In un articolo divertente e per molti versi rilevante su Digi.no del 14 settembre, l’avvocato Thomas Flo Haugaard di Bryn Aarflot chiede: “Ricordi di esserti sentito esausto dal GDPR oggi?”

Haugaard ha indubbiamente ragione sul fatto che il regolamento UE sulla privacy, comunemente denominato GDPR, abbia creato molti problemi e grattacapi dopo essere stato trasformato in un regolamento norvegese attraverso il Privacy Act. dati personali. Anche le sue esperienze, in cui gli imprenditori disperati chiamano e si preoccupano di come conformarsi alle normative, sono in linea con le mie esperienze.

Da parte mia, vorrei anche ricordare che molti nel settore pubblico temono che la privacy possa ostacolare la corretta erogazione dei servizi ai cittadini. Questo dovrebbe riguardare sia i politici che i dirigenti pubblici che devono garantire la qualità – e soprattutto coloro che alla fine riceveranno i servizi.

Riconosco anche gran parte di ciò che Haugaard menziona sulla necessità di fornire “consigli antincendio”, laddove è necessario rispondere a questioni urgenti più e più volte. Ma ci sono due cose che vorrei menzionare, che possono essere ampliate con vantaggio quando è necessario rispettare il GDPR.

In primo luogo, esiste il potenziale per una presentazione più educativa dei regolamenti, non necessariamente per una guida più chiara. Il GDPR afferma che i dati personali e i diritti devono essere protetti, ma dipenderà dal quadro del rischio, cosa deve essere fatto. Sebbene sia problematico che “la regolamentazione spinga in gran parte le valutazioni sulle società stesse”, come sottolinea Haugaard, ciò ha anche lo scopo di garantire flessibilità e che non vi siano requisiti minimi eccessivamente severi.

Offrendo alle aziende più spazio per fare compromessi intelligenti, è possibile trovare più soluzioni che meglio si adattano all’innovazione del settore e dei servizi. Quadri eccessivamente rigidi e linee guida chiare qui finiranno rapidamente in costose soluzioni standard e diventeranno “migliori pratiche” piuttosto che “abbastanza buone”.

Il problema oggi è che le aziende non stanno facendo ciò che il veterano dell’Autorità norvegese per la protezione dei dati, Knut-Brede Kaspersen, ha indicato nelle sue numerose conferenze come una questione centrale per l’Autorità norvegese: “Ci hai almeno provato?” La mia esperienza è che l’autorità norvegese per la protezione dei dati può essere abbastanza accomodante, dato che sono state progettate valutazioni e rapporti di coscienza.

Questo mi porta al secondo aspetto dell’ingombrante monitoraggio del GDPR: il lavoro deve essere svolto secondo i piani! Avendo un sistema di controllo interno più generale, o un sistema di qualità se si preferisce, le esperienze più dolorose dovrebbero essere ridotte.

Senza entrare nei dettagli di come questo dovrebbe essere fatto, si possono citare quattro passaggi su come le aziende possono praticamente procedere per facilitare la conformità al GDPR:

1. Prendi il controllo del flusso di dati.
   Che tipo di dati personali hai e dove si trovano? Troppe persone usano dichiarazioni e moduli standardizzati senza valore perché non mostrano la realtà di come le aziende utilizzano i dati. Viene quindi naturale iniziare con una panoramica delle macchine e dei “flussi” di dati nel sistema. In genere, è necessario impostare un “diagramma di flusso” o una mappa ecc. in cui è possibile progettare una visualizzazione di dove vengono inviate e archiviate le informazioni.

   Le aziende devono sapere dove vengono archiviati i dati personali e dove vengono inviati e, soprattutto, a chi. Una delle cose che ha fatto molto scalpore, e che è costata cara alle aziende, negli ultimi anni è proprio che i dati vengono inviati senza controllo a destinatari sconosciuti o fuori dall’Europa.

2. A cosa servono i dati personali e sei autorizzato a usarli?
   Non è accettabile disporre di dati personali “per ogni evenienza”: secondo il GDPR, i dati personali devono essere utilizzati per scopi specifici. Influisce anche sul motivo per cui possono essere riutilizzati e per quanto tempo vengono archiviati i dati. In linea di principio, i dati personali non dovrebbero essere conservati più a lungo del necessario allo scopo.

   La finalità per la quale i dati personali vengono utilizzati influirà anche sulla base per la quale potrebbero essere utilizzati. Ad esempio, hai bisogno del consenso o esiste un obbligo legale di conservare i dati personali? Troppe aziende hanno dimenticato che qualsiasi utilizzo dei dati personali deve avere un fondamento separato (cd “base giuridica” o “base del trattamento”).

3. Implementare misure di sicurezza
   Come accennato, il GDPR non è un regolamento “taglia unica”. Dovrebbero essere utilizzate misure appropriate a seconda del profilo di rischio. Prima di decidere quali misure di protezione è necessario mettere in atto, è quindi necessario sapere qual è il rischio. Ciò significa chiedersi: quali eventi possono verificarsi (ad esempio per e-mail inviate in modo errato o attacchi di hacker)? Quali potrebbero essere le conseguenze? E qual è la probabilità che l’evento si verifichi? Il buon senso e l’esperienza aziendale possono essere utilizzati qui.

   Il rischio si esprime vedendo conseguenze e probabilità nel contesto. Una volta che questo è stato mappato, è possibile sapere cosa è necessario fare per ridurre o evitare il rischio. Se il rischio è basso, potrebbe non avere senso investire nelle attrezzature più costose e stravaganti.

4. Monitoraggio dei diritti delle persone
   

   Una delle cose che possono innescare indagini da parte dell’Autorità norvegese per la protezione dei dati e “pacche sul polso” è che le persone si sentono maltrattate. Quando richiedono l’accesso al tipo di dati personali in possesso dell’azienda e non arriva alcuna risposta, il modo più breve è inviare un’e-mail arrabbiata alle autorità di controllo.

   Pertanto, crea una panoramica dei diritti che i registranti hanno ai sensi del GDPR e di come dovrebbero essere monitorati. Designare persone specifiche che sono responsabili. Non è raro che le richieste vengano inviate durante un “tour” dell’azienda, senza che nessuno si assuma la responsabilità e risponda a una richiesta di accesso, ad esempio.

   In sintesi, è chiaro che il GDPR non è un insieme di norme semplice e chiaro, e qui Haugaard ha assolutamente ragione. Il professore danese Peter Blume ha scritto scherzosamente che la sistematica rigorosa era chiaramente una città in Russia quando è stato creato il GDPR.

   Diventa ancora più importante scomporre i compiti e le responsabilità, pezzo per pezzo, in modo da avere sia una panoramica che un seguito delle responsabilità. Il primo passo è iniziare con un lavoro sistematico, svolgere il lavoro a fondo e, si spera, evitare le situazioni sorprendenti e spiacevoli che si verificano più spesso del necessario.