Compliance e Studi Professionali
Un professionista dovrà, per adeguarsi al nuovo G.D.P.R. anzitutto, valutare l’impatto della nuova disciplina sulla propria organizzazione e provvedere al coordinamento di quest’ultima con la normativa previgente. Prima di procedere all’attuazione degli adempimenti imposti dalla nuova normativa, si renderà necessaria una valutazione preliminare sulla categoria di dati trattati in seno all’organizzazione professionale e, in particolare, se vengono trattati dati particolari (ex dati sensibili), per poi individuare quali siano i soggetti preposti al trattamento dei dati medesimi, del loro ruolo e della loro responsabilità. Successivamente dovranno essere individuate le finalità per le quali i dati sono raccolti e, quindi, verificare se il trattamento si fondi sui principi di correttezza, trasparenza e liceità; infine dovranno essere individuati gli ambiti di diffusione e comunicazione dei dati.
Il professionista dovrà inoltre verificare che i dati che raccoglie siano esclusivamente quelli necessari, pertinenti ed adeguati alle finalità per le quali sono trattati, di conservarli solo per il tempo necessario al conseguimento delle finalità e di prevederne adeguata protezione (art. 5 GDPR) onde evitare di incorrere nelle pesantissime sanzioni che sono previste dal Garante.
Dopo questo primo screening si dovranno gestire i singoli adempimenti, senza trascurare l’aspetto, parimenti importante, della sicurezza informatica. Di fondamentale importanza, potrebbe essere la collaborazione con un Amministratore di Sistema, in grado di gestire tutta quella che è la parte relativa alla sicurezza da un punto di vista della gestione dei computer e non solo.
In pochi lo sanno, ma è obbligatorio munirsi di un distruggi-documenti, di cui lo stesso garante ne fornisce le specifiche:
| Tipo distruggi documenti | LIVELLO DIN | Frammento | Tipo di documento |
| A striscia | P-1 e P-2 | Circa 36-75 strisce per foglio A4. Strisce di 5,8 | Per documenti per i quali è richiesto un grado di sicurezza di base. |
| A frammento | P-3 | Circa 312 frammenti per foglio A4. Frammento di 4x 50 mm. | Per documenti confidenziali: difficile da ri- assemblare e da leggere. |
| A frammento | P-4 | Circa 421 frammenti per foglio A4. Frammento di 4×38 mm. | Destinato ai documenti confidenziali che una volta distrutti saranno estremamente difficili da assemblare e leggere. |
| A micro frammento | P-5 | Circa 2.000 frammenti per foglio A4. Micro frammento di 2×15 mm. | Documenti altamente confidenziali. Virtualmente impossibile da assemblare e leggere. |
| Super micro frammento | P-6 | Circa 6.000 frammenti per foglio A4. Micro frammento di 0,8×12 mm. | Per esigenze di alta sicurezza. Ad esempio per enti governativi. |
| Alta sicurezza | P-7 | Circa 15.000 frammenti per foglio A4. Micro frammento di 0,8×5 mm. | Per documenti altamente confidenziali che richiedono il più alto livello di sicurezza precauzionale. |
L’adeguamento dovrà essere sempre condotto alla luce dei principi cardine del Regolamento, in particolare quelli della privacy by design e della privacy by default (art. 25) che impongono di garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita ed il principio di accountability (art. 24) che prescrive al titolare del trattamento di mettere in atto misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato in maniera conforme al GDPR.
Quali sono gli adempimenti da mettere in atto
Il Regolamento quale documento programmatico non enuncia, tuttavia, in maniera puntuale quali siano gli adempimenti da porre in atto, fornendo solo una direzione nella quale muoversi.
Dott. Alessandro Pagliuca
