Al recente convegno "La protezione dei dati personali: Il GDPR un anno dopo", organizzato dalla Scuola Nazionale di Amministrazione Digitale e da Unitelma Sapienza, in collaborazione conPrivacy Italiae Andig è emerso chiaramente come il G.D.P.R. ha reso la protezione dei dati personali un tema di attualità, rivolto non solo ai tecnici ma a tutti, grazie anche all'impatto che ha sul digitale, questo secondo le parole di Giuseppe Busia, Segretario Generale dell'Autorità Garante per la Protezione dei Dati Personali.
Mi preme sottolineare l'intervento di Giovanni Buttarelli, Garante europeo per la protezione dei dati, che ha ribadito come il GDPR sia uno strumento di partenza, non uno strumento di arrivo, e soprattutto che Il nuovo Regolamento non deve essere burocratizzato.
Queste parole assumono particolare risalto se messe in collegamento con l'ultimo intervento della giornata, quello di Marco Menegazzo, Colonnello Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, che ha illustrato qual è il modus operandi delle attività ispettive.
Non basta aver compilato un modello di informativa o aver redatto in maniera certosina il Registro delle attività di trattamento, ma si deve essere in grado di rendicontare tutto ciò che è stato fatto in un'ottica di aderenza ai principi fissati dal Regolamento Europeo.
Questo è un passaggio fondamentale, un vero punto di rottura con l'italica tendenza di produrre ogni sorta di documentazione, spesso ultronea, nel tentativo di voler dimostrare la propria conformità, tralasciando il punto centrale della questione: le analisi, i processi mentali che portano ad orientare le scelte verso una specifica soluzione.
Rende bene l'idea quanto riportato nelle slide di presentazione del Colonello Menegazzo: per il GDPR deve essere dimostrata la sostanza degli adempimenti non il rispetto formale. Non basta aver adempiuto alle richieste normative, ma occorre essere in grado di DIMOSTRARLO.
Ecco allora che l'attenzione deve essere orientata a come dare concreto contenuto ai principi di privacy by design e by default, alle valutazioni in merito all'opportunità di nominare un D.P.O., a come garantire una conservazione dei dati che abbia un limite temporale e che preveda la cancellazione come sviluppo naturale del loro ciclo di vita.
Di particolare rilievo è la formazione da prevedere in favore di tutte le persone autorizzate al trattamento dei dati, che per primi svolgono attività di trattamento dati e che devono conoscere le istruzioni comportamentali e tecniche per un utilizzo lecito dei dati.
Le procedure rivolte a gestire le violazioni dei dati personali e a rispondere all'esercizio dei diritti degli interessati devono, senza alcun dubbio, essere implementate e portate a conoscenza di tutto lo staff dell'organizzazione, per essere sicuri che vengano realmente processate.
La stessa decisione di non nominare un Responsabile della Protezione dei Dati o di non effettuare una valutazione di impatto perché non necessaria, andrà documentata e giustificata nei suoi presupposti.
In conclusione, nell'affrontare questi e tutti gli altri istituti del G.D.P.R., si prenderanno decisioni che dovranno essere rendicontate in sede di ispezione.