1a_GDPR non ti temo – Cosa vuol dire “Adeguamento Privacy”

Continuando la discussione della parte precedente vedremo come predisporre i testi dell’informativa per determinare, già in fase di progettazione, come renderli disponibili e in che forma:


  • in una pagina di un sito web;
  • attraverso la compilazione di un modulo cartaceo;
  • eventuali possibilità di opt-in.

È importante valutare in questa fase la modalità con cui si intende presentare l’informativa per poterla implementare nella soluzione in modo che soddisfi i requisiti di trasparenza, chiarezza, accessibilità, rilevanza, comprensibilità richiesti dal GDPR.


L’informativa deve contenere, come già definito precedentemente in fase di progettazione, le caratteristiche del Trattamento analizzato durante il processo preliminare, tra cui:

  • l’identificazione del periodo di conservazione dei dati e le modalità di richiesta di cancellazione, trasferimento o anonimizzazione;
  • la verifica del rispetto delle condizioni di cui al capo V del GDPR in caso di trasferimenti dei dati extra-UE
  • il riepilogo degli estremi per l’esercizio dei diritti agli interessati

È quindi logico che l’informativa è un’operazione che verrà fatta DOPO l’analisi dei Trattamenti e non partendo da un’informativa generica adattando poi i processi a questa, perché potrebbe risultare non idonea.


Oltre alla fase di progettazione dovrà poi essere verificata l’effettiva messa in opera, soprattutto se affidata a terzi, delle specifiche dichiarate dal progetto Privacy e dal Trattamento.

Sarà quindi indispensabile verificare i seguenti elementi:

  1. L’architettura del sistema informativo e delle caratteristiche di sicurezza.
    Rientrano tra questi:
    – identificazione dei profili di accesso e assegnazione delle credenziali;
    – la localizzazione dei dati e dei flussi informativi;
    – la gestione dei backup e controllo dei ripristini;
    – sistemi di protezione attiva e passiva (firewall, antivirus, ecc).
  2. Verifica della raccolta e trattamento.
    Dovrà essere verificata l’effettiva corrispondenza con quanto dichiarato per la raccolta dati personali, con attenzione anche ai tipi di dati e al livello di dettaglio.
    Occorre assicurarsi che se erano dichiarati ad esempio “nome cognome e mail” non venga registrato anche il numero telefonico, o l’indirizzo, escludendo dalla registrazione quelli non indispensabili, e se previsto procedere all’anonimizzazione, criptazione o cancellazione.
  3. Valutare e identificare gli accessi ai dati personali da parte del personale.
    Questo vuol dire che l’adozione delle misure al punto 1 (credenziali) devono essere assegnate ai singoli utenti, così che abbiano accesso ai dati in relazione ai ruoli ricoperti.
    Occorrerà adottare anche misure che rendano inaccessibili i dati a soggetti non autorizzati, anche isolando i database, raccogliendo ad esempio i dati personali in database differenti da quelli delle operazioni.
    Ma valutare il personale vuol dire anche prevedere meccanismi di informazione e formazione, così che gli operatori SAPPIANO come gestire i dati con cui entrano in contatto: limiti ed ambiti, ma anche norme comportamentali e utilizzo corretto degli strumenti, onde evitare in trappole come il phishing. La formazione è una pratica richiesta ed obbligatoria, perché l’operatore è il primo strumento di Trattamento del dato e quindi deve essere idoneo all’operazione svolta. Non esiste misura di sicurezza sufficiente, per quanto automatica o complessa, se il personale che quotidianamente tratta i dati personali non ha coscienza di ciò che fa e come lo fa. La formazione deve essere concreta e specifica, non esclusivamente teorica sui principi normativi, ma puntare sulle basilari regole di “cyber hygiene” per permettere di sapere come devono (o non devono) comportarsi, e in caso di dubbio o incertezza, devono sapere a chi chiedere chiarimenti o indicazioni.
    I soggetti autorizzati oltre ad essere istruiti, devono ricevere una nomina a incaricato o Responsabile che determini gli ambiti del trattamento autorizzato.
  4. Definire procedure per la revisione, per l’esercizio dei diritti dell’interessato e per la segnalazione di eventuali data breach.
    Si devono gestire meccanismi di revisione delle scelte e di rianalisi della conformità, periodiche, ma soprattutto in tutti i casi in cui intervengano delle modifiche, così da assicurare l’individuazione di difformità rispetto ai trattamenti di dati personali previsti e poter adeguare in tempi rapidi la situazione, ripetendo il processo, in tutto o in parte, dell’analisi dei rischi.
    Si devono prevedere strutture che prendano in carico le richieste degli interessati (rettifica, cancellazione, trasferimento) e soprattutto si deve essere pronti a reagire ad un DataBreach, non solo operativamente, ma anche funzionalmente, dedicando risorse per la segnalazione, il rimedio, la correzione e la comunicazione all’Autorità Garante e agli interessati i cui dati sono stati violati.
    Anche queste norme, sovente soggetto di revisione da parte dell’Autorità Garante, devono essere costantemente mantenute aggiornate.

Come si vede, e come abbiamo detto diverse volte, il GDPR ed il Registro dei Trattamenti, non sono un’opera chiusa e finita, una fotografia dell’Azienda, ma sono invece un FILM dell’Azienda, in costante movimento ed evoluzione, che registra quotidianamente il comportamento della struttura, e che prevede che questa struttura sia perfettamente conosciuta.

L’osservanza effettiva ed efficace dei principi di data protection previsti dal GDPR permettono di rendere la nostra realtà sicura ed affidabile, in un mondo, quello digitale, dove la velocità di comunicazione delle informazioni incrementare la possibilità (e la velocità di propagazione) di ogni singolo errore.


Nelle prossime uscite affronteremo le singole voci accennate sopra per approfondire in dettaglio ogni argomento e permettere così una dettagliata comprensione della specifica tematica.