Ancora molte imprese ed enti pubblici sono impreparati ad accogliere le novità introdotte dal nuovo Regolamento europeo sulla Protezione dei Dati Personali.
Cos’è il GDPR?
Il Regolamento UE 2016/679 noto GDPR (General Data Protection Regulation) stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali nonché definisce i diritti e le libertà fondamentali delle persone fisiche e, in particolare, il diritto alla protezione dei dati personali.
Il GDPR entrerà ufficialmente in vigore il 25 maggio 2018 e ciò significa che entro tale data tutte le aziende dovranno essersi adeguate alla nuova normativa.
Il GDPR prevede modifiche sostanziali al modo in cui vengono conservati ed utilizzati i dati raccolti (non solo online), ma anche alle modalità con cui le persone danno o meno il consenso al trattamento di quei dati. Vengono introdotte regole più chiare in materia di informativa e consenso e definiti i limiti al trattamento automatizzato dei dati personali. Si prevedono nuovi diritti per gli interessati e si stabiliscono criteri rigorosi per il trasferimento dei dati al di fuori dell’UE e per i casi di violazione dei dati personali (cosiddetto data breaches).
I cambiamenti introdotti dal GDPR sono numerosi e le azioni da intraprendere e richiedono una approfondita analisi e una pianificazione per la loro esecuzione ma gli sforzi dedicati a queste attività possono essere trasformati anche in opportunità di business: evitare di ‘tempestare’ clienti o potenziali clienti con comunicazioni indesiderate può sicuramente migliorare l’immagine dell’azienda così come evitare che venga divulgata la notizia che i dati in nostro possesso sono stati oggetto di attacco informatico e sono stati diffusi o persi; , evitare di intraprendere attività di profilazione o campagne marketing non a norma determina un miglioramento delle performance ed un’ottimizzazione delle risorse.
Insomma, le pratiche di adeguamento al nuovo regolamento europeo per la protezione dei dati possono essere anche un’ottima opportunità di crescita.
Perché è necessario valutare i rischi privacy?
Uno dei pilastri del nuovo Regolamento Privacy è il principio di accountability (tradotto in “responsabilizzazione e obbligo di rendicontazione“).
Il titolare del trattamento dei dati deve cioè essere in grado di dimostrare di avere adottato un insieme di misure giuridiche, tecniche ed organizzative per la protezione e il trattamento dei dati personali: deve cioè dimostrare in modo proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.
Il cambiamento di approccio è evidente rispetto alla vecchia normativa Privacy: si passa da una concezione prettamente formale di mero adempimento ad un approccio sostanziale di trattamento dei dati sensibili, tutela dei dati e delle persone stesse ed è pertanto strettamente connesso con le misure di sicurezza e con l’analisi del rischio, con la valutazione di impatto privacy e con i principi privacy by design e privacy by default che devono essere presenti nella progettazione di servizi e programmi.
A questo punto una valutazione dei rischi, l’identificazione dei soggetti che parteciperanno, l’analisi del flusso di informazioni che l’azienda tratta, l’identificazione dei rischi e delle possibili soluzioni e la verifica della compatibilità con il regolamento sono essenziali anche per evitare le sanzioni che possono arrivano al 4% del fatturato globale annuo.
Cosa si deve fare per mettersi in regola?
Prima di apportare modifiche alle procedure interne, è bene averle chiare nel loro complesso.
Il primo passo dev’essere quindi un’analisi delle pratiche in uso in azienda, così da sapere esattamente dove e come intervenire per garantire la conformità delle stesse.
Sulla base delle specificità di ogni singola azienda si possono comunque identificare una serie di attività che è necessario prevedere:
Ancora molte imprese ed enti pubblici sono impreparati ad accogliere le novità introdotte dal nuovo Regolamento europeo sulla Protezione dei Dati Personali.
la mappatura del flusso dei dati e la necessità/opportunità di predisporre il Registro dei trattamenti
la definizione e la formalizzazione della struttura organizzativa della data protection (ruoli e responsabilità);
la formazione dei soggetti chiamati a ricoprire un ruolo attivo nell’ambito aziendale senza dimenticare le attività di sensibilizzazione della popolazione aziendale indirettamente coinvolta nella protezione dei dati personali;
la definizione, formalizzazione e implementazione di processi e regole connessi alla protezione dei dati personali, (es. gestione dei diritti degli interessati, gestione misure di sicurezza tecnico-organizzative);
la stesura ex novo della documentazione o modifica della documentazione esistente (es. informative, moduli di consenso, clausole contrattuali);
la definizione e implementazione di un sistema di controlli interni per la protezione dei dati personali compresa la realizzazione di verifiche interne volte a evidenziare eventuali non conformità.
Cosa succede se non si adempie?
Per rispondere a questa domanda basta ricordare che le sanzioni sono state decisamente inasprite e possono arrivare fino al 4% del fatturato o a 20 milioni di euro!
Ma al di là della minaccia di sanzioni così alte il mancato adempimento può essere un disastro anche in termini di immagine dell’azienda da parte dei clienti/consumatori.
Non solo: anche i tempi massimi per la notifica di un data breach sono ora indicati con precisione, pertanto è bene dimenticarsi della possibilità di procedere con l’adeguamento al GDPR e con gli adempimenti privacy per poi lasciarli nel dimenticatoio: non si tratta di fare uno sforzo una tantum, qui si fa sul serio e tutti i dipartimenti coinvolti nella raccolta e nella gestione dei dati devono essere proattivi.