Tutto quello che bisogna sapere per adeguarsi al GDPR

INDICE DEI CONTENUTI

Pubblicato in Gazzetta Ufficiale il 4 settembre scorso, il decreto legislativo inerente l’adeguamento della normativa privacy nazionale al Regolamento generale sulla protezione dei dati, il GDPR, è entrato in vigore il 19 settembre 2018. Molte aziende, però, ancora non riescono a districarsi nel mare magnum dei tecnicismi e delle parole in inglese, e rischiano di essere di essere sanzionate. Cosa è necessario fare, quindi, per adeguarsi al GDPR senza commettere errori?

Adeguarsi al GDPR, cosa devi sapere

Il nuovo regolamento europeo è entrato in vigore il 25 maggio scorso, ma nel nostro Paese la normativa nazionale è entrata in vigore a settembre. Nonostante questo, ancora molte aziende annaspano, non sanno come ci si deve adeguare nel modo corretto e senza commettere errori.

Si sono viste scene da Apocalisse: privati che gestiscono un sito web, liberi professionisti, disperarsi e pensare di chiudere tutto. Imprenditori spaesati che si guardavano attorno alla ricerca di una consulenza, consulenti alla estenuante ricerca di notizie, super esperti che si addentravano tra i cavilli e i meandri infiniti di una normativa non proprio chiarissima.

Sembrava che il mondo del web dovesse finire all’alba del 25 maggio. Ma era davvero necessaria tutta questa bagarre? Ovviamente no, anche se quando si cambiano le normative è normale e fisiologico entrare un po’ nel panico, anche perché le sanzioni paventate non sono esattamente bruscolini.

Ma la normativa della privacy non è stata stravolta, questo è bene metterlo in chiaro subito. Sono solamente state apportate alcune modifiche.

Aggiornamento della disciplina, i tempi cambiano

Sembra la solita frase fatta, “i tempi che cambiano”, invece è quanto mai vero. L’avvento di internet ha letteralmente stravolto le nostre abitudini, il nostro lavoro, e perfino il nostro quotidiano. Ormai sempre più aziende comunicano sul web, si pubblicizzano sul web utilizzando appunto i dati degli utenti.

Era quindi necessario aggiornare la disciplina che norma la privacy, perché diverso è il modo di trattare questo tipo di dati.

Per farti capire meglio ti faccio un esempio banale. Ti abboni a una rivista, compili il modulo e ti arriva la rivista a casa per la durata di tempo per cui hai pagato l’abbonamento. Mettiamo però che quella rivista non ti soddisfi e decida di annullare l’abbonamento. Cosa fai? Scrivi alla casa editrice e annulli l’abbonamento. I tuoi dati sono detenuti in un archivio, quindi la tua scheda viene presa e distrutta. L’abbonamento è sparito e i tuoi dati pure.

Questo vent’anni fa. Oggi lasciamo i nostri dati un po’ ovunque. Troviamo un sito che ci offre un white paper interessante, un report, una miniguida, e tac! Lasciamo i nostri dati in cambio di quel contenuto. Ovviamente questo è solo il modo più evidente in cui noi lasciamo traccia del nostro passaggio sul web.

I professionisti della comunicazione online, dai SEO, ai web marketer, utilizzano quotidianamente strumenti per monitorare il passaggio degli utenti sui siti che gestiscono. Insomma, sul web lasciamo tante tracce, tanti dati, che non è così semplice cancellare. Se poi pensi che sul web ormai si eseguono tantissime transazioni di denaro, acquisti, pagamenti di bollettini, tasse e così via, capisci che normare tutto questo traffico di dati era assolutamente necessario.

Cosa è il GDPR

GDPR è l’acronimo per l’espressione inglese General Data Protection Regulation, ovvero, la normativa UE 2016/679 che regolamenta la protezione dei dati personali delle persone fisiche.

Le esigenze, come ti ho spiegato con gli esempi di prima, sono cambiate nel tempo. Serviva quindi una maggiore semplicità delle norme che riguardano il trasferimento dei dati personali, soprattutto per quanto riguarda il loro passaggio da un paese della UE all’altro. Cosa cambia quindi, e chi deve adeguarsi al GDPR?

Sostanzialmente i punti chiave sono questi:

• Le regole sull’informativa e sul consenso al trattamento dei dati sono più chiare;
• Il trattamento automatizzato dei dati personali viene limitato;
• Sono stabiliti dei criteri rigorosi per normare il trasferimento dei dati fuori dall’UE;
• Si da il via all’esercizio di nuovi diritti;
• Sono fissate nuove rigorose norme nel caso di violazione dei dati.

Privacy by Design Privacy by Default

La nuova normativa sulla privacy si basa su due nuovi fondamentali principi: la Privacy by Design e la Privacy by Default. Il consenso al trattamento dei dati personali è sempre valido, esplicito e revocabile.

Per quanto riguarda la Privacy by Design, si stabilisce che ogni progetto deve essere pensato in modo da garantire la privacy degli utenti, ovvero riservando e proteggendo i loro dati personali coinvolti in quel determinato progetto. In questo caso, quindi, non si segue uno standard fisso, bensì occorre una tutela ad hoc per ogni singola situazione.

Con la Privacy by Default, invece, si stabilisce che le aziende debbano trattare i dati personali solo ed esclusivamente nella misura necessaria per quelli che sono gli scopi previsti, e solo per un tempo strettamente necessario.

Un esempio chiaro è l’utente che deve acquistare un prodotto sul sito X, tale sito chiede la registrazione dell’utente. In questa fase l’azienda deve prestare attenzione ai dati che si accinge a raccogliere, non può farlo in modo arbitrario, ma secondo una specifica progettazione.

Quindi chi deve adeguarsi al GDPR? In buona sostanza tutti, ovvero tutti i soggetti che trattano i dati personali, sia mediante processi automatizzati che semiautomatizzati, oltre che quelli tradizionali.

Come devono regolarsi le aziende per adeguarsi al GDPR

Tutte le aziende devono controllare l’accesso ai dati mediante database strutturati e destrutturati. I dati personali devono essere identificati e quindi gestiti in piena sicurezza. Le policy devono essere sempre chiare ed esplicite, devono rendere espliciti anche i processi di gestione e assegnazione delle responsabilità, e su questo torneremo dopo.

Tra le strategie di protezione dei dati deve essere inclusa l’anonimazione dei record di dati e la crittografia (per esempio queste strategie vengono utilizzate dalle scuole quando si conservano documenti inerenti studenti con disabilità). Infine, tutte le procedure devono poter essere sempre controllate, occorrono quindi attività di reportistica interna, di gestione proattiva con gli utenti, e una serie di verifiche. Deve essere garantito il diritto all’oblio.

Ma se per le grandi imprese gli oneri sono più pressanti, per le PMI gli obblighi sono meno rigidi. Per cominciare, le PMI non sono tenute a nominare un DPO, Data Protection Officer, ovvero un responsabile della corretta gestione dei dati personali nelle imprese e negli enti. Per la richiesta di modifica dei dati, se tale richiesta d’accesso dovesse comportare dei costi elevati di risorse, sia in tempo che in denaro, l’impresa può applicare una tariffa per sostenere tali costi.

Il Privacy Impact Assestement (la valutazione dell’impatto sulla privacy) non è obbligatorio, eccetto in caso di rischi specifici se vi è una grande mole di dati da gestire; inoltre non vanno fatte le notifiche ordinarie al garante della Privacy, mentre restano le comunicazioni straordinarie per tutte quelle condizioni che possono mettere a rischio la privacy degli utenti.

Quali sono le figure legate al GDPR nelle aziende

Ovviamente tutte queste innovazioni non potrebbero essere attuate senza delle figure chiave con le competenze idonee. Le competenze sono un requisito fondamentale in tutti gli ambiti. A maggior ragione deve essere così quando si tratta di dover gestire dei dati, un compito delicato che non può essere affidato al caso.

La figura più emblematica ci sembra quella del DPO, figura di cui, lo ricordiamo, dovranno dotarsi le grandi aziende. Il Data Protection Officer deve essere presente in ciascuna filiale dell’azienda, dunque in ogni sua sede. L’obiettivo di questa figura è quello di proteggere e garantire la sicurezza dei dati e dei software che li gestiscono e custodiscono.

Il DPO non deve essere necessariamente nominato quando la PMI non ha la gestione dei dati degli utenti tra le sue attività principali.

Un’altra figura importante è quella del Data Processor, persona giuridica o fisica, il servizio, l’ente pubblico, che è responsabile del trattamento dei dati o che li gestisce da parte del titolare del trattamento.

Le sanzioni per le aziende che non si adeguano

E adesso passiamo alle dolenti note per chi non rispetta le normative sulla gestione privacy o adempimento privacy che dir si voglia. Le sanzioni, infatti, non sono uno scherzo. Stiamo parlando di somme che ammontano al 2% e 4% del fatturato o di un corrispettivo dai 10 ai 20 milioni di euro. Somme importanti che possono arrivare a decretare anche la fine dell’azienda.

Di questi tempi, dove la crisi economica e uno scenario quanto mai instabile, non si dovrebbero commettere passi falsi, ma al contrario, si deve lavorare per consolidare i risultati ottenuti e prefissarsi nuovi obiettivi. Un vero peccato andare a inciampare in una sanzione perché magari non si è compresa la normativa o perché si pensa di potersela cavare senza intoppi.

Un’azienda che funziona

Non ti stiamo dando una ricetta, ma solo qualche consiglio. Un’azienda che funziona, oggi, è un’azienda al passo con le tecnologie, che sfrutta il web, e che appunto sa cosa può e cosa non può fare con questo straordinario strumento, e che si distingue dai suoi competitor. Contattaci per saperne di più e iniziare a lavorare per il tuo successo.