Lo scorso 15-17 Maggio a Berlino si è tenuto l’European Data Protection Days, un confronto tra le Autorità Europee sulle tematiche più importanti del nuovo GDPR (General Data Protection Regulation) di prossima entrata in vigore. Nell’occasione i referenti delle aziende invitate hanno raccontato il proprio percorso di adeguamento in previsione della deadline fissata per il 25 maggio 2018.
Oggi l’inarrestabile evoluzione tecnologica è una caratteristica chiave per lo sviluppo economico di tutti i Paesi. Da questo nasce l’esigenza di una normativa atta a proteggere il patrimonio informativo delle aziende, le quali sono sempre più esposte a rischi di perdita dei dati o della riservatezza sugli stessi. Il GDPR è caratterizzato oltre che da una prospettiva di efficacia duratura nel tempo, anche da un certo livello di flessibilità in grado di rispondere a dinamiche tecnologiche in continua trasformazione.
Grazie alla GDPR si è di fatto innalzato il livello di attenzione delle aziende sulle tematiche della Data Protection. Le aziende presenti all’evento hanno descritto le proprie modalità di adeguamento, partendo dalla valutazione degli applicativi presenti in azienda fino ad arrivare ai nuovi progetti tecnologici in corso, rispetto ai principi di privacy by design e by default.
Importantissima anche la nuova figura del DPO (Data Protection Officer), analizzata con molta attenzione sotto diversi aspetti. Una figura che avrà il compito di “accendere la luce in azienda rispetto alla GDPR“, una figura capace di conciliare conoscenze tecnologiche con competenze normative. Una figura quindi abbastanza rara; le aziende, nell’individuare il DPO, non potranno non considerare gli aspetti personali, atteso l’ampio coinvolgimento di tale figura nelle decisioni aziendali.
Per quanto riguarda la gestione del data breach invece, è necessario avere le idee chiare sia sulla rilevazione degli eventi, che sulla loro classificazione rispetto all’obbligo di comunicazione. Questo è, ad esempio, uno dei temi che può condizionare i rapporti con i fornitori dei sistemi informativi che i CIO (Chief Information Officer) devono preventivamente esaminare. Si pensi al caso di servizi cloud dove l’onere di comunicazione entro 72 ore dalla violazione riguarda il titolare del trattamento; se contrattualmente non vengono stabiliti termini temporali che consentano di ricevere la comunicazione con ampio anticipo rispetto alle suddette 72 ore, il Titolare rischia di trovarsi in una situazione delicata rispetto alla violazione dei termini temporali di comunicazione all’Autorità di controllo e questo proprio perché fin dalla stipula contrattuale non ha previsto una simile ipotesi. Quanto detto, inoltre, evidenza in modo chiaro come i fornitori dei sistemi informativi, dovendo andare a traslare contrattualmente tutti quegli aspetti pratici e tecnici che riguardano la gestione della GDPR sul fronte informatico, siano tenuti a dialogare ampiamente con l’ufficio legale o con chi, comunque, gestisce gli aspetti legali.
Un ultimo tema affrontato riguarda, inoltre, la questione del trasferimento dei dati all’estero ricordando l’importanza delle BCR (Binding Corporate Rules) e degli aspetti contrattualistici.
L’evento di Berlino ha rappresentato quindi un momento che ha indubbiamente arricchito e fornito spunti agli uditori, e agli stessi relatori.