GDPR

Il GDPR spiegato semplice

Il GDPR, acronimo di General Data Protection Regulation è il nuovo regolamento generale europeo sulla protezione dei dati (Regolamento UE 2016/679) che si prefigge l’obiettivo di tutelare in modo più stringente rispetto al passato la privacy dei cittadini europei e di chi risiede nel territorio europeo.

Il regolamento è già entrato in vigore nel 2016, ma sarà efficace a partire dal 25 maggio 2018, data in cui si presume che tutti i destinatari del provvedimento (ossia: Enti Pubblici, Imprese, professionisti, ecc.) si saranno adeguati alla normativa. Ma sappiamo bene che non è così e che a meno di un mese dall’inizio dell’applicazione del regolamento sono tante le persone che non ne conoscono l’esistenza o che ancora non si sono adeguate.

Quest’articolo nasce quindi dall’esigenza di spiegare in modo semplice le pratiche necessarie per adeguarsi al GDPR ed è rivolto soprattutto a micro imprese, artigiani e liberi professionisti che rappresentano la maggior parte del tessuto produttivo nazionale. Non toccherò argomenti che riguardano le PMI e le multinazionali, per cui il GDPR impone misure più stringenti, né mi rivolgerò a quelle imprese o start-up ad alto contenuto tecnologico che gestiscono numerosi dati personali degli utenti in modo da profilarli e rivenderli. L’obiettivo è quello di rivolgermi a tutti coloro che si trovano a trattare dati personali ma non ne fanno un business, ossia alla gran parte delle attività economiche italiane.

I principi del GDPR

Iniziamo col dire che i tre pilastri su cui si fonda il GDPR sono: il principio di accountability, un approccio ai dati by design e by default (tra poco ci torneremo) e una gestione preventiva in riferimento alla valutazione dei rischio e alla valutazione d’impatto sulla raccolta dei dati.

Altri principi del GDPR

Gli altri pilastri su cui si fonda il nuovo regolamento sono: Principio di liceità e correttezza del trattamento nei confronti dell’interessato (i dati devono essere corretti e ci dev’essere un consenso informato); Principio di trasparenza (i dati devono essere facilmente accessibili da parte del titolare e le comunicazioni devono essere chiare e comprensibili da parte di chi gestisce i dati); Principio di limitazione e di minimizzazione dell’uso dei dati (ossia occorre richiedere solo i dati strettamente necessari a fornire il servizio a cui l’utente è interessato); Principio di esattezza (i dati devono essere esatti e aggiornati qualora non lo fossero); Principio della limitazione temporale (i dati possono essere conservati per il tempo necessario a raggiungere le finalità perseguite da chi li tratta); Principio di integrità e riservatezza (i dati devono essere al sicuro e protetti da trattamenti non autorizzati oppure da eventuali danni).

A chi si rivolge?

A tutti coloro che trattano i dati personali di fornitori, clienti, utenti, dipendenti, ecc. e che operano sul territorio europeo oppure al di fuori dell’Europa ma trattano i dati di cittadini e residenti nel territorio europeo. In altre parole, che tu abbia sede al di fuori dell’UE non importa, l’ambito di applicabilità del regolamento si estende a tutti coloro che hanno a che fare, direttamente o indirettamente, con i dati di qualunque persona si trovi a risiedere sul territorio europeo.

Soggetti esclusi

Gli unici soggetti che non sono destinatari del provvedimento sono le persone fisiche che trattano i dati per finalità esclusivamente personali o domestiche nonché i Tribunali penali (e le procure) per finalità giudiziarie relative al perseguimento di reati.

Il principio di accountability

Questo è il principio cardine del GDPR. Si traduce con responsabilizzazione e significa che il titolare del trattamento dei dati (che spesso coincide con il titolare dell’Azienda) ha l’obbligo di dimostrare in modo documentale l’adeguamento alle prescrizioni del Regolamento mediante l’adozione di misure tecniche (per la sicurezza dei dati) e organizzative (politiche e procedure interne, formazione del personale, verifiche periodiche, ecc.) adeguate. In altre parole si può intendere come una sorta di inversione dell’onere della prova, per cui, a differenza del passato, spetta al titolare del trattamento dimostrare di aver messo in campo tutte le misure tecniche e organizzative necessarie per conformare l’utilizzo dei dati al nuovo regolamento. La normativa, detta in altri termini, dà per scontato che in caso di perdita o furto dei dati il responsabile è solo il titolare del trattamento e a lui toccano sanzioni molto pesanti (ci torniamo tra poco).

Tuttavia il regolamento non dà indicazioni precise su quali siano le misure pratiche da adottare, ma lascia intendere che si dovrà valutare caso per caso, in base alla tipologia di organizzazione, alla natura e alle finalità dei dati raccolti.

Privacy by design e Privacy by default

Sono due principi che, di fatto, applicano il principio di accountability. Nonostante l’anglofonia ostica, vogliono dire semplicemente che bisogna adottare tutte le misure di protezione dei dati sin dalla fase di progettazione del trattamento e che i dati vanno utilizzati, per impostazione predefinita, al solo fine per cui sono stati raccolti. Così non è chiaro? Facciamo un esempio chiarificatore in relazione ai due principi.

Privacy by design

Se tu hai intenzione di aprire un e-commerce, prima di farlo dovrai stilare un documento in cui raccoglierai tutte le tipologie di dati personali che intendi raccogliere (es. nome, cognome, indirizzo, numero di telefono, email, ecc.) e indicare in che modo intendi raccogliere e proteggere questi dati (es. dicendo che li terrai su un server sicuro oppure li passerai sul tuo gestionale e, in tal caso, dovrai dire chi accede a questi dati, come sono conservati e quali protezioni stai usando in caso di un eventuale attacco hacker).

Privacy by default

In questo caso dovrai creare un documento in cui dici che i dati che raccogli sono finalizzati solo per uno o più scopi per cui tu hai dato l’informativa all’utente. Ad esempio, se l’utente ti contatta attraverso il form di contatto del tuo sito, dovrai scrivere che, di default, i dati che raccogli serviranno solo a ricontattare il cliente e a proporgli i tuoi prodotti/servizi, mentre non userai quei dati per mandargli newsletter, sempre se non ha espresso un esplicito consenso a questo tipo di trattamento. Parimenti non userai i suoi dati per vendergli pubblicità di terze parti, sempre se non lo hai reso edotto nell’informativa. Insomma, dovrai standardizzare il processo e usare quei dati solo per le finalità che ti sei prefissato e per cui hai scritto un’informativa chiara.

La valutazione del rischio

Questa è un’altra operazione che dovrai fare per rispondere al principio di accountability. In caso di un ipotetico data breach (rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità) come fai a recuperare i dati o a contattare gli utenti per dire loro che i dati sono andati persi o sono stati rubati? Quest’evento – anche se ipotetico e molto remoto – dovrebbe essere preventivato e scritto su carta. In altre parole devi indicare tutte le misure e le garanzie previste per una adeguata protezione dei dati personali trattati. Come farlo? Anche se sembra complicato è semplice. Rifletti: Qual è la natura dei dati che potrebbero essere violati? Quanto gravi potrebbero essere i danni  causati agli individui a cui i dati violati si riferivano? Se effettui una copia di backup almeno una volta al mese, se hai adottato protocolli di sicurezza (https) sul tuo sito web, se ai dati che hai sul gestionale non accede nessuno tranne te, allora sei apposto. Devi solo riportare su carta quello che già fai e valutare l’impatto di un eventuale (remoto) attacco nei tuoi confronti o di un’eventuale perdita di dati a seguito di un evento insolito. In altre parole devi solo valutare un ipotetico rischio e scrivere quali possono essere le cause e quali le conseguenze.

Se poi il data breach accade davvero, la norma impone che occorre comunicare la violazione all’autorità di controllo (il Garante della privacy) entro 72 ore dal momento in cui ne sei venuto a conoscenza.

Come adeguarsi in sintesi

L’adeguamento al GDPR ti porterà via si e no mezza giornata di lavoro. Quello che dovrai fare è semplice: fermati a pensare ai dati personali che tratti: clienti, fornitori, utenti del sito web, dipendenti. Poi pensa alla natura dei dati: nome e cognome? Indirizzo? Numero di telefono? Fai una lista della tipologia di dati che tratti e metti tutto per iscritto su un foglio excel (lo chiamano registro del trattamento, obbligatorio per aziende con più di 250 dipendenti, ma comodo per te da usare in quanto è un buon promemoria per adeguarti alla normativa). Poi su un foglio word scrivi come utilizzi quei dati. Devi solo scrivere che, per esempio, i dati degli utenti che ti contattano per ricevere un preventivo saranno usati al solo scopo di inviare il preventivo. Nulla di più e nulla di meno. Dirai, nel documento, che di default (cioè in modo predefinito) tutti i dati di quelli che ti contattano per avere un preventivo saranno usati al solo scopo di inviare il preventivo. Se hai più mezzi per ottenere dei dati, lo metterai su carta. Scriverai, per esempio, che i dati degli utenti ti arriveranno da:

  • form di contatto
  • ordine sul sito web
  • ordine telefonico
  • ordine da email
  • altri sistemi

Fatto ciò dovrai scrivere sullo stesso foglio word in cui dirai ogni quante volte effettui un backup dei dati, dove li salvi e chi può accedere a quei dati. Poi dirai i sistemi che usi per conservarli. Ad esempio scriverai che salvi i tuoi dati su un hard disk esterno e che lo conservi gelosamente nel cassetto della tua scrivania a cui tu solo puoi accedere. Poi scriverai che in caso di potenziale attacco hacker o potenziale danneggiamento sul tuo sito web il rischio di perdita dei dati è minimo perché, in fondo, gestisci solo dati non sensibili, ma generici (cosa se ne fa un hacker di un indirizzo di consegna?). Ad ogni modo dovrai scrivere come prevedi di risolvere la faccenda in caso di perdita o furto dei dati degli utenti con cui interagisci.

Infine, se sul tuo sito web hai diversi mezzi di ottenere i dati (ad esempio un form di contatto e un carrello con cui accetti gli ordini) dovrai rilasciare un’informativa specifica per ogni sistema di acquisizione dei dati e scrivere quali sono le finalità dell’acquisizione e come tratterai i dati. Tra l’altro, per ogni informativa dovrai rendere edotto l’utente che è suo diritto accedere ai dati, rettificarli, cancellarli, ecc.

Se sponsorizzo la mia azienda su Google Adwords o su Facebook ads che succede?

Il GDPR ha espressamente impostato un bilanciamento d’interessi tra il diritto degli utenti e l’interesse dell’Azienda a fare marketing diretto. In altre parole possono essere trattati i dati di utenti in caso di pubblicità sui social o su google, salvo obbligare il titolare del trattamento alla minimizzazione dei dati, per cui si dovranno usare quanti meno dati possibile per la finalità del trattamento. Insomma, il nuovo regolamento mette l’utente nelle condizioni di compiere un consapevole esercizio dei poteri di controllo sui propri dati, garantendogli il diritto all’informazione, all’accesso, alla rettifica, alla cancellazione, alla limitazione del trattamento e il diritto di opposizione dei dati che lo riguardano.

Sanzioni

Le sanzioni sono pesanti. Il regolamento dice: fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo se superiore. In caso di violazione degli obblighi del titolare o del responsabile del trattamento fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo se superiore (e non il 2% o 4% del tuo fatturato, come qualcuno sostiene…). Sembrano cifre assurde, ma è capitato in passato di assistere a sanzioni comminate a piccole aziende per importi di 10.000,00 euro solo perché non avevano rilasciato un’informativa sull’uso dei cookie. Quindi non è detto che si arrivi a cifre così elevate, ma anche 1.000,00 euro di multa sono pesanti se rivolte a micro imprese.

Io non tratto dati personali

Ne sei sicuro? Il regolamento si rivolge a tutti coloro che, anche incidentalmente, trattano i dati delle persone. Quindi, per esempio, se hai un locale di generi alimentari con un impianto di videosorveglianza, dovrai adeguarti al regolamento seguendo le prescrizioni imposte a tutti gli operatori a cui è rivolto. Lo stesso vale per i dati di eventuali dipendenti o dei fornitori. Quindi il GDPR non si rivolge solo a realtà che operano su internet, ma a tutti coloro che, direttamente o indirettamente, hanno a che fare con i dati delle persone, inclusi quelli biometrici. In buona sostanza, se hai installato un impianto di videosorveglianza nel tuo negozio, dovrai adeguarti al nuovo regolamento, valutare i dati che raccogli e rilasciare un’informativa adeguata.

GDPR e Codice della Privacy

Come dice il proverbio? Fatta la legge, trovato l’inganno. Il nostro codice della Privacy (D.Lgs. 196/2003) sarà abrogato, perché i regolamenti dell’UE sono, per loro natura, direttamente applicabili presso gli Stati membri. Però tra le fonti normative sono, di fatto, sullo stesso piano delle leggi ordinarie dello Stato italiano. Quindi che succede? Succede che al momento il GDPR non sarà ancora applicato in quanto è necessario che il Parlamento crei una legge di raccordo tra la vecchia e la nuova normativa, soprattutto nelle parti in cui confliggono. Quindi, di fatto, finché non ci sarà un provvedimento normativo ad hoc il GDPR non dispiegherà tutti i suoi effetti e, paradossalmente, sarà ancora in vigore il D.Lgs. 196/2003. Difatti il 21 marzo 2018 il Consiglio dei Ministri ha approvato un decreto legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento, ma ancora non è stato ultimato l’iter di approvazione nelle commissioni parlamentari e in aula. Comunque è sempre bene arrivare preparati all’appuntamento e non c’è niente per cui preoccuparsi. Il GDPR, per le micro imprese e per i professionisti, sarà un’occasione per riflettere sui dati che raccogliamo e su come li trattiamo. Il resto sarà solo vuota burocrazia finalizzata ad accontentare una normativa che per i piccoli imprenditori è solo una lieve perdita di tempo.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.