Legal

I tre punti cardine della privacy

PrivacyMentre si calmano i rumors sull’attacco informatico a livello mondiale chiamato WannaCry - forse non il primo avvenuto, ma senza dubbio il primo di cui tutti hanno parlato - ci avviamo a fare il punto della situazione circa l’implementazione del nuovo reg 679/2016: tra un anno infatti (25 maggio 2018) tutti le aziende dovranno essere compliance al nuovo Regolamento.

Lavorando, ormai quotidianamente, con le aziende su questo tema, mi sono convinta che ci sono tre grandi blocchi concettuali intorno ai quali articolare il nuovo progetto di gestione del dato.
Più esattamente:

1) la trasparenza nei confronti dell’interessato.

l’interessato deve essere messo nelle condizioni di sapere chi tratta il suo dato, cosa viene fatto con quel dato e come viene trattato.
Lo strumento è l’informativa, che ben lungi dall’essere il copia-incolla dell’informativa del concorrente (prassi molto diffusa), richiede un lavoro a monte molto più articolato: mappare i dati, cioè sapere da dove arrivano, come “girano” in azienda, cosa viene fatto esattamente con quei dati e che fine fanno.
Quindi l’informativa non dovrà più essere  un noioso elenco che nessuno legge, ma il manifesto esterno della politica aziendale sul dato

2) chi accede al dato

Anche questa sembra un gran banalità, ma in realtà è un tema molto più articolato e complesso.
Ed anche in questo caso occorre una corretta mappatura del dato: il titolare deve infatti avere chiara consapevolezza di tutti i passaggi interne e esterni all’azienda, valutando chi accede lecitamente al dato e chi (invece) potrebbe accedervi in via illecita.
Capito ciò occorre mettere in atto le misure organizzative per gestire il processo, che passano anche (vorrei dire prevalentemente) attraverso la crescita della cultura sul dato.
Occorre fare formazione sul dato: è complesso, lo so, ma il valore del dato fa parte della crescita sociale della nostra epoca storica.

3) le misure di sicurezza (informatiche e non)

E qui il tema è: come sto proteggendo il dato all’interno dell’azienda e dalle intrusioni esterne? Il tema è prevalentemente informatico, ma non solo: a fianco dell’informatica esistono le misure organizzative che coinvolgono l’uomo che opera con la macchina.
E poi esiste il rischio residuo.
Nessuna tecnologica è perfetta ed assoluta: e soprattutto il top di gamma oggi può essere (almeno in parte) già superato tra sei mesi.

Occorre quindi valutare quali sono i rischi residui, pesarli anche dal punto di vista giuridico del danno. E poi gestirli.

 
Autore:

Silvia Stefanelli

Silvia Stefanelli è avvocato cassazionista, fondatore e co-titolare dello Studio Legale Stefanelli&Stefanelli, specializzato in ambito di sanità ed appalti. Esperta di diritto sanitario, con particolare competenza in materia di organizzazione di servizi sanitari in ambito pubblico e privato, dispositivi medici, data protection e responsabilità medica. Si occupa ampiamente di sanità digitale.

Segui Silvia Stefanelli: