15 Mag GDPR e Digitalizzazione dei Processi: l’anello di congiunzione!

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati personali, il cosiddetto GDPR – General Data Protection Regulation, che sarà direttamente applicabile in tutti gli Stati dell’Unione Europea così come previsto dal Regolamento UE 2016/679.

Tra le diverse novità introdotte dal nuovo regolamento, quello veramente innovativo è il collegamento che c’è tra il GDPR e la digitalizzazione dei processi. Questo collegamento emerge dal principio di accountability, ossia il principio di responsabilizzazione del titolare e del responsabile del trattamento dei dati, contemplato dall’art. 32 del GDPR.

PRINCIPIO DI ACCOUNTABILITY
Secondo il principio di accountability, i titolari del trattamento dei dati dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali.

Questo principio porta necessariamente le aziende a cambiare il loro approccio nei confronti della compliance alla normativa privacy. Ciò che viene richiesto dal nuovo regolamento ai titolari e ai responsabili è un atteggiamento proattivo teso a prevenire possibili danni.

I titolari e/o i responsabili sono chiamati infatti, in caso di data breach, a dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, attraverso l’implementazione di processi non occasionali, ma sistematici ed organizzati, finalizzati al cd. privacy management. Le aziende dovranno, pertanto, rispettare i principi della privacy, by design e by default, che richiedono un approccio concettuale innovativo che impone l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti a tutela dei dati personali.

Ecco perché uno strumento indispensabile di supporto al raggiungimento della compliance al GDPR è rappresentato indiscutibilmente dalla digitalizzazione dei processi aziendali. È quindi evidente che l’implementazione di processi digitali che consentano l’acquisizione, la gestione e la conservazione digitale dei documenti, oltre ad accelerare e migliorare la produttività e a ridurre i costi, è fondamentale per permettere ai titolari e responsabili del trattamento di dimostrare e dare evidenza di aver adottato adeguate misure di sicurezza e di aver trattato in modo corretto l’enorme quantità di dati che transitano all’interno di ciascuna azienda.

La digitalizzazione dei processi allo stesso tempo rappresenta, però, un rischio per la privacy in quanto l’intero processo documentale, dall’acquisizione del documento alla sua conservazione e infine allo scarto, gestito interamente in digitale comporta la necessità di implementare misure di sicurezza fisiche, logistiche e di sicurezza della rete. Questo vuol dire che oggi la tutela della privacy passa inevitabilmente dalla digitalizzazione dei processi.

Privacy e conservazione sono pertanto collegate, perché ci si trova sempre a dover conservare documenti contenenti dati personali ed il più delle volte documenti contenenti dati particolari, e quindi sensibili, per i quali, il legislatore prescrive una serie di adempimenti preliminari nella fase di raccolta dei dati e obbligatori ai fini della loro conservazione.

(Si ricorda che il documento informatico va conservato secondo le regole tecniche di conservazione di cui al DPCM del 3 dicembre del 2013 e del DPCM del 13 Novembre 2014).

 

ART. 32 DEL GDPR – SICUREZZA DEL TRATTAMENTO
L’art. 32 si occupa nello specifico della sicurezza del trattamento dei dati personali, che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.
Ma cosa dice nel dettaglio l’art. 32?

Art. 32 – Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,
del contesto e delle finalità del trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento
e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate
per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità
e la resilienza dei sistemi e dei servizi di trattamento; (…)

Dall’esame di questo articolo e in particolar modo in riferimento allo “ … stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento …” , si rileva come il processo e la metodologia che assicura il massimo grado di sicurezza dei processi e di conservazione è quella disposta dall’AgID in riferimento alla digitalizzazione dei dati.

Inoltre, per garantire l’integrità richiesta sempre dallo stesso art. 32 comma b), bisogna necessariamente avere un processo di conservazione digitale a norma, altrimenti il rischio è quello di non essere compliance e di incorrere in pesanti sanzioni, non solo economiche, ma anche penali:

  • Sanzioni amministrative fino a 20 milioni di euro
  • Per le imprese, fino al 4% del fatturato totale annuo

 

ARCHIVA è al tuo fianco
Archiva, in qualità di conservatore accreditato AgID ed azienda certificata ISO 27001 (Sistema di Gestione della Sicurezza delle Informazioni) e ISO 9001 (Sistema di Gestione per la Qualità), è al tuo fianco per garantirti la massima integrità e riservatezza dei tuoi dati attraverso servizi in outsourcing che permettono la digitalizzazione dei processi aziendali in linea con le normative vigenti.

>> Per maggiori informazioni puoi contattarci telefonicamente: 045 288 00 00 oppure scrivici a: sales@archivagroup.it

 

PARTECIPA AL ROADSHOW | 22.05.2018
Se vuoi saperne di più su questa tematica e scoprire quali sono le opportunità legate ad un progetto di digitalizzazione dei processi, partecipa al Roadshow gratuito che faremo il prossimo martedì 22 maggio a Milano, presso l’Excelsior Hotel Gallia di Milano. Scopri di più sull’evento, cliccando qui.

Come relatori, due ospiti d’eccezione: il Prof. Benedetto Santacroce, massimo esperto italiano in tema di fatturazione elettronica e conservazione digitale, e l’Avv. Luigi Fruscione, esperto di compliance nei settori del diritto doganale, dei modelli organizzativi 231/01 e della privacy.

>> L’evento è gratuito. Per partecipare è comunque necessario REGISTRARSI cliccando qui.