GDPR – non perdiamo di vista la “P”

Non perdiamo di vista la “P”

Il 25 maggio è arrivato, è passato, e siamo ancora qui.  Le pubblicità terrificanti che ci preannunciavano l’arrivo della nuova normativa sulla Privacy sono sparite.  In realtà il Regolamento (UE) 2016/679 è si entrato in vigore, ma come al solito noi italiani arriviamo “lunghi” e così attualmente manca il decreto di adeguamento, che dovrà essere approvato entro il 22 agosto.  Questo non significa che il GDPR non sia in vigore, anzi.  E’ direttamente applicabile proprio dal 25 maggio scorso.  Mancano solo alcuni dettagli che la norma europea delega ai singoli membri dell’UE.

Quello che è successo in questi giorni, a cavallo del 25 maggio, è stato frutto della solita inerzia ad adeguarci alle novità giuridiche, soprattutto poi se ci vengono propinate dall’alto, da Bruxelles.  E in questo caso, bisogna ammetterlo, lo stesso Regolamento ci ha messo molto del suo:  il modo in cui viene normata la materia Privacy è molto innovativo.

Vengono proposti dei principi, alcune definizioni (alle volte piuttosto generiche) e delle indicazioni generali.  Poi si lascia tutto alla responsabilità del singolo “titolare del trattamento”.  L’accountability!

Ed infine bisogna anche ammettere che anche chi ha fatto la traduzione del Regolamento nella nostra lingua non si è sforzato molto, così ci ritroviamo due “Responsabili”:  il Responsabile del Trattamento (in inglese definito Processor, che definisce meglio il soggetto) e il Responsabile della protezione dei dati (in inglese definito Data protection officer, anche in questo caso la definizione è più chiara).  E tutta la discussione in questi giorni è girata su queste figure, sull’informativa, sul consenso, sul trattamento, su chi debba nominare il DPO (o RPD), su quale sia la definizione di “larga scala”.

“P” come Protezione

Poche, pochissime, invece le discussioni su l’altro tema (altrettanto importante) che riguarda il GDPR e che anzi è parte stessa dell’acronimo: la “P” di GDPR infatti sta per “Protection”.  Protezione dei dati.  E di questo tema in effetti nel Regolamento troviamo poco: in parte l’art. 24, sicuramente (ed è il più rilevante) l’art. 25 (Protection by design e Protection by default) e l’art. 32.

Se da un lato è fondamentale capire quali sono i dati trattati, chi sono i protagonisti del trattamento, come tali dati possono essere utilizzati, dall’altro è fondamentale anche comprendere quanto importante sia la protezione di questi dati. Come dice l’art.1, il Regolamento “protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.“.

Quando qualcuno, quindi, ci affida (dietro consenso) i suoi dati personali ci sta affidando un bene fondamentale, qualcosa di enorme valore (e in certi casi di valore davvero inestimabile).  Dobbiamo quindi mettere in atto una serie di attività che minimizzi (o meglio ancora azzeri) qualsiasi rischio di furto o distruzione di tali dati.  Dobbiamo essere in grado di garantire la sicurezza e la protezione di questi dati già prima che ci vengano affidati.  E questo secondo me è stato poco enfatizzato in questi giorni.  Non è stato dato il giusto spazio a questo tema che, secondo me, è fondamentale per l’adeguamento completo alla normativa europea.

Quali sono quindi queste attività che ci permettono di assicurare che i dati che ci vengono forniti dagli interessati verranno custoditi nel migliore dei modi?

Archivi tradizionali…

Innanzi tutto dobbiamo distinguere tra due metodologie diverse con cui si possono archiviare i dati:  in formato cartaceo e in formato digitale.

Nel primo caso dovremo cercare di garantire che i documenti non siano a disposizione di chiunque (anche nel caso in cui si dovessero eliminare: un tritacarta è necessario!) e che siano al sicuro: solo chi è autorizzato può accedervi.  Quindi andranno tenuti in archivi che possono essere chiusi a chiave (e le chiavi non devono essere disponibili a tutti).  Quando utilizzati non dovranno essere lasciati in giro, magari in locali dove possono passare anche clienti o altri estranei.  Qualora si intenda distruggerli, come dicevo, andrà prestata molta cura che questi dati non siano in alcun modo recuperabili (magari rovistando nei cassonetti della raccolta differenziata).

…e archivi digitali.

Nel caso di archivio digitale invece il discorso cambia e diventa più delicato.  Soprattutto oggi che siamo tutti connessi ad internet.  Basta un virus, una mail “farlocca”, un sito web non proprio “serio”, che rischiamo un “data breach”.  Anche lasciare in bella vista le password di accesso al computer e ai vari software usati è qualcosa che non va bene con la normativa.  Le password poi andrebbero cambiate regolarmente e dovrebbero essere difficili da individuare.  Per questo si suggerisce di usare password di almeno 8 caratteri. E’ importante che questi siano numeri, lettere (maiuscole E minuscole) e caratteri simbolo (punto esclamativo, simbolo del dollaro, ecc.).  Servirà inoltre un buon antivirus (preferibilmente non la versione gratuita) sempre aggiornato, un sistema operativo ufficiale e aggiornato, un firewall (meglio se hardware).  Infine è fondamentale avere un buon sistema di backup, meglio se giornaliero, al fine di minimizzare l’eventualità che i dati vengano distrutti a causa di guasti, malfunzionamenti o virus.  Queste sono le basi per poter dimostrare che si sta facendo di tutto per proteggere i dati conservati digitalmente.

Insomma, la responsabilizzazione è importante, il titolare deve sapere cosa fare per proteggere sempre i dati che gli vengono affidati.  Nel caso in cui non sappia come fare deve rivolgersi a qualcuno che lo possa consigliare e accompagnare nell’implementazione di un sistema di archiviazione sicuro e valido che sia conforme con quanto richiesto dalla normativa, ma soprattutto dal buon senso.

Proteggere (nel senso di “prevenire”) è sempre meglio che curare!

Dott. Stefano Angeli

Leave A Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.