E’ oramai alle porte (25 maggio 2018) l’entrata in vigore del nuovo regolamento europeo per la protezione dei dati personali, che abrogherà definitivamente la direttiva europea 95/46/CE, madre di tutte le leggi Privacy nazionali, tra cui il nostro D.Lgs. 196/2003.

Saremo tutti coinvolti, chi più chi meno, dal cambiamento imposto dal GDPR.

L’approccio, come già detto nei miei precedenti interventi su questo BLOG, sarà completamente diverso da quello che potevamo permetterci “sotto” la 196/2003.

Avremo molta più libertà di azione, controbilanciata, però, da un notevole aggravio di responsabilità.

In questo scenario ignoto ai più, incerto anche per gli addetti ai lavori, un grande aiuto può essere fornito dagli strumenti software con cui lavoriamo quotidianamente.

Vediamo cosa dovrebbero assolutamente garantire i nostri gestionali aziendali o di studio (e che pochi software, fino ad oggi, sono in grado di fare).

  1. saper collegare un dato personale, fin dall’atto della sua “raccolta”, ad una specifica “finalità” di trattamento, “battezzandolo” con il corrispettivo attributo in modo definitivo ed indelebile (art. 5, primo comma, lett. b GDPR), onde consentirci un continuo controllo sull’effettiva futura utilizzabilità di quel dato in nuove attività che possono avere, in ipotesi, anche finalità non conformi alla prima;
  2. saper collegare l’anagrafica cui è riferito un dato personale alla prova documentale del “consenso” raccolto dall’interessato per poter trattare quel dato (art. 6, comma 1, lett. a GDPR)
  3. utilizzare un database cifrato con dati pseudonimizzati (art. 6 e art. 25 GDPR)
  4. prevedere di default la necessità di specificare per ogni dato personale raccolto l’arco temporale massimo di conservazione (art. 6, comma 1 lett. e GDPR) e inviarci degli alert all’approssimarsi della scadenza, affinché possiamo  cancellarlo, ottemperando consapevolmente all’obbligo di limitarne la conservazione nel tempo
  5. prevedere di default la necessità, per chi lo raccoglie, di specificare i destinatari cui quel dato verrà comunicato
  6. saper estrarre in automatico l’elenco delle informazioni relative al trattamento di quel dato, in un formato leggibile da chiunque, ai fini di ottemperare alla richiesta di accesso eventualmente formulata dagli interessati (art. 15, commi 1 e 3 GDPR)
  7. essere in grado di procedere alla cancellazione definitiva dai nostri database di tutti i dati personali relativi ad un determinato interessato che ne faccia richiesta (art. 17, comma 1 GDPR), eccettuati i dati per cui esiste un obbligo legale di conservazione, consentendoci di dare prova tecnica dell’avvenuta eliminazione (art. 17, comma 2, lett. b GDPR)
  8. poter stampare l’elenco dei destinatari cui inoltrare la comunicazione di avvenuta cancellazione o limitazione di cui all’art. 19 GDPR
  9. saper estrarre tutti i dati personali relativi ad un determinato soggetto in un formato intelligibile da chiunque (file excel, file pdf, ecc. ecc.) (art. 20 GDPR) al fine di consentirgli di portarli dove vuole e a chi vuole
  10. chicca finale”: aver al suo interno un algoritmo di ricerca mirato ad individuare tutti i dati sensibili presenti nei sistemi, all’interno di ogni tipo di file, al fine di consentire l’esecuzione dei precedenti compiti da 1) a 9) anche in relazione ai documenti (immagini, documenti di testo, scansioni, ecc.) archiviati.

Utopia?
Forse.

Certo é  che, senza queste funzioni, la vita si complicherà e non di poco!
Tutto, comunque, dipenderà dall’orientamento delle future decisioni amministrative e giudiziarie.
Fatto sta che alcune (pochissime) software-house si stanno realmente adeguando.

Chiedetelo anche alla vostra!

Avv. Francesco Cucci

Se sei un’azienda o un professionista e necessiti di una consulenza, contattami ai recapiti che trovi qui o sulla home page del sito, anche solo per un preventivo.

Nel fornire la consulenza mi avvalgo, oltre che dei miei collaboratori di studio, anche delle competenze tecniche di un consulente
IT, selezionato per la comprovata esperienza nel campo della Data Protection e della certificazione di qualità.

logo-footer

P.IVA 02203350406

Cod. Fisc. CCCFNC66P18H294J