Regolamento privacy, tutto quello che c’è da sapere per mettersi in regola senza stress

Posted By Antonio Alivesi on Mar 26, 2018 | 0 comments


E’ entrato in vigore il 25 maggio 2016 il Regolamento Europeo relativo al trattamento dei dati personali e alla loro libera circolazione. L’applicazione è stata fissata al 25 maggio 2018, quindi tutte le imprese avranno tempo fino al 24 maggio per adeguarsi alla nuova legge sulla privacy.

Ma di cosa si tratta? Ad entrare nel merito del Gdpr, General Data Protection Regulation, è Diego Fulco, direttore dell’Istituto Italiano Privacy, esperto di diritto delle tecnologie e della comunicazione, di diritto farmaceutico e di diritto assicurativo e responsabilità amministrativa di impresa. L’avvocato si concentra su alcuni consigli mirati che gli imprenditori devono seguire per non farsi trovare impreparati di fronte al regolamento:

  • Innanzituttonessuno può dire “questo regolamento non mi riguarda”. Chi sceglie di non adeguarsi volutamente al regolamento lo fa a suo rischio e pericolo. Seguire la normativa è obbligatorio, anche se non tutti gli imprenditori lo dovranno fare nello stesso modo
  • Non tutti i settori ne sono interessati allo stesso mo La nuova legge sulla privacy si concentra, infatti, sulle imprese che operano in ambiti ad alto impatto privacy. Pubbliche amministrazioni, provider internet, e-mail marketing, strutture sanitarie e laboratori di analisi (dove vengono trattati dati biometrici e vengono compilati dossier sanitari), piattaforme digitali, elaborazione e utilizzo di App, fornitrici nellaambito digitale e profilazione di dati, sorveglianza e geolocalizzazione. Insomma, tutti coloro che utilizzano e gestiscono dati sensibili o comunque più critici.
  • Le grosse aziende, dai 250 dipendenti in su, dovranno tenere un registro dei trattamenti e una mappa delle attività. Lo stesso varrà per strutture sanitarie (anche piccole). Per le micro e piccole imprese, invece, basterà individuare – e responsabilizzare – una figura interna che seguirà la procedura e terrà sotto controllo ciò che chiede la nuova normativa. In questo caso si tratta più di un adeguamento culturale.
  • Alcune aziende, indipendentemente dalla loro consistenza organizzativa, in ragione di quello che fanno, dovranno nominare un Dpo(Data Protection Officer), che potrà essere un interno o un esterno. Ad es. le strutture sanitarie (anche piccole), trattando dati sulla salute, dovranno dotarsi di un Dpo. Oppure le aziende che fanno profilazione dei clienti consumatori.
  • La normativa incide soprattutto sull’organizzazione interna dell’impresa, perchéla costringe a dotarsi di un sistema di deleghe, procedure e controlli che le permetta di proteggere al meglio i dati personali.
  • Quello che cambia sicuramente per tutte le realtà imprenditoriali èl’attenzione al rischio della valutazione dei dati. Ciò significa che qualunque azienda che subisca una perdita o un furto di dati (si può essere in presenza di un incidente o di un’azione fraudolenta) dovrà attivare una procedura di notifica dell’accaduto all’Autorità Garante entro 72 ore. E’ il cosiddetto “data breach”, che si impone ogni volta che si è in presenza di violazioni dei dati personali che possono compromettere le libertà e i diritti dei soggetti interessati.

Insomma, con questo nuovo Regolamento Europeo non tutto cambia rispetto a quanto già definito in passato, però l’attenzione dovrà essere particolare e “mettersi nei panni di una Pmi” significa definire per ogni singolo caso una guida il più possibile esaustiva. Perché se da un lato la normativa è “chiavi in mano” (quindi particolarmente dettagliata), dall’altro non lo è e lascia spazi tutti da valutare.

Il dato è la persona: i consigli della Gdf per prepararsi a difenderlo

Una ricerca realizzata da LinkedIn e divulgata da “Forbes”, lo dice chiaramente: la seconda professione del futuro sarà quella del data scientist. Chi, comprese le aziende, saprà elaborare e leggere i dati raccolti ovunque da cellulari, social media e web avrà tra le sue mani una grossa responsabilità perché avrà anche un grande potere. A tal punto che in cinque anni, questo settore è cresciuto del 650%. Una ragione, più che valida, per guardare da vicino il Regolamento Europeo relativo al trattamento dei dati personali e alla loro libera circolazione e capire come, e in che modo, applicarlo. Per farlo, le imprese avranno tempo fino al 24 maggio.

IL NUCLEO SPECIALE PRIVACY E IL DIPARTIMENTO ISPETTIVO
Ci dicono dalla Guardia di Finanza, all’interno della quale opera il Nucleo Speciale Privacy, che «le imprese devono essere più che responsabili perché utilizzano dati che gli sono stati affidati direttamente dai clienti, dai fornitori ma anche dagli stessi loro dipendenti. E l’accountability, la responsabilità prevista dal Nuovo Regolamento (Gdpr – General Data Protection Regulation), comprende anche la definizione del “rendere conto a qualcuno”. Cioè rispondere del trattamento di quei dati agli interessati e all’Autorità Garante. Questa, attraverso la Guardia di Finanza, farà le debite ispezioni in azienda perché soprattutto oggi, in un’epoca nella quale in rete si muove tutto ad una velocità sorprendente, il dato è la persona. Perché quest’ultima, in rete ha una sua identità».

I dati girano e sono da considerarsi un bene individuale che va protetto. E’ per questo che il Garante della Privacy ha un suo dipartimento ispettivo con il quale, attraverso un protocollo d’intesa, collabora la Guardia di Finanza. Al trattamento non corretto dei dati si arriva, però, anche attraverso le segnalazioni dirette da parte degli utenti e con controlli su determinati strumenti: car sharing, fidelity card, campagne pubblicitarie, web reputation, selezione del personale e fidelizzazione dei clienti sul web e le pagine sponsorizzate sui social. Poi c’è il mondo delle App, che sono incredibilmente invasive.

VALUTARE, CLASSIFICARE, RISPETTARE LE REGOLE
Il Nuovo Regolamento è fatto di prescrizioni e impone, a tutte le imprese, l’obbligo di fare alcune valutazioni. Dalla Guardia di Finanza fanno sapere, ancora, che da parte di chi tratta dati è «fondamentale classificarli ma anche stabilire quali dati si useranno, quanti ne servono e capire se sono troppi o se sono sufficienti per il proprio lavoro». Il web è la prima porta di accesso alle ispezioni, perché da lì si capisce se un’azienda si comporta in modo responsabile oppure no. Se rispetta un minimo di regole, se la sua informativa sulla privacy è chiara e se i cookie sono trasparenti. Una scarsa accountability è un indice significativo di scarsa attenzione. E’ per questo che il primo obbligo al quale sono chiamati gli imprenditori è quello di valutare il rischio e l’impatto della raccolta e dell’utilizzo dei dati per evitare i data breach.

IL DATA BREACH
La perdita dei dati personali (data breach) può avvenire per diverse cause. Ed è per questo che le misure di protezione da parte delle imprese non devono interessare solo l’accesso dall’esterno dovuto a malintenzionati ma anche la perdita del dato dovuto, per esempio, ad un incendio o ad una interruzione della corrente elettrica. L’azienda deve adottare tutte le misure adeguate ad evitare la perdita del dato in qualunque modo essa sia avvenuta: questo è il fatto.

L’ANALISI
Il volume d’affari, e la dimensione d’azienda, non hanno alcuna importanza. Quello che conta sono i dati: «Se ho tre dipendenti ma mi dedico all’e-commerce, se il mio sito è visitato da migliaia di clienti, se faccio intermediazione, se mi appoggio a server di grandi dimensioni devo valutare cosa fare e come farlo per proteggere i dati personali da qualsiasi intrusione così come detto prima», proseguono le Fiamme Gialle.

LE SANZIONI
La sanzione dovrà essere «effettiva, proporzionata e dissuasiva e può arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale nei casi più gravi», chiude la Guardia di Finanza. Quindi si deve fare particolare attenzione nell’adozione di tutte le misure organizzative, di processo e tecnologiche necessarie per proteggere i dati. Perché scatti la sanzione, non è necessario ci sia per forza il dolo; la colpa è più che sufficiente.

Submit a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *