Le Regole

Dal capire cosa si gestisce. Dati di clienti, dipendenti, fornitori, sistemi critici: il registro dei trattamenti non è un obbligo burocratico, è la mappa operativa da cui si costruisce tutto il resto.

Deve elencare chi tratta cosa, con quali finalità, basi giuridiche, destinatari e tempi di conservazione. Senza di esso, qualsiasi intervento successivo è approssimativo e difficilmente difendibile in caso di controllo o contenzioso.

Una volta costruita la mappa, si valutano le basi giuridiche di ogni trattamento, si aggiornano le informative, si nominano i responsabili esterni e si strutturano le misure di sicurezza. L’adeguamento non è un progetto una tantum: è un sistema che va mantenuto, aggiornato al variare dei processi e verificato con audit periodici.

La nomina è obbligatoria per enti pubblici, soggetti che svolgono monitoraggio sistematico su larga scala o trattano categorie particolari di dati su larga scala (salute, biometrici, giudiziari).

Per le altre organizzazioni resta spesso consigliata come presidio di governance: il DPO può essere interno o esterno, purché indipendente, competente e liberamente contattabile da interessati e Garante. Una nomina formale senza i requisiti sostanziali è peggio di nessuna nomina.

Le funzioni del DPO comprendono il monitoraggio della conformità interna, la consulenza al titolare, la formazione del personale e la cooperazione con il Garante. Non ha poteri decisionali autonomi sul trattamento: è un presidio di controllo, non di gestione. Confondere il ruolo espone l’organizzazione a rischi aggiuntivi, soprattutto in caso di ispezione.

Ogni soggetto esterno che accede a dati personali o sistemi informativi va inquadrato: accordo di nomina a responsabile del trattamento (DPA, art. 28 GDPR), accordi di riservatezza (NDA), clausole contrattuali specifiche su sicurezza, subfornitura e notifica degli incidenti.

NIS2 impone inoltre di valutare la catena di fornitura come parte integrante del rischio complessivo: un fornitore non conforme può trascinare nella non-conformità anche la tua organizzazione, anche quando non è direttamente responsabile dell’incidente.

Un errore frequente è qualificare come responsabile del trattamento un soggetto che in realtà agisce come titolare autonomo — o viceversa. La qualificazione va fatta caso per caso, in base a chi determina finalità e mezzi. Un contratto mal redatto non tutela nessuno e può diventare un problema in sede di contenzioso o controllo.

GDPR, NIS2 e Cyber Resilience Act richiedono misure proporzionate al rischio, non un elenco fisso. Si parte da un’analisi del contesto: quali dati, quali minacce, quali impatti.

Da lì si adottano misure tecniche (cifratura, controllo accessi, segmentazione di rete, backup testati, logging) e organizzative (policy, formazione, procedure di incident response, audit periodici). La sicurezza non è un prodotto da acquistare: è un processo da mantenere e documentare, perché in caso di verifica conta la capacità di dimostrare le scelte fatte.

La documentazione delle scelte è parte integrante della conformità: non è sufficiente adottare misure, occorre poter dimostrare perché siano state scelte e con quale analisi del rischio sottostante. Il principio di accountability si esercita anche qui — ogni decisione tecnica o organizzativa va tracciata e giustificabile.

Serve una procedura già pronta, non improvvisata sul momento: rilevazione, contenimento, analisi dell’impatto sugli interessati, notifica al Garante entro 72 ore se il rischio non è improbabile, comunicazione agli interessati in caso di rischio elevato.

Tutti gli eventi — anche quelli non notificabili — vanno registrati in un log interno con valutazione e decisioni motivate. Improvvisare durante un incidente significa moltiplicarne le conseguenze legali, economiche e reputazionali.

La sanzione per mancata o tardiva notifica è autonoma rispetto a quella per la violazione in sé. Molte organizzazioni vengono sanzionate non per l’incidente, ma per come lo hanno gestito: documentazione lacunosa, valutazione superficiale, comunicazioni tardive. Avere procedure già testate fa la differenza tra un incidente gestito e uno che diventa un procedimento.

Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione: il GDPR riconosce diritti che vanno evasi entro 30 giorni (prorogabili in casi complessi, con motivazione).

Serve un punto di contatto noto, procedure di identificazione sicura del richiedente, risposte motivate e tracciabili. Ignorare o rispondere tardi espone a reclami al Garante, sanzioni e richieste risarcitorie: è uno dei terreni di contenzioso più frequenti degli ultimi anni.

Un processo strutturato — con moduli di ricezione, log delle attività e template di risposta — riduce il rischio di errori e semplifica la gestione seriale. La risposta va personalizzata: un template generico non è sufficiente se la richiesta è specifica. L’interessato ha diritto a sapere cosa viene trattato, perché e per quanto tempo.

Con l’AI Act, ogni sistema di IA va classificato per livello di rischio (inaccettabile, alto, limitato, minimo). Usare strumenti di IA per analisi, selezione del personale, scoring, automazione o generazione di contenuti significa assumere obblighi di documentazione tecnica, trasparenza verso gli utenti e supervisione umana.

Non riguarda solo chi sviluppa: riguarda anche chi integra, distribuisce o utilizza questi sistemi in ambito professionale. L’uso di strumenti di terze parti non esonera da responsabilità: scaricare sulla piattaforma fornitrice è una strategia che non regge a un controllo.

Il primo passo pratico è mappare gli strumenti di IA in uso e classificarli per livello di rischio. Molti sistemi già adottati — screening dei CV, chatbot, scoring o analisi predittiva — potrebbero ricadere nella categoria ad alto rischio, con obblighi di documentazione tecnica, supervisione umana e, in alcuni casi, registrazione nella banca dati europea.