GDPR al via… che cosa ci rimane da fare?

Mancano meno di 60 giorni alla scadenza del 25 maggio, data in cui il nuovo regolamento europeo sulla protezione dei dati personali (General Data Protection Regulation, GDPR – Regolamento UE 2016/679), già in vigore, dovrà essere pienamente applicato in tutti i paesi europei.

Si tratta di un regolamento sovranazionale, approvato dalla Commissione Europea per rendere omogenea la protezione dei dati personali di cittadini e residenti nell’Unione europea e, il nostro Paese  – che vanta una legislazione tra le più severe d’Europa sul tema – dal canto suo ha già avviato con coerenza il processo di conformità del proprio quadro privacy nazionale, con la recente approvazione  in via preliminare dello schema di decreto legislativo per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679 GDPR.

Recepiamo tuttavia molta pressione sul tema all’interno delle aziende, così come degli studi professionali, che ormai quotidianamente domandano ai nostri consulenti quali siano le modalità per adeguarsi rapidamente, possibilmente senza sconvolgere il proprio assetto organizzativo e senza un ingente esborso economico.

La risposta è necessariamente articolata. Innanzi tutto, consideriamo l’obiettivo del GDPR, che è di garantire alla collettività la massima sicurezza dei dati personali, e non solo di quelli comunemente considerati sensibili – quali, per esempio,  nome, cognome, data di nascita – ma anche di dati magari non forniti spontaneamente dalle persone fisiche e resi disponibili da dispositivi tecnologici in utilizzo. Ne sono un esempio l’indirizzo IP, i dati di geolocalizzazione, i cookie con cui lasciamo traccia delle nostre visite ai siti web. Non ci sorprende a questo proposito che – secondo una recente indagine – molte organizzazioni non abbiano ancora identificato quali dati debbano essere protetti.

 

Adeguarsi al GDPR coinvolge tutta l’organizzazione

Questa prima considerazione ci lascia intuire che la conformità normativa richiesta a qualsiasi organizzazione va ben al di là di una consulenza legale o informatica, e ha implicazioni notevoli anche da un punto di vista dei processi organizzativi nella loro interezza.

E’ la cosiddetta “Data protection by design and by default”, che potremmo tradurre come “Protezione dei dati fin dalla progettazione e per impostazione predefinita”, alla base della normativa. Questa obbliga aziende e studi a una radicale revisione dei propri processi organizzativi e, ancora più a monte, a una scelta in ambito tecnologico, che tra l’altro è in grado potenzialmente di portare virtuosamente con sé nuovi progetti di innovazione digitale, anche in considerazione della crescente necessità di mettere al sicuro i dati con efficaci soluzioni tecnologiche.

In estrema sintesi, si evince che il progetto di adeguamento al GDPR ha una valenza multidisciplinare, che coinvolge la dimensione legale, quella tecnologica, quella organizzativa a vari livelli, a seconda della realtà. Non considerare la complessità che la compliance GDPR richiede significa molto probabilmente investire in direzione sbagliata – per esempio gestendo soltanto l’output dei dati. E, come abbiamo già visto, pur senza arrivare a violazioni eclatanti come quelle recentemente venute alla luce ai danni di 50 milioni di utenti Facebook, i cui dati sono stati ceduti e analizzati dalla società Cambridge Analytica, le sanzioni possono essere molto significative  (in estrema sintesi, fino a10 milioni di euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo; fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente, per non osservanza dei i principi di base del trattamento, per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo).

Scendendo ancor più nell’operatività quotidiana, è evidente che l’adeguamento al GDPR non ha impatto solo su singole funzioni aziendali e non chiama in causa soltanto il responsabile dello studio professionale, ma coinvolge quello che viene definito come il “Titolare del trattamento dei dati”, ovvero l’organizzazione nella sua interezza. Questo anche senza arrivare a definire soluzioni di compliance “strutturali” che ridisegnino l’organizzazione, sicuramente non affrontabili economicamente dalla maggior parte delle imprese, né tantomeno dagli studi professionali italiani, e non compatibili con i tempi richiesti per l’adeguamento normativo.

 

Adeguamento al GDPR: il primo passo da compiere

Il primo passo per qualunque organizzazione, di qualsiasi dimensione e settore, è sicuramente l’analisi e la valutazione – o assessment – del proprio modello di gestione dei dati personali, che dal prossimo 25 maggio sarà strategica per l’organizzazione, fino a divenire una componente fondamentale e imprescindibile del business aziendale.

Partendo da questo presupposto e forte delle proprie competenze tecniche, Alavie – che da oltre 20 anni si occupa di gestione della conformità normativa, con un focus specifico nell’ambito privacy – ha ideato un modello di workshop introduttivo al GDPR e specifico per gli studi professionali che vogliano conoscere da vicino il nuovo regolamento europeo sulla protezione dei dati personali e valutare le azioni da intraprendere per una corretta applicazione della normativa, anche con l’ausilio di casi pratici.

 

I nuovi workshop Privacy di Alavie

Il primo obiettivo dei nuovi workshop è condurre per mano i singoli professionisti nella valutazione delle necessità del proprio studio, fornendo i primi strumenti di conoscenza e analisi.

Condotti da Stefano Gorla, esperto privacy e sicurezza dei dati e responsabile della Business Unit Privacy di Alavie, i workshop illustreranno le novità del Regolamento Europeo 2016/679, definendo i soggetti coinvolti: il titolare, il contitolare, il responsabile, l’interessato, il privacy officer, approfondendo i diritti dell’interessato e il concetto di “Accountability”, ovvero la responsabilizzazione. Completano il programma l’analisi dei rischi in ambito Privacy, delle misure di Sicurezza (fisiche, logiche ed organizzative), le osservazioni sul registro delle attività di trattamento e il grande tema del “Data Breach”, con i nuovi termini per la comunicazione delle violazioni di dati.

Seguendo la “vocazione” Alavie per la capillarità territoriale, i nuovi workshop privacy AlavieCome applicare il Regolamento Europeo 2016/679 (GDPR) negli studi professionali” si svolgeranno nelle principali provincie italiane, in collaborazione con gli Ordini dei Commercialisti e degli Esperti Contabili. La prima tappa è in agenda il 24 aprile a Verbania, poi il 26 aprile a Livorno; il 17 maggio a Genova e il 23 maggio a Como.

Tutti i workshop sono validi ai fini della Formazione Professionale Continua dei Dottori Commercialisti e degli Esperti Contabili (N. 4 CFP).

Rimanete aggiornati sulle date successive consultando la nostra pagina dedicata ai workshop privacy e la nostra pagina Facebook. E per saperne di più contattateci!