Malgrado il nuovo regolamento in materia di privacy e protezione dei dati personali, il cosiddetto GDPR, sia datato 25 maggio 2018, non sono pochi i professionisti e le imprese che sono in ritardo o non hanno ottemperato a tale adeguamento. La causa può essere ricercata nel clima di confusione creat (sopratttuo inizialmente), le incertezze, in alcuni casi anche la scarsa applicabilità di tale provvedimento, vediamo allora di fare chiarezza.
Cos’è il GDPR
Il 25 maggio 2018 in tutti gli Stati facenti parte dell’Unione Europea entra in vigore il Regolamento Generale sulla Protezione dei Dati, ossia il GDPR (General Data Protection Regulation). Tale provvedimento tende a regolamentare la libera circolazione e il trattamento dei dati personali con interventi di cui i cittadini sempre più ne avvertivano la necessità.
Il trasferimento di dati sensibili dall’Unione Europea verso altre zone del mondo, lo sviluppo tecnologico, la crescita economica, i limiti per i trattamenti automatizzati dei dati personali, le norme in caso di violazione, tutti ambiti in cui si doveva intervenire con indicazioni univoche e precise. E in effetti si è intervenuto, ma con decisioni poco chiare che non hanno certo aiutato professionisti e imprese ad adeguarsi al GDPR in modo semplice e immediato.
Il regolamento prevede che i dati sensibili vadano trattati in modo trasparente e corretto, dando un’informazione facilmente comprensibile ed esplicita ai diretti interessati. Una novità che ha introdotto il GDPR è l’obbligo per le imprese di conservare i dati sensibili su un cloud in Europa, senza perciò poterli affidare a soggetti esterni all’Unione Europea.
Il consenso può essere raccolto solo da persone che abbiano compiuto 16 anni e alle stesse deve essere fornita l’informazione sulla durata del periodo di conservazione dei propri dati. Anche per quanto riguarda i processi automatizzati, questi devono sempre avere il consenso esplicito per un trattamento di tale tipo.
Quali sono gli obblighi per aziende e professionisti
Il primo tassello che ha incrinato la struttura dell’intero regolamento è che si è data ampia facoltà ai singoli Stati di intervenire in modo autonomo per precisare le norme che fanno parte del GDPR. In questo modo viene meno l’intento iniziale e facilmente si creano situazioni di contrasto tra le indicazioni dell’Unione Europea e l’interpretazione che ogni Paese ne ha dato.
Non si può quindi affrontare un discorso generale, che vale per tutti. Ma in questo ambito ci limitiamo al decreto legislativo che ha interessato l’Italia. Prima di tutto il regolamento introduce alcuni principi importanti: la portabilità dei propri dati e il concetto di accountability (tradotto in italiano con responsabilizzazione).
Per quanto riguarda la portabilità, viene concesso al cittadino il diritto di trasferire i propri dati da un titolare a un altro del trattamento, eccezion fatta per le informazioni contenute all’interno di un archivio pubblico, come può essere quello dell’anagrafe.
La responsabilizzazione è un principio che riguarda invece i titolari del trattamento dei dati e sottintende una maggiore considerazione dei pericoli e dei rischi che un determinato uso dei dati in possesso può causare alla libertà e ai diritti del diretto interessato. Per approfondire il concetto si rimanda all’articolo Cosa significa accountability di PrivacyLab che spiega con numerosi esempi questo importante principio del GPDR.
Al GDPR chi deve adeguarsi? In modi diversi e a seconda del tipo di impresa sono molti i soggetti coinvolti che devono verificare di essere conformi al nuovo regolamento, in base all’attività svolta e all’uso dei dati personali che si fa. Ogni impresa o professionista è un caso a sé, poiché alcune direttive sono obbligatorie mentre altre soltanto consigliate per quelle attività che hanno un numero di dipendenti che non supera le 250 unità.
Ogni singolo professionista, ogni negozio, ogni studio professionale, sito internet o portale dedicato all’e-commerce, in sintesi ogni attività che preveda il trattamento di dati sensibili deve essere in linea con tali indicazioni:
- predisporre la nomina di un responsabile che si occupi della protezione dei dati sensibili. Questa figura, chiamata Data Protection Officer (DPO), ha una formazione specifica della materia e si assume il compito di fare il modo che il titolare dei dati si adegui al regolamento, in prima istanza chiedendo il consenso per l’utilizzo dei dati stessi ai diretti interessati
- i dati sensibili in proprio possesso devono essere protetti, attraverso sistemi di crittografia, impedendone la diffusione a soggetti privi di autorizzazione. Inoltre è necessario verificare che le misure adottate rispettino le procedure e siano efficaci
- qualora si verifichino degli incidenti nell’accesso ai dati, ripristinarne la disponibilità in modo tempestivo e se al tempo stesso si verificassero fughe di informazioni o si fosse sotto attacco informatico da parte di soggetti esterni, occorre darne comunicazione al garante della privacy
- obbligatorio soltanto per le imprese con più di 250 dipendenti o per quelle che compiono trattamenti dei dati considerati rischiosi, compilazione di un registro delle attività contenente tutti i dettagli relativi alla policy aziendale e alle procedure messe in campo
La figura del DPO
Il data protection officer deve essere obbligatoriamente nominato in tutte le amministrazioni pubbliche e nelle imprese che trattano dati sensibili, in particolar modo su larga scala. A seconda di cosa si occupa l’azienda e dell’attività che svolge, la sua nomina si decide caso per caso.
È una persona esterna all’azienda, non un suo dipendente, anche se invece tale prassi sembra essere un comportamento comune tra le imprese, questo per garantirgli autonomia ed evitargli possibili conflitti di interesse. Deve conoscere in modo approfondito il GDPR e avere una certa esperienza in materia di privacy.
Il suo compito è quello di vigilare, fornendo informazione e consulenza, sul trattamento dei dati e formare e sensibilizzare i dipendenti e il proprietario stesso al rispetto di quanto indicato dal regolamento, in piena collaborazione con il garante della privacy.
Strumenti per adeguarsi al GDPR
Alla luce di tutti questi cambiamenti è un passo necessario, oltre che obbligatorio, adeguarsi al GDPR. Lo si fa affidandosi a partner abilitati che garantiscono un risultato immediato e certificato. Esistono fornitori di spazi cloud all’interno dei quali si conservano e archiviano dati nel rispetto di tale regolamento.
Società che hanno creato soluzioni ad hoc per ogni esigenza e che conseguentemente semplificano l’iter delle aziende, di qualsiasi dimensione si tratti, nel percorso che porta alla conformità con il GDPR.
Sul mercato sono naturalmente molti i fornitori di tali servizi che si danno battaglia per conquistare clienti. La scelta non deve limitarsi a valutazioni di tipo esclusivamente economico, ma soffermarsi anche sul rating che viene loro attribuito dal modello standard ANSI/TIA 942 A. Secondo questa classificazione le strutture con un punteggio più alto sono quelle che garantiscono la continuità del servizio fornito ai livelli massimi possibili, senza il rischio di incappare in interruzioni che possono mettere in pericolo la sicurezza dei dati.
Tale sicurezza è divenuta perciò un vero e proprio obbligo dettato dalle norme, alle quali è necessario adeguarsi per non incorrere in pesanti sanzioni. Si può infatti definire concluso il periodo di transizione che concedeva alle imprese una certa flessibilità temporale che prevedeva la sospensione delle sanzioni.
Al momento attuale le disposizioni vengono prese dal garante, che a sua discrezione decide se essere flessibile o applicare la sanzione. A tal proposito, a conferma di quanto questo regolamento sia altamente tenuto in considerazione e venga data la giusta importanza alla raccolta, alla conservazione e alla protezione dei dati personali, le sanzioni previste per la violazione degli obblighi dettati dal GDPR sono davvero molto alte.
Le figure che svolgono i controlli di ottemperanza al provvedimento sono rappresentate dal garante della privacy e dal nucleo della privacy che la guardia di finanza ha destinato specificatamente a tale compito.
Le sanzioni vanno da un minimo del 2% fino a un massimo del 4% del fatturato di un’azienda o in alternativa di un corrispettivo che va da un minimo di 10 milioni di euro fino a un massimo di 20.
Se si considera che le imprese che hanno comunicato alle autorità competenti le generalità e i riferimenti del data protection officer sono circa 40.000, significa che, da un lato, si è capita la responsabilità di cui si è portatori nei confronti dei diretti interessati, ma dall’altro che il numero è ancora esiguo, e che la strada è ancora lunga, rispetto all’ampia platea degli possibili interessati.