ATEDNuova Legge Protezione Dati: ecco cosa fare, in pratica!

La nuova LPD (Legge federale sulla Protezione dei Dati) entrerà in vigore il prossimo primo settembre. Si tratta di una data “ferrea”, che implica il doversi adeguare secondo nuove linee guida. Infatti, la nuova LPD presenta importanti novità e richiede al Management di tutte le Organizzazioni d'impegnarsi “effettivamente” per garantire la privacy e la sicurezza dei dati personali e per dimostrare all’Autorità di Controllo di aver applicato le giuste metodologie, tecnologie, processi e controlli.

Visto che mancano soltanto pochi mesi all’entrata in vigore, bisogna avviare al più presto il progetto di adeguamento e l’associazione ated-Associazione Ticinese Evoluzione Digitale promuove un corso sul tema con i professionisti esperti di Security Lab Advisory, in programma il 26 aprile a Lugano presso l’Hotel Lugano Dante Center. Per capire meglio l’approccio abbiamo intervistato Siro Migliavacca, Direttore e Partner di Security Lab Advisory Sagl così da cogliere gli aspetti salienti dell’iniziativa.

Signor Migliavacca, nell’intervento che terrà su cosa punterà maggiormente l’attenzione in tema di nuovi requisiti normativi introdotti e sugli obblighi che ne derivano per le imprese?
«La novità "strutturale" più rilevante della nuova LPD consiste nella necessità per l’impresa di applicare un nuovo approccio nella gestione della privacy e della protezione dei dati personali: non è più sufficiente adottare soltanto le comuni misure per proteggere la riservatezza dei dati, ma è necessario organizzarsi sia per garantire il completo rispetto dei diritti delle persone in merito al trattamento dei loro dati personali, sia per garantire effettivamente la sicurezza dei dati a 360°, comprendendo non solo la tutela della riservatezza, ma anche gli altri aspetti della sicurezza dei dati, ossia la loro integrità e disponibilità. Sulla base di questo nuovo approccio, la legge introduce diversi nuovi requisiti, primo fra tutti l’applicazione di misure tecnico-organizzative allo "stato dell’arte", con riferimento alle migliori soluzioni e pratiche esistenti, capaci di gestire effettivamente i rischi per i soggetti interessati derivanti dal trattamento dei loro dati».

Entrando in vigore la normativa il prossimo 1° settembre voi presenterete nel corso un piano completo delle attività che devono essere eseguite per raggiungere la piena conformità normativa. Ci svela qualche elemento chiave?
«Ciascuna organizzazione dovrà partire con l’analisi dei propri processi, l’individuazione dei trattamenti di dati personali e l’analisi delle caratteristiche di tali trattamenti. Questo è il momento per predisporre il "registro dei trattamenti", che costituisce la mappa per orientarsi, la base di partenza per poi sviluppare le altre attività del progetto di adeguamento, lungo le tre principali direzioni della modulistica e dei contratti predisporre, in particolare l’accordo di affidamento tra cliente/titolare e fornitore/responsabile, che necessita anche di competenze legali; della valutazione dei rischi e della scelta delle misure di sicurezza, che necessita particolarmente di competenze informatiche; della definizione dei processi di governo, che necessita soprattutto di competenze organizzative e manageriali».

Osservando le aziende del nostro territorio quali riscontri avete raccolto da titolari e responsabili? Per chi non si fosse ancora mosso nella giusta direzione per adeguarsi alla nuova LPD quali sono i passi tattici e di relativa urgenza che si sente di suggerire?
«Tenuto conto che la nuova legge sarà vigente dal prossimo 1° settembre, ho certamente notato nelle ultime settimane un crescente interesse da parte delle aziende ticinesi rispetto al tema e soprattutto la voglia di comprendere cosa fare in concreto per rispettare i dettati normativi. Il suggerimento è di avviare subito il progetto di adeguamento, seguendo i passi che spiegherò in occasione del nostro appuntamento del 26 aprile. Chiaramente, il tempo e l’impegno necessari per adeguarsi dipendono dalla tipologia dei trattamenti di dati personali effettuati, dalla dimensione e complessità organizzativa e tecnologica dell’Organizzazione, dal livello di conformità già raggiunto e dai gap ancora presenti... il progetto di adeguamento deve essere personalizzato e "cucito su misura"».