Il nuovo regolamento sulla protezione dei dati personali impone alle imprese e alle pubbliche amministrazioni un approccio proattivo già in fase di progettazione di nuove procedure e, più che un ulteriore impedimento al fare impresa, deve essere considerato un assetto strategico sia al momento della progettazione che a quello delle modifiche.
È fondamentale che le organizzazioni che trattano dati personali riesaminino con attenzione tutti i processi di raccolta e trattamento dei dati per verificarne la rispondenza e la correttezza in funzione della normativa: può definirsi questa una azione di ottemperanza (compliance).
Tutte le informazioni che vengono raccolte e trattate in seno all’organizzazione dovranno essere utilizzate con il consenso dell’utente.
Dal punto di vista degli impegni aziendali, se da un lato non esiste più l’obbligo di notificare al garante la tipologia e le modalità del trattamento, dall’altro deve essere messo bene a punto un documento che contenga tutte le fasi del ciclo di vita dei dati e dei trattamenti a cui essi sono sottoposti. Ciò al fine di consentire alle organizzazioni di intervenire con immediatezza in caso di lamentate violazioni dei dati da parte degli interessati.
Ci si deve quindi dotare di strumenti di governance che consentano, in caso di violazione, l’intervento e la gestione in tempi brevi.
Per evitare, come è successo in passato, che le organizzazioni trascurino l’importanza delle misure di protezione dei dati personali, sono state inasprite le sanzioni che possono arrivare a valori massimi pari a 20 milioni di euro o al 4% del fatturato annuo globale.
Accanto alle consuete figure introdotte dal codice (titolare, responsabile, incaricati del trattamento), il nuovo regolamento introduce una ulteriore figura denominata Data Protection Officer, DPO. Questa figura deve assommare una approfondita conoscenza della normativa in merito alla protezione dei dati personali e del flusso e degli specifici trattamenti che essi subiscono in seno all’organizzazione.
La nomina di questa figura è obbligatoria in seno alle pubbliche amministrazioni e a tutte quelle organizzazioni private che hanno un trattamento di dati su larga scala; si pensi ad esempio a quelle aziende che fondano il proprio business su marketing diretto operato sia su canali tradizionali che su sistemi call center o telematici.
Il DPO, dopo aver preso visione di tutta la tipologia dei trattamenti che si effettuano nell’organizzazione e dei diversi uffici che accedono ai dati, dovrà effettuare le analisi del rischio, profilare le competenze e le finalità di quanti accedono, gestire le autorizzazioni all’accesso in base alle competenze, adeguare i sistemi di protezione e sicurezza ed aggiornarli in base alle evoluzioni della tecnologia.
ISC svolge da tempo attività nel settore della gestione delle informazioni e dei processi informatici e di governance che ad essi afferiscono, garantendo la qualità delle informazioni dei database aziendali; pertanto è particolarmente preparata ad affiancare le organizzazioni nel processo di adeguamento e aiutarle a sviluppare le funzioni proprie del DPO, tenendo anche conto del fatto che questa figura non necessariamente deve far parte dell’organico interno della organizzazione ma è consentito anche affidare quel ruolo, tramite apposito contratto, ad entità esterne.