Consulenza privacy: attività continuativa nel tempo

L'attività di consulenza privacy, è paragonabile, per come è strutturata, a quella relativa alla sicurezza del lavoro: 

1) analisi della situazione e raccolta di dati e informazioni;

2) produzione della documentazione necessaria;

3) disposizioni per la conformità;

4) formazione iniziale specifica;

5) verifiche periodiche e audit;

6) aggiornamento continuo;

7) formazione periodica specifica.

A prescindere dall'obbligo di nomina del DPO (acronimo inglese che definisce il Responsabile della Protezione dei Dati) che alcune particolari aziende, oltre agli enti pubblici, hanno, con l'entrata in vigore del GDPR è necessaria una consulenza continuativa nel tempo per i seguenti motivi: cambiano le situazioni aziendali (personale; pc e server; processi produttivi e di comunicazione; turn over agenti, consulenti e professionisti esterni; cambi di assetto societario); cambiano, a fronte di provvedimenti del Garante alcune disposizioni (oggi l'analisi d'impatto va effettuata per tutti gli impianti di videosorveglianza; il Garante ha specificato alcune modalità per la redazione dei registri dei trattamenti nelle PMI; sono stati chiariti i tempi di conservazione di alcuni dati e altre disposizioni del Regolamento). Inoltre, lo sviluppo tecnologico, informatico e delle attività social genera continue esigenze di applicazione di processi organizzativi e tecnologici per la protezione e la tutela dei dati personali al fine di garantire la conformità al Regolamento (concetto di "privacy by design" e "privacy by default" espressioni citate dai legislatori del GDPR).

Inoltre, la presenza di un consulente esperto, in grado di fornire le giuste indicazioni, diventa fondamentale in caso di "data breach", cioè di violazione, furto o incidente impattante sulla riservatezza, sulla disponibilità e sull'integrità di dati personali trattati, dato che la normativa impone la redazione di una relazione completa (cause, impatti, piano di remediation) da inviare al Garante entro 72 ore, oltre che la comunicazione dell'accaduto ai soggetti interessati (art. 33-34). 

Daniele Spano

 


CONDIVIDI: