delle disposizioni del Regolamento UE 2016/679.
Privacy by design obbligatoria per tutte le aziende. Cosa significa
Privacy by design e privacy by default sono espressioni utilizzate per indicare norme e principi tra i più conosciuti, ma anche tra quelli più trascurati. Un cortocircuito derivato dal fatto che un certo alone di mistero e incomprensione circonda le norme contenute dall’art. 25.
Ecco spiegato il concetto di privacy by design
I titolari del trattamento dei dati e, quindi, ogni azienda e impresa non devono solo applicare delle regole, ma devono avere l’abitudine mentale al corretto trattamento dei dati e data protection. E’ richiesta l’attenzione continua e l’applicazione delle regole nell’ambito della protezione dei dati anteriormente agli atti, alle operazioni, alle attività che ne implicano il trattamento.
La gestione della Privacy continua …
In sintesi non basta individuare il data protection officer DPO, il responsabile del trattamento ecc. Il titolare dell’Azienda, e per lui il titolare del trattamento, dovranno avvertire ogni giorno la necessità di tutelare i dati sensibili in loro possesso, per esempio quelli dei dati di geolocalizzazione dei clienti per le aziende di trasporto. Un’esigenza simile, ad esempio, è facile che emerga nei casi di smart working. Infatti, per privacy by design si intende un modello organizzativo, un sistema di gestione del trattamento non qualcosa di astratto da indicare a beneficio di un documento, ma un’architettura sistematizzata e standard che non lasci le misure previste per il trattamento e la protezione dei dati alla frenesia, alla disponibilità, alla buona volontà del momento o alla mercé degli eventi. In sintesi il design della privacy è in un modus operandi, un sistema automatico a protezione dei dati interno all’organizzazione.
L’attività del professionista esperto in protezione dei dati a beneficio dell’azienda
L’esigenza del cambiamento di approccio alla protezione dei dati personali e l’approfondimento sulle best practices della privacy by design è avvertita non soltanto per le aziende, ma anche per gli esperti che si occupano di compliance GDPR e Privacy. In poche parole, per il professionista che assiste le aziende nello sviluppo del sistema di trattamento e protezione dei dati personali sensibili, per esempio nel settore digitale per la protezione dagli attacchi hacker e per la cyber security e legal security, è necessario l’investimento sull’aggiornamento e l’acquisizione del concetto di privacy by design, by default.
Ecco quali sono i settori che investono la privacy by design, by default per cui è richiesto aggiornamento continuo
Ecco alcune delle cose che si possono immaginare di fare per la cura del progetto sistematizzato della gestione dei dati:
- Individuazione delle aree che esigono acquisizione di nuove competenze e di aggiornamento;
- Individuazione delle discipline per le quali agire in autonomia o scegliere di frequentare corsi e seminari;
- Individuare, analizzare e selezionare le fonti per l’aggiornamento informativo dalle quali acquisire dati e informazioni utili come siti web, riviste di settore on line o cartacee, banche dati giuridiche ecc;
- Dotarsi di un calendario per programmare i tempi durante i quali svolgere ricerca e raccolta dei documenti di origine esterna;
- Dotarsi di un archivio sistematizzato per categorie e tag, per catalogare in digitale i documenti di origine esterna ed interna utilizzati per l’aggiornamento;
- Programmare verifiche periodiche dell’idoneità, funzionamento e sicurezza del sistema di archiviazione dei dati e protezione e per la revisione della impostazione generale, del funzionamento e dell’efficacia del sistema data protection.
Concludendo: in questo settore come in altri, è sconsigliabile lasciare al caso o alla fortuna l’impegno richiesto e la formazione necessaria per gestire bene il sistema di gestione e compliance del GDPR, dei Data Breach, della Tutela dei Dati Personali, delle Byod Policy, o per indicare i compiti e le mansioni del DPO nelle Aziende.
La sfida continua della conoscenza, della competenza che richiede una disciplina esposta e delicata come quella della data protection è sempre stata raccolta dallo Studio Legale Damiani&Damiani
