GDPR: assessment e messa a norma

Reg. UE 2016/679 (GDPR) e nuovo D.lgs n. 196/2003:
Le fasi di assessment e messa a norma privacy

Funzionigramma Privacy

Informazioni da rendere all’interessato (c.d. “Informative Privacy”)

Designazioni/Contratti/Altri atti idonei a individuare formalmente i Responsabili del trattamento

Incarichi e autorizzazioni rivolte alle persone autorizzate al trattamento dei dati personali sotto l’autorità del Titolare o del Responsabile

Registro delle attività di trattamento

Registro delle violazioni di dati personali

Istruzioni appropriate rispetto a tutti i soggetti coinvolti nel trattamento di dati personali

Policy RAEE

Procedura di riscontro alle richieste degli interessati

Procedura di gestione dei data breach

Policy di conservazione dei dati personali

Disciplinare tecnico sull’utilizzo della strumentazione informatica

Check sull’adeguatezza delle misure fisiche, logiche e organizzative adottate

Valutazione d’impatto privacy (DPIA)

Vulnerability Assessment (modulo autonomo)

Altri adempimenti documentali legati a specifici provvedimenti dell’Autorità Garante per la protezione dei dati personali (quali ad esempio la Relazione finale dell’attività degli Amministratori di Sistema, regolarizzazione dei flussi transfrontalieri, gestione videosorveglianza etc.) 


A partire dal 25 maggio 2018, l’acronimo GDPR ha iniziato a significare anche per i non addetti ai lavori qualcosa di più di una semplice sigla.

Scopo centrale del Regolamento non è solo quello di rendere più omogenea l’applicazione di una materia già estremamente tecnica e complessa come la protezione dei dati personali, quanto quello di realizzare una radicale rivoluzione nella cultura della sicurezza del trattamento dei dati personali e di una loro corretta circolazione.

L’attività centrale che tutte le imprese, gli enti pubblici e le altre organizzazioni sono chiamate a fare per essere conformi alla normativa privacy in questione è un sostanziale processo di analisi e messa a norma, che possiamo suddividere in almeno tre fasi essenziali.

Messa a norma: regolarizzazione dei profili documentali, organizzativi e di sicurezza

Partendo dal report finale dell’assessment già effettuato, vengono poi eseguiti gli adempimenti operativi necessari per regolarizzare l’Organizzazione.

In particolare, essi vengono realizzati attraverso un lavoro di consulenza e affiancamento articolato in tre livelli distinti: adempimenti documentali, istruzioni e adeguamento delle misure di sicurezza.

Adempimenti Documentali

Gli adempimenti documentali sono spesso erroneamente identificati come la parte più importante (se non l’unica) del processo di messa a norma privacy.

In realtà si tratta di una convinzione a dir poco ingannevole.

Per quanto tali adempimenti rivestano un ruolo centrale nell’arco dell’intera operazione di messa a norma, essi non sono affatto autonoma garanzia di conformità per l’Organizzazione che si limiti a implementarli in modo formalistico.Se realizzati senza fondamenta concrete, senza un sistema di gestione che ne renda coerente l’utilizzo, essi costituiscono solo un debole anello di un’ ancor più debole catena.

Proprio perché si tratta di un processo, pensare di doversi limitare a essi per poter essere a norma rispetto alle prescrizioni della normativa di settore, equivale a realizzare quella che in gergo viene chiamata “Buro-privacy” o privacy burocratica, la cui unica garanzia è quella di lasciare l’organizzazione potenzialmente esposta al rischio di pesanti violazioni del principio di accountability (art. 25 del Regolamento).

Ma quali sono gli adempimenti documentali da realizzare per essere conformi al GDPR?

Partiamo con una doverosa premessa: ogni caso ha le sue specifiche peculiarità, e non tutti gli adempimenti che verranno elencati vanno considerati come gli unici sufficienti per garantire una sostanziale conformità in ambito privacy.

Ciò detto, in linea generale i principali adempimenti documentali previsti dalla normativa e oggetto dell’omonima fase di consulenza relativa alla messa a norma sono i seguenti:

  • Funzionigramma Privacy
  • Informazioni da rendere all’interessato (c.d. “Informative Privacy”)
  • Designazioni/Contratti/Altri atti idonei a individuare formalmente i Responsabili del trattamento
  • Incarichi e autorizzazioni rivolte alle persone autorizzate al trattamento dei dati personali sotto l’autorità del Titolare o del Responsabile
  • Registro delle attività di trattamento
  • Registro delle violazioni di dati personali
  • Altri adempimenti documentali legati a specifici provvedimenti dell’Autorità Garante per la protezione dei dati personali (quali ad esempio la Relazione finale dell’attività degli Amministratori di Sistema, regolarizzazione dei flussi transfrontalieri, gestione videosorveglianza etc.)

Istruzioni e Procedure

Il GDPR richiede tra le altre prescrizioni che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. istruzioni rivolte alle persone autorizzate al trattamento dei dati personali sotto l’Autorità del Titolare o del Responsabile” (art. 29) .

Per questa ragione uno dei punti chiave durante il processo di messa a norma privacy è quello di formulare e impartire istruzioni appropriate rispetto a tutti i soggetti coinvolti nel trattamento di dati personali, assicurandosi altresì che non si tratti di vuoti consigli privi di una reale applicazione da parte dei destinatari o senza l’effettiva sorveglianza sul loro rispetto da parte di chi le ha impartite.

In alcuni casi le istruzioni possono essere di natura generale, comuni a tutti gli autorizzati al trattamento. In altri casi invece la natura del trattamento o l’utilizzo pervasivo di strumentazione informatica di un certo tipo rendono necessario dettagliare meglio in procedure specifiche certi aspetti delle attività di trattamento, o regolamentare in modo più specifico le modalità di utilizzo di alcuni strumenti. E’ il caso per esempio del Disciplinare tecnico sull’utilizzo della strumentazione informatica (previsto da uno specifico Provvedimento dell’Autorità Garante) oppure le istruzioni in materia di riciclo o riutilizzo della strumentazione informatica (RAEE).

In parallelo a tali istruzioni (di carattere strettamente operativo) è necessario realizzare anche delle apposite procedure volte a regolamentare gli aspetti più delicati coinvolti nel trattamento dei dati personali. Alcuni esempi possono essere le procedure di riscontro per l’esercizio dei diritti degli interessati (quali ad esempio accesso, opposizione, cancellazione, portabilità), le procedure dedicate alla gestione dei data breach o le policy di conservazione dei dati personali. Tali procedure devono essere specificatamente realizzate a partire dalla concreta realtà dell’Organizzazione e non – come spesso accade— in modo standard e privo di riscontro con la realtà.

Adeguamento delle misure di sicurezza

Una delle componenti fondamentali previste dal Regolamento è la gestione delle misure di sicurezza del trattamento.

Il GDPR prevede infatti la messa a norma dell’attività di trattamento anche sotto il profilo della sicurezza dei dati personali. In tal senso, l’Organizzazione deve adottare tutte le misure fisiche, logiche ed organizzative idonee, a norma dell’art. 32 del Regolamento, a garantire un livello di sicurezza adeguato al rischio.

L’Organizzazione si deve inoltre dotare di specifiche misure operative per ottemperare agli obblighi imposti dalla normativa in caso di violazione dei dati (data breach), ivi compreso il registro dei data breach di cui si è detto sopra, e ove necessario anche di un Codice di condotta in ambito privacy.

Sotto il profilo della sicurezza è opportuno in taluni casi procedere anche con almeno altre due tipologie di interventi: la Valutazione d’impatto privacy (DPIA) e Vulnerability Assessment.

Non esitare a contattarci

Siamo a disposizione per un confronto senza impegno.
Scrivici