Il 25
maggio, il fatidico giorno in cui entrerà in vigore la nuova normativa europea
sulla protezione dei dati personali e sulla privacy, è sempre più vicino. Sarà
un cambiamento epocale: gli specialisti distinguono già il pre-GDPR dal post-GDPR
per evidenziare il netto cambio di paradigma del modo in cui le aziende
dovranno tutelare la privacy e il trattamento dei dati personali. Tra il dire e
il fare, il mare di adempimenti da assolvere per essere compliant alla normativa appare sempre più lungo e complesso da
attraversare.
Per orientare le aziende di qualsiasi dimensione al processo di adeguamento GDPR,
forniamo una rapida checklist di
aspetti e azioni da tenere in considerazione.
Il primo passo consigliato per mettersi al pari con il GDPR consiste in un’analisi della situazione attuale.
Di quali dati si è in possesso? Su quali piattaforme? Qual è il livello di sicurezza? In che modo è stato richiesto il consenso a partner, clienti e iscritti alla vostra mailing list?
Un’analisi approfondita dello scenario attuale potrà fornirvi un ordine di priorità delle prossime azioni da compiere.
I vostri fornitori sono compliant al GDPR e possono garantirvi la sicurezza dei dati? L’articolo 28 della normativa pone le regole sulla fornitura di servizi riguardanti i dati personali in vostro possesso. I fornitori dovranno garantire la riservatezza e la corretta elaborazione dei dati mediante un atto giuridico. Il contratto tra le due parti dovrà riportare inoltre finalità, durata e tipologia dei dati del trattamento in questione.
L’analisi dei dati non è di per sé sufficiente: il passo successivo consiste nella valutazione dei sistemi di privacy e delle piattaforme informatiche utilizzate. Intorno a questo aspetto ruotano i concetti innovativi di privacy by design e privacy by default.
Con privacy by design si intende che i sistemi interessati dal trattamento dei dati personali siano stati progettati per l’effettiva tutela della riservatezza delle persone interessate.
Con privacy by default, invece, si intende la predisposizione dei sistemi alla conservazione dei dati per la durata e le uniche finalità indicate dalle persone interessate. Non più sistemi che considerino il rispetto della privacy come corollario, ma sistemi che prevedano il rispetto della privacy come obiettivo finale.
Il Data Breach è una delle novità principali del GDPR.
Dal momento che le eventuali violazioni dovranno essere segnalate entro 72 ore, unitamente alla documentazione delle misure di sicurezza adottate, per le imprese è consigliabile predisporre un piano ben dettagliato che comprenda tutte le azioni da compiere nel caso in cui venga violato il sistema di protezione dei dati.
L’articolo 37 della nuova normativa decreta l’obbligatorietà della nomina
di un DPO se:
- il trattamento è svolto da una pubblica amministrazione;
- le attività dell’azienda richiedono un monitoraggio costante e sistematico
degli interessati;
- vengono trattati dati sensibili, come l’origine etnica, opinioni politiche,
orientamenti religiosi, orientamenti sessuali, dati biometrici, informazioni
relative a condanne penali o reati.
Tuttavia, il Garante della Privacy nelle sue linee guida consiglia per tutte le
imprese la nomina di un DPO, debitamente in possesso di una formazione adeguata
al proprio ruolo.
Quello del Data Protection Officer,
più che una vera e propria figura, deve comunque essere intesa come una
funzione aziendale: esiste la possibilità di nominare un dipendente come tale
o, in alcuni casi, anche una persona esterna all’azienda. Il suo nominativo va
sempre comunicato al Garante sulla Privacy.
I punti finora affrontati sono strettamente collegati tra loro dal principio comune dell’accountabity, ovvero il processo di responsabilizzazione verso la tutela e la protezione dei dati personali. La consapevolezza deve essere diffusa all’interno della cultura aziendale, dal momento che tra responsabili e incaricati, esiste un numero consistente di figure che utilizzerà quotidianamente i dati in possesso: commerciali, legali, tecnici informatici, responsabili e addetti alle risorse umane e al marketing, addetti al front office.
Per i titolari del trattamento dei dati personali, una strada agevole per dimostrare di avere adottato le misure organizzative necessarie per la protezione e il corretto trattamento consiste nella formazione.FORMart, in collaborazione con Confartigianato, ha attivato in tutto il territorio dell’Emilia-Romagna i corsi di formazione sul GDPR per permettere alle aziende di responsabilizzare i propri dipendenti.
Passando alle azioni finalizzate alla trasparenza per i vostri utenti, una revisione della vostra informativa sulla privacy potrebbe meritare una certa attenzione. I contenuti indispensabili dell’informativa sono citati all’interno degli articoli 13 e 14 della normativa europea.
Tra i numerosi punti obbligatori, segnaliamo:
- i dati di contatto del titolare del trattamento e del DPO;
- i destinatari dei dati personali;
- la durata del trattamento e della conservazione dei dati personali;
- le finalità del trattamento, inclusi i processi di profilazione;
- i diritti degli interessati e le modalità di accesso ai dati: ne parliamo al punto 9.
Addio ai moduli pre-compilati e alle note sommarie. Ogni form creata
per far registrare gli utenti tramite l’inserimento dei dati personali dovrà
prevedere una funzione di “opt-in”,
ovvero un modulo per indicare il consenso esplicito al trattamento secondo le
finalità previste. Non basterà richiedere genericamente, ad esempio,
l’iscrizione alla mailing-list del vostro sito: occorrerà specificare se
l’utente desidera ricevere le newsletter informative o le DEM contenenti offerte
e sconti.
Uno degli effetti principali del
cambio di paradigma rispetto al concetto di tutela della privacy riguarda il
rapporto tra il titolare dei dati personali e le persone interessate dal
trattamento. In parole più semplici, le aziende e i propri clienti. Le aziende
dovranno predisporre misure per far valere i seguenti diritti:
- Diritto di accesso: il diritto
all’informazione sui dati personali interessati dal trattamento (quali dati),
le finalità del trattamento (perché) e la durata (per quanto tempo).
- Diritto alla rettifica dei dati, anche
attraverso auto-compilazione telematica;
- Diritto all’oblio, ovvero la cancellazione dei dati personali;
- Diritto alla portabilità: il
diritto di ottenere i dati personali in un formato informatico verificabile dall’utente
e utilizzabile meccanicamente da una diversa organizzazione (ad esempio, un
diverso gestore di servizi).
- Diritto alla limitazione, per
limitarne il trattamento futuro o restringerlo alla semplice conservazione dei
dati.
Se la vostra azienda impiega un numero inferiore di 250 dipendenti,
potrebbe non essere necessario elaborare un registro dei trattamenti, in forma
scritta o elettronica. La nuova normativa esenta le aziende di medie e piccole
dimensioni da questo aspetto formale, a meno che:
- l’elaborazione del registro comporti un aggiornamento continuo;
- l’elaborazione riguarda dati sensibili
- sia presente un rischio elevato per i diritti e le libertà degli individui.
Questa checklist, realizzata per mettere in luce alcuni aspetti significativi dell’introduzione del GDPR, non ha carattere di esaustività: consigliamo a privati e aziende di leggere attentamente il regolamento UE 2016/679.