Posted on

GDPR un anno dopo – I consigli dell’esperto

Condividi con i tuoi amici!

A un anno di applicazione del Reg. Ue 2016/679 abbiamo posto quattro quesiti strategici per fare il punto della situazione, all’esperto privacy europea, l’Avv. Enrico Pelino dello studio legale Grieco-Pelino di Bologna.

1) Avv. Pelino, a un anno dell’applicazione del Reg. Ue 2016/679 (GDPR), qual è la situazione in Italia?

«Si sono registrate numerose novità giuridiche: il 19 settembre 2018 sono entrate in vigore ampie modifiche del Codice privacy (d.lgs. 196/03), di profondo impatto. Il Garante ha quindi pubblicato il primo gruppo di regole deontologiche e individuato le prescrizioni applicabili (ex autorizzazioni generali). Il 19 maggio 2019 scade il termine di “tolleranza” fissato dal legislatore all’attività sanzionatoria del Garante, dunque è prevedibile che ci sarà un deciso cambio di marcia negli accertamenti dell’Autorità».

2) Cosa deve fare un’azienda oggi per essere compliant con il GDPR?

«Deve procedere a una revisione periodica dei propri processi, sviluppare analisi del rischio, dotarsi di una procedura di comprensione e gestione dei data breach, avere la governance dei tempi di conservazione dei dati personali, aggiornare i registri del trattamento, tenersi al passo con gli sviluppi normativi. Non può considerarsi un’attività svolta una volta per tutte e messa nel cassetto. Piuttosto, ha un andamento ciclico. Attenzione soprattutto alla privacy-by-design! Se applicata correttamente, riduce le incombenze: costituisce a lungo termine un ottimo investimento oltreché un dovere giuridico».

3) Quali sono gli aspetti più critici di applicazione del GDPR, che ha incontrato nella Sua attività professionale?

«Il messaggio che protezione dei dati personali non vuol dire scaricare un modello documentale di un’informativa generica, delle istruzioni agli autorizzati e dei registri del trattamento e pensare di essere compliant, insomma “metterci una pezza” documentale: questo è l’aspetto più critico da far comprendere. Essere compliant vuol dire sviluppare tutta l’attività di analisi e di governance dei dati personali che c’è dietro, passare al setaccio l’intera struttura. Informative e altri documenti saranno solo il prodotto finale dell’attività».

4) Quali sono le figure aziendali che devono essere maggiormente coinvolte nella gestione privacy?

«Sono certamente le seguenti: una funzione amministrativa che abbia una buona conoscenza della struttura aziendale, il responsabile del personale, una risorsa IT di livello apicale».