Il 25 Maggio 2018 è entrato in vigore il Regolamento UE 2016/679 conosciuto come GDPR, acronimo di General Data Protection Regulation il cui obiettivo è la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Non siamo di fronte ad un nuovo Codice con contenuti predefiniti ma a un Regolamento con un approccio completamente nuovo che viene riconosciuto con due denominazioni:
- Privacy by design
- Privacy by default.
La cosiddetta Privacy by design implica la proattività degli studi, aziende, enti e non la sua reattività rispetto a una norma fissa o a un codice.
La struttura qualunque essa sia deve prevedere modalità operative, configurazioni e misure di sicurezza per garantire la riservatezza e l’integrità dei dati personali by default, ovvero con una pratica certa dal momento in cui i dati personali entrano all’interno della struttura organizzativa fino dal momento della progettazione di un nuovo servizio o prodotto, terminando l’utilità con la loro distruzione.
Da questa semplice enunciazione si può comprendere come, rispetto alla precedente normativa nazionale, non si parli prevalentemente di prassi legale e burocratica ma di una modalità che fa riferimento a due elementi principali: il controllo di processi e procedure aziendali riferiti ai dati personali e le tecnologie, in continua evoluzione, utili alla loro salvaguardia.
Tali concetti sono rafforzati da un ulteriore principio ispiratore del Regolamento: l’accountability ovvero la responsabilizzazione di Titolari e Responsabili del trattamento che devono adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurarne l’applicazione. Quindi è rilasciata totale flessibilità nella scelta delle modalità operative.
L’importante è raggiungere il risultato di riduzione massima dei rischi, minimizzazione, nel trattamento dei dati personali dandone evidenza con la documentazione e la dimostrazione delle attività svolte da mettere a disposizione degli organi che controlleranno l’applicazione della normativa (I Garanti nazionali sono trasformati in organi di controllo).
Per quanto detto è importante capire che il software qualunque esso sia non deve essere vissuto come un passaggio per essere in regola con i criteri del GDPR, ma deve essere utilizzato e gestito come uno strumento di supporto alle decisioni al Titolare e al responsabile e per la configurazione del perimetro della privacy.
Il presente manuale farà parte integrante del kit che verrà consegnato ad ogni nuovo dipendente all'atto dell'assunzione, e sarà inoltre pubblicato regolarmente dopo ogmìni modifica.