Perchè il Gdpr/privacy obbliga la conservazione digitale e la digitalizzazione totale

06 luglio 07:00 2018 Stampa questo articolo

Nelle ultime newsletter dell’8 e 22 giugno scorsi il collega avv. Pietro Montella ha analizzato dal punto di vista giuridico e organizzativo la relazione tra Gdpr/privacy, conservazione a norma e digitalizzazione.

Questa relazione è indotta dallo stesso Regolamento (Ue) 2016-679 che all’art. 7 Condizioni per il consenso recita: “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”;

Ma ancor più specifico è l’art. 32 Sicurezza del trattamento che vale la pena riprodurre in toto perché ben rappresenta il cuore del problema e spiega perchè e come è nata la soluzione ©ADVMANAGER.

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    a) la pseudonimizzazione e la cifratura dei dati personali;
    b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  1. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
  1. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
  1. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Ora, il problema è che quasi nessuno spiega alle imprese come attuare queste disposizioni né presenta la soluzione della digitalizzazione totale. La ragione principale è che essa è alquanto “tosta” da progettare e da mettere in pratica, poiché richiede cognizioni contemporanee, approfondite e integrate di processi di lavoro, organizzazione aziendale, normative giuridiche, tecnologie up-to-date e la capacità di manutenere costantemente il tutto. Ci vorrebbero una Deloitte e un SAP, ma chi se li può permettere in una agenzia di viaggi?

Eppure una tale soluzione va comunque realizzata, altrimenti molto facilmente l’impresa sarà fuori norma. E’ un grosso errore pensare solo e soltanto alla documentazione privacy, alle informative, ad organizzarsi secondo principi di (apparente) sicurezza. Tutte cose utili, ma che non bastano. Veri specchietti per le allodole sono poi quelle offerte a basso costo che ti dicono che con 100 euro l’anno, ti danno un software per gestire tutto l’impianto privacy. Fosse così semplice noi saremmo disoccupati, ma non è affatto così perché dobbiamo invece battere costantemente l’Italia con il nostro Dematerializzatore Tour, incrementandone sempre le tappe.

Segui nella prossima Newsletter del 20 luglio come nasce una soluzione integrata, efficace e definitiva del problema GDPR. Ecco, un po’ presuntuosamente: ©ADVMANAGER è la Deloitte e il SAP delle agenzie di viaggi.

Ing. Nicola Savino, Savino Solution

Comitato Scientifico del Centro Studi ©TURISMO2000

La Newsletter del Centro Studi ©TURISMO2000, 6 luglio 2018, n. 28
Amministrazione Contabilità Fisco Digitalizzazione Pagamenti Normativa Economia Mercato
L’Agenzia di Viaggi Magazine media partner
centrostudi@turismo2000.org / www.advmanager.org

L'Autore