Negli ultimi tempi, la portata della raccolta e della condivisione dei dati personali è aumentata in modo davvero considerevole, tanto da postulare la necessità di un quadro normativo coerente e solido volto a proteggere, in modo effettivo, le persone fisiche con riguardo al trattamento dei loro dati personali nonché i loro diritti e libertà fondamentali.
Questo quadro è costituito dal Regolamento UE 2016/679 (c.d. GDPR: General Data Protection Regulation).
Il corpus normativo introdotto dal GDPR ha creato un ecosistema basato su 2 macro- principi fondanti: l’accountability e la “privacy by design”.
Secondo questi 2 principi, ogni Organizzazione pubblica o privata che tratta dati personali, deve allineare, in modo evidente, fin dalla progettazione, i propri processi di produzione di beni e servizi ai principi della Data Protection.
L’effettivo adeguamento dei processi a detti principi determina la compliance privacy che tiene al sicuro, contestualmente, sia i diritti fondamentali degli interessati che gli investimenti delle Organizzazioni.
L’effettiva compliance alla normativa sulla privacy determina quindi 2 grandi vantaggi: la tutela effettiva dei diritti e delle libertà fondamentali degli interessati e la salvaguardia degli investimenti delle Organizzazioni che trattano dati personali in veste di “titolari del trattamento”.
In particolare, la compliance di qualsiasi attività di trattamento di dati personali deve coprire:
- le attività istituzionali delle pubbliche amministrazioni;
- le linee di business delle imprese nonché;
- la gestione dei rapporti con la catena dei fornitori la c.d. supply chain.
Quindi ogni pubblica amministrazione o impresa che tratti in modo sistematico dati personali farebbe bene a sviluppare uno specifico piano di verifica e di azione che preveda almeno:
- la designazione di un DPO davvero competente in materia di Privacy/Data Protection;
- l’esecuzione di una due diligence, i.e. di un’analisi organizzativa volta a verificare il livello di compliance di tutti i trattamenti di dati personali eseguiti nell’ambito dell’organizzazione ed una eventuale conseguente reingegnerizzazione degli stessi;
- il riconoscimento del proprio ruolo privacy nell’ambito dell’ecosistema di riferimento (titolare, contitolare, responsabile) e la predisposizione dei relativi atti giuridici (accordi di contitolarità, contratti con responsabili del trattamento);
- l’esecuzione di una valutazione di impatto sulla protezione dei dati personali (c.d. DPIA) per ogni trattamento che presenti rischi elevati per i diritti e le libertà fondamentali;
- il monitoraggio continuo delle attività per mantenere elevata la soglia di compliance raggiunta.
Gli adempimenti descritti valgono a mantenere in sicurezza i processi aziendali e dimostrano come la privacy sia una concreta leva di efficienza e non un intralcio burocratico. Un concreto rispetto dei principi di accountability e di privacy by design infatti, può contribuire in modo significativo a ridurre al minimo i costi inutili derivanti da un trattamento dei dati inefficiente aumentando la competitività delle aziende e l’efficienza delle pubbliche amministrazioni.
