GDPR - Regolamento generale sulla protezione dei dati

G.D.P.R.

Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679)

General Data Protection Regulation


Il trattamento dei dati personali è un fenomeno di estrema attualità nella società moderna e non vi è ormai impresa in grado di coltivare il proprio successo omettendo l’utilizzo delle nostre informazioni.

Ma se è vero che l’economia digitale attinge ormai a piene mani dai nostri dati, deve esserci assicurato che le potenzialità economiche conseguenti all’utilizzo degli stessi siano proporzionali alla liceità del loro trattamento.

Da qui è sorta l’esigenza di un Regolamento Europeo in tema di privacy che vada a sostituire/modificare la precedente normativa (D. Lgs. n. 196/2003), normativa non più in grado di reggere il peso dei macroscopici cambiamenti in materia occorsi negli ultimi decenni (basti pensare che la nascita di un incredibile acceleratore di informazioni, meglio noto come Facebook, risale all’anno 2004 ed è dunque successivo alle norme attualmente in vigore).

Sebbene la nuova normativa si presti ad essere interpretata da molti come l’ennesimo obbligo burocratico idoneo a rallentare l’attività di impresa o a gravarla di ulteriori costi, gli obiettivi in realtà sono ben altri. Da una parte vi è infatti l’intento di accrescere la fiducia dei consociati attraverso una più marcata tutela del trattamento dei propri dati; dall’altra vi è quello di favorire una maggior confidenza nell’economia digitale ed incentivare il vantaggio competitivo tra aziende creando un mercato digitale europeo uniforme.

Che cos’è il G.D.P.R. e quando è entrato definitivamente in vigore?

Il Regolamento Generale sulla Protezione dei Dati è una normativa che ha sostituito ed integrato il codice della Privacy 196/2003. Effetti dello stesso sono quelli di definire un nuovo standard di protezione dei dati personali, intesi come qualunque informazione, di natura privata, professionale o pubblica, relativa ad un individuo.

La sua entrata in vigore è stata il 25.05.2018 ed è stato armonizzato in Italia con il D.Lgs 101/2018.

Il G.D.P.R. si applica alla Tua attività?

Se raccogli dati dai tuoi clienti, scambi informazioni con i tuoi fornitori o semplicemente tratti i dati personali dei tuoi dipendenti (ad es. buste paga, curriculum vitae ecc.), la risposta al quesito è positiva e hai la necessità di approfondire il tema in argomento.

Cosa impone di fare il G.D.P.R.?

Il nuovo Regolamento detta alle persone giuridiche le linee guida finalizzate a garantire la tutela e trasparenza dei dati personali, sin dalle fasi della loro raccolta (c.d. “privacy by design”) all’eventuale trattamento ed anche successivamente allo stesso.

Non fornisce però indicazioni precise in merito alle misure pratiche da adottare con la conseguenza che l’approccio deve essere valutato caso per caso tenendo in considerazioni vari fattori quali la natura, l’ambito di applicazione, il contesto e la finalità del trattamento.

A tal proposito ciascuna impresa deve:

  • garantire ai titolari dei dati un pieno controllo degli stessi attraverso l’informazione, l’accesso, la rettifica, la portabilità, la cancellazione degli stessi (c.d. oblio), la limitazione del trattamento e il diritto di opposizione allo stesso;
  • garantire agli interessati la tracciabilità degli scambi dei propri dati con soggetti terzi;
  • nominare, laddove il trattamento venga effettuato su larga scala e/o abbia ad oggetto dati sensibili (es. giudiziari, sanitari, afferenti all’origine razziale, etnica di un individuo ecc.), un Responsabile della Protezione dei Dati (Data Protection Officer);
  • formare il proprio personale attraverso corsi, processi, procedure, policy e tecnologie di sicurezza;
  • segnalare tempestivamente all’Autorità Garante del Trattamento dei Dati eventuali violazioni (c.d. Data Breach);
  • eseguire una “valutazione d’impatto sulla protezione dei dati” allorquando un tipo di trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. 

Esistono sanzioni per il mancato rispetto delle norme fissate dal Regolamento?

Le sanzioni esistono e sono decisamente aspre. L’articolo 83 del Regolamento prevede infatti che il trasgressore possa pagare sanzioni sino a € 20.000.000,00 per determinate infrazioni o, per le imprese, somme pari al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

Cosa devo fare per adeguare la mia impresa al Regolamento?

Come osservato poc’anzi le misure pratiche da adottare variano molto a seconda delle dimensioni dell’impresa, del tipo di dati trattati, del settore merceologico d’interesse e dal livello di rischio connesso all’impresa stessa.

Per essere “compliance” è dunque fondamentale eseguire un’accurata indagine della singola realtà aziendale che non può prescindere dai seguenti step.

In primo luogo occorre verificare la modalità di acquisizione, trattamento ed archiviazione dei dati personali e redigere conseguentemente un elaborato di sintesi in grado di evidenziare eventuali lacune operative e/o documentali, le procedure aziendali non conformi alle disposizioni del G.D.P.R.,

In seconda battuta occorre intervenire operativamente rielaborando i processi amministrativi/produttivi non conformi al dettato europeo anche attraverso nuova redazione di documenti, contratti, informative ed ogni altro documento.

In ultima istanza è necessario impartire una formazione specifica al Titolare/i, al Responsabile/i e all’incaricato/i del trattamento dei dati mediante.

Conformarsi al nuovo Regolamento è attività senz’altro complicata. E’ quindi consigliabile rivolgersi a validi consulenti ed esperti del settore in grado di indicare i passaggi necessari all’adeguamento della normativa in tempi ragionevoli e soprattutto senza stravolgere la propria missione aziendale, ossia quella di generare profitto.

 

 

GDPR

Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679)

General Data Protection Regulation


Cos’è necessario fare per adeguarsi al GDPR?

Tutti parlano del c.d. GDPR (General Data Protection Regulation), ma le aziende hanno difficoltà a decifrare quanto prescritto dal regolamento e conseguentemente è difficile programmare le giuste attività indispensabili al fine di conformare la propria realtà al nuovo testo normativo.

Il GDPR si applica alla tua attività?

Tutte le aziende gestiscono dati di clienti, fornitori, dipendenti, collaboratori esterni, consulenti, etc., rendendosi così soggette alle normative dettate fin’ora in Italia dall’Autorità Garante Privacy per la protezione dei dati personali (Italian Data Protection Authority) sulla scia del DPA (Data Protection Act).

Chi è a conoscenza dei principi DPA e li rispetta, ha già posto in essere parte delle basi per la gestione dei dati in linea con quanto disposto dal GDPR, ma i processi che consentiranno di stare al passo con la normativa per il trattamento e la gestione dei dati andranno sicuramente ampliati e migliorati.

Quali sono i principali requisiti del GDPR?

Il regolamento richiede che le singole aziende e/o organizzazioni si impegnino ad effettuare i dovuti interventi richiesti dalla legge al fine di garantire tutela e trasparenza dei dati, dalla raccolta all’eventuale trattamento.

Il GDPR si aspetta che i soggetti coinvolti:

1. Mantengano al sicuro i dati

L’intenzione del Regolamento è quella di fare tutto il possibile per mantenere i dati protetti. Ciò è ovviamente vantaggioso per clienti e aziende, nessuno desidera eventuali violazioni da parte di estranei che potrebbero accedere ai dati personali archiviati.

2. Tengano traccia della filiera di percorso dei dati

Un concetto chiave del GDPR è la necessità di documentare come viene gestita la registrazione dei dati di ogni cliente, fornitore, collaboratore, dipendente, etc… In altre parole, ciò significa che è necessario essere in grado di mostrare a qualsiasi individuo il proprio “viaggio dati” su sua esplicita richiesta.

Potrebbe essere necessario chiarire come sono stati acquisiti i dati e come hanno “viaggiato” attraverso i sistemi informatici e le comunicazioni, oltre a specificare dove e come sono stati memorizzati.

Relativamente ai dati B2C (business to consumer), questa attività di protezione è già stata molto sviluppata negli anni addietro. Tuttavia, il GDPR ha esteso l’obbligo di protezione anche verso record ed anagrafiche degli utenti B2B.

3. Lascino che sia il cliente ad avere il controllo

Il ‘Permission marketing’ (ovvero “Consenso al Marketing”) è un approccio che richiede al cliente di fare una scelta attiva per ricevere informazioni approfondite quando si registra in un database: un’azienda compliance, cioè una realtà che è stata in grado di adeguarsi al quadro normativo, già pratica questo tipo di registrazione dei dettagli utente.

Ad oggi molte imprese utilizzano moduli opt-in con termini e condizioni chiari, consentendo così al cliente di inviare consensualmente i propri dati di contatto. Allo stesso modo ci si aspetta che anche le aziende rendano estremamente semplice ai clienti la possibilità di rinunciare al ricevimento di comunicazioni o scegliere ciò che vogliono ricevere o meno.

Il GDPR ha assunto una posizione giuridica nettamente più forte rispetto alle procedure di opt-in, con l’obbligo di “double opt-in”: ciò significa che è necessario fare tutto il possibile per garantire che le persone inviino genuinamente, spontaneamente e volontariamente le loro informazioni personali.

4. Condividano la responsabilità con tutti gli altri “touchpoint” dei dati

Una delle parti fondamentali di GDPR è la responsabilità condivisa tra i “controllori” dei dati e i “processori dei dati”.

Se i dati dei clienti passano attraverso una terza parte che può causare una violazione dei dati, le aziende possono rivalersi su di essa qualora il cliente desideri un risarcimento. Ma, allo stesso modo, se un’azienda svolge un ruolo nella gestione dei dati di clienti altrui, potrebbe essere ritenuta responsabile per eventuali danni parzialmente o totalmente causati da essa.

5. Paghino sanzioni se non in linea con il Regolamento

Uno dei grandi punti di discussione di GDPR sono le ammende: secondo i nuovi regolamenti, le violazioni sono molto onerose. Un’azienda può essere multata fino a 20 milioni di euro oppure fino al 4% del fatturato annuale globale, a seconda di quale sia di maggior valore. Sanzioni e multe di questo livello possono ovviamente essere paralizzanti per molti e non devono essere prese alla leggera.

Cosa bisogna fare

I requisiti richiesti dal GDPR variano molto a seconda del settore merceologico delle attività coinvolte e dal livello di rischio. Quanto più complessi, dettagliati e sensibili sono i dati trattati tanto più vanno considerate sicurezza e trasparenza nella gestione dei dati e dei consensi espliciti per le comunicazioni.

Come preparare e disporre il GDPR

– Designare:

1) un soggetto che diventi il punto di contatto per l’autorità per la protezione dei dati e per le persone interessate;

2) un responsabile della protezione dei dati per monitorare la conformità quando si tratta di operazioni di elaborazione dati.

– Creare:

1) “percorsi dati” tracciabili attraverso varie piattaforme e sistemi, sia all’interno che all’esterno dell’UE;

2) processi che possano garantire il Diritto all’Oblio dei dati dell’utente quando richiesto;

3) processi sicuri per la divulgazione e l’esportazione dei dati dell’utente ad altri soggetti quando richiesto;

4) un piano d’azione al verificarsi di una violazione dei dati;

– Considerare il GDPR come base per la progettazione e la creazione dei processi di gestione dei dati e delle strategie di marketing future e quelle in corso.

– Adottare un nuovo approccio verso i dati.

Dal punto di vista prettamente aziendale la normativa può sembrare di difficile applicazione, tuttavia c’è la possibilità di avvalersi del prezioso supporto di consulenti, specialisti nella gestione dei dati ed organizzazioni di riferimento che possono guidare la Vostra realtà grazie alle loro conoscenze approfondite della materia indicandovi i passaggi da seguire per essere conformi e adeguarsi al quadro normativo senza stravolgere o mistificare la propria missione primaria, quella di generare profitto.