Torna a Eventi FPA

News

Photo by Andisheh A on Unsplash

GDPR: la scadenza si avvicina, cosa fare per mettersi in regola

di Sergio Fumagalli, Responsabile Practice Data Protection P4I – Partners4Innovation.

Il Supplemento Innovazione del Corriere della Sera, non una testata specialistica, pochi giorni fa dedicava una pagina al GDPR con un titolo che la dice lunga: “GDPR se non sai cosa significa hai un problema”.

Anche la PA è immersa nel digitale e ne è trasformata. Anche la PA, se non sa cos’è il GDPR ha un problema.
Che si tratti di un Comune, grande o piccolo, che si tratti di una Azienda Ospedaliera o di una ASL o che si tratti di una Scuola media, o elementare, alle prese con il registro elettronico, il GDPR è qualcosa con cui si dovranno fare i conti perché traccia per tutti e per ciascuno i contorni dei nuovi diritti delle persone dell’era dei servizi on line al cittadino, della comunicazione via Social Media, degli smartphone sempre connessi.

Non ci sono alibi:

  • Il GDPR è un Regolamento, non una Direttiva: non richiede una legge nazionale di recepimento, è immediatamente esecutivo.
  • Il GDPR è stato approvato il 24 maggio 2016: non richiede ulteriori approvazioni.
  • Il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018, solo per consentire alle organizzazioni pubbliche e private di adeguarsi: non ci saranno rinvii.

Inoltre, le sanzioni previste dal GDPR sono molto rilevanti e non possono essere ignorate, come pure il rischio di essere chiamati a rispondere di danni a terzi.

Dunque, cosa occorre fare?
Il GDPR è un testo complesso che definisce e regolamenta i diritti dei cittadini relativamente al trattamento dei Dati personali. Molti aspetti sono invariati, rispetto alla normativa vigente, il d.lgs. 196/03, ma molte sono anche le novità: dall’obbligo di redazione del registro dei trattamenti, alla nomina del Data Protection Officer – una figura nuova e obbligatoria per le amministrazioni pubbliche; dalla sicurezza dei dati personali, che deve essere basata sull’analisi dei rischi, all’obbligo di notifica delle violazioni di sicurezza, che non riguardano solo il furto di informazioni ma anche aspetti più normali e quotidiani che possono, però risolversi in danni per le persone a causa, ad esempio, della indisponibilità di una dato o di un PC.

La prima cosa da fare è informarsi, sfruttando le indicazioni presenti sul sito del Garante. Le priorità suggerite dall’Autorità di controllo ci aiutano ad orientarci ma il tempo rimasto ormai è poco: è necessario che ogni Amministrazione entri nel merito e metta a fuoco gli interventi necessari per adeguare la propria organizzazione, aggiornare la tecnologia, rivedere i rapporti con i fornitori di servizi – outsourcing, cloud, supporto applicativo, call center – per fare in modo che assolvano ai propri compiti in modo conforme al nuovo quadro legislativo.
Il GDPR non richiede la perfezione ma una risposta seria da parte dei Titolari. Richiede che Sindaci e Amministratori pubblici prendano in esame il problema e se ne facciano carico, documentando le scelte, i vincoli ed i limiti economici e organizzativi, i piani di adeguamento, realizzati e da realizzare.

La grande innovazione del GDPR sta nell’approccio basato sull’accountability – la responsabilità – di Sindaci e Amministratori pubblici: ad essi il GDPR garantisce margini di discrezionalità nelle modalità di applicazione della legge che non erano presenti nel d.lgs. 196/03 ma da essi pretende la capacità di dimostrare il rispetto dei diritti sanciti dal regolamento.

Questo approccio innovativo può consentire di essere in regola pur tenendo conto dei vincoli e delle limitazioni che condizionano la PA.

Il Webinar di FPA del 23 novembre partirà proprio da qui, dal principio di responsabilità, per descrivere l’impianto complessivo del GDPR, individuando, però, anche un percorso pratico per la conformità, fatto di priorità e di opzioni in grado di aiutare ciascuna PA a tracciare il proprio percorso per l’applicazione del GDPR.
A questo primo focus seguirà un altro del 30 novembre dedicato al Data Protection Officer.

Informarsi è un modo per iniziare ad essere in regola.

Photo by Andisheh A on Unsplash