GDPR: il 25 maggio si avvicina …

In attesa della legislazione nazionale che, nelle prossime settimane, risolverà gli ultimi dubbi interpretativi e chiarirà alcuni aspetti più controversi della norma europea, non è difficile individuare quali potrebbero essere le priorità al fine di arrivare, a fine maggio, con un quadro conforme alle indicazioni del Regolamento.
Un buon approccio può essere, ad esempio, quello di separare gli adempimenti (per poi riportarli, alla fine, a una necessaria unità che deve contribuire a costituire un quadro armonico) in controlli meramente “burocratici” e, al contrario, in attività sostanziali (e, spesso, più impegnative).
Nel primo ambito, che è quello che ci interessa in questa sede, si possono far rientrare, ad esempio, tutti i procedimenti di revisione documentale correlati a specifici adempimenti.
In particolare, un controllo completo e accurato dei moduli di informativa, e delle modalità di raccolta del consenso (ove necessario), soprattutto in un’ottica di chiarezza e di facilità di comprensione (aspetto che il Regolamento tiene in particolare considerazione), può essere un ottimo inizio per affrontare un aspetto essenziale dell’intero sistema (l’informativa e il consenso sono considerati veri e propri “pilastri”, e una loro regolarità permette di evitare, in prospettiva, numerose sanzioni).
Accanto a questa prima analisi, anche una valutazione sulla compilazione del registro dei trattamenti (anche se non richiesto) consente di disegnare una prima mappa dei trattamenti che diventerà, poi, essenziale quando, in concreto, andranno previste le misure di sicurezza da allestire.
Un secondo ambito preliminare, altrettanto importante, è quello della formazione, della responsabilizzazione e delle istruzioni da fornire a tutti coloro che trattano i dati, sia che rivestano posizioni apicali, sia che si tratti di tutti i dipendenti indipendentemente dalle loro mansioni.
Il Regolamento fa spesso cenno, in maniera esplicita o implicita, a tre aspetti essenziali, sul punto: i) i piani di formazione, ii) la redazione di policy e iii) le istruzioni da fornire a chi tratta i dati.
La formazione, che sia fatta online o di persona e in aula, diventa essenziale per far conoscere a tutti coloro che trattano dati i principi di base del GDPR.
La redazione di una policy è essenziale, dal canto suo, per “vincolare” (o “obbligare”, che dir si voglia) i comportamenti dei dipendenti al rispetto dei principi del GDPR tramite regole semplici da comprendere, immediatamente efficaci ed esposte con un linguaggio non legale.
Le policy, se ben elaborate, possono avere l’effetto (indiretto) di far rispettare le regole di legge, e non solo le regole aziendali, senza che il destinatario “se ne accorga”.
Le istruzioni da fornire a chi tratta i dati, infine, servono a personalizzare tali indicazioni fornendo suggerimenti concreti strettamente correlati all’area produttiva di riferimento. Si pensi alla differenza, ad esempio, di chi tratta dati nell’area delle risorse umane o a chi, al contrario, processa informazioni nell’ambito delle risorse IT.
(tratto da IPSOA – Giovanni Ziccardi)
Questa voce è stata pubblicata in Privacy e contrassegnata con , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...