Il GDPR (general data protection regulation), ovvero come ripararsi da una tempesta (ampiamente) annunciata.

Oggi sono tantissime le operazioni e le azioni che compiamo e gestiamo online: banca, trasferimenti di denaro, email, social media, acquisti online, fatturazione elettronica, la lista è infinita. E’ successo tutto in modo così rapido ed indolore che non ci siamo resi conto di quanti dati che ci riguardano abbiamo consegnato nelle mani di chi ci ha offerto un servizio o un prodotto.

Vi siete mai chiesti cosa fanno con i nostri dati?

Molti di noi nemmeno si sono ancora posti il problema, ma se lo è posto la Commissione Europea, che ha deciso di avviare un percorso di “educazione” per aziende e professionisti che amministrano e trattano i nostri dati.

In che modo intende farlo?

Emanando un regolamento per rafforzare la protezione dei dati personali dei cittadini europei. 

Anche se l’intenzione è quella di tutelare il cittadino, questa piccola rivoluzione riguarda anche chi i dati li detiene, dato che in caso di furto o danneggiamento dei nostri dati, le aziende ed i professionisti sono fortemente danneggiati.

Questo nuovo regolamento è noto anche come “EU GDPR 2016, essendo stato pubblicato su Gazzetta Ufficiale il 4 Maggio 2016, entrato in vigore il 25 Maggio dello stesso anno, con effetti a partire dal 25 Maggio 2018.

Ma che cos’è il GDPR?Che cos'è il GDPR?

E un regolamento elaborato dalla Commissione europea, di evidente stampo anglosassone e formulato con la chiara intenzione di mettere il cittadino al centro di tutto; il mantra “l’utente al centro” è diventato così diffuso da essere recepito anche dalla commissione europe a che lo ha declinato in materia di privacy.

Il Regolamento abroga la Direttiva 95/46/CE, recepita dall’attuale D.lgs. 196/2003 (c.d. Codice Privacy); l’oggetto del regolamento sono i dati personali, le modalità e gli strumenti per l’accesso e la gestione di essi, sinteticamente detti “trattamento“: i più esigenti troveranno le definizioni in fondo all’articolo.

Cosa cambia con il GDPR?

A quanto pare la normativa non è così semplice, visto che a poche ore dal fischio d’inizio c’è già la psicosi da sanzione (che in effetti sembrerebbe essere anche di parecchio salata).

A pochi passi dall’entrata in vigore si è scatenata la corsa al corso (di formazione), si moltiplicano i pareri di general data protection expert; ottimisti early-adopter si sono messi alla ricerca del software gdpr compliant e privacy-ready.

I più timorosi (e anche un po’ ignavi) si affidano a google per farsi restituire rapide liste di “gdpr avvocati”.

Noi, che per modestia non possiamo definirci consolidati esperti di privacy essendoci limitati a leggere in tempo utile la normativa e a seguire qualche corso tenuto da bravi professionisti del settore possiamo darvi comunque una risposta alla domanda.

Cosa cambia?

CAMBIA TUTTO.

autovalutazione trattamento datiCominciamo da uno dei due principali pilastri delle nuove disposizioni: la normativa è incentrata fra gli altri sul principio fondamentale della “privacy by default, che prevede che la tutela della privacy sia impostata su un livello molto alto già in maniera predefinita.

In altri termini, l’azienda che tratta i dati (titolare del trattamento) ha l’obbligo di effettuare una autovalutazione di impatto definendo quali siano i dati strettamente necessari al fine del trattamento e fissando un tempo limitato al conseguimento della finalità.

Insomma, io ho sempre sostenuto che non devo necessariamente conoscere e conservare la vostra data di nascita se devo spedirvi delle mozzarelle a casa. Secondo quanto stabilito dal regolamento GDPR, in effetti non è necessario al punto che diventa perseguibile per legge.

 

Gdpr Privacy: Come affrontare la questione?

Ora, se come cittadini la “privacy by default” vi fa sentire finalmente sereni, ho una brutta notizia per i capitani d’azienda (o di studi associati): quando nel regolamento si parla di dati, si parla di tutti i dati personali, non solo di quelli digitali.

Ve lo traduco meglio in termini pratici: se avete un archivio cartaceo, piccolo o grande quanto vi pare, quello è soggetto a normativa GDPR.

Ergo, in qualità di TITOLARE del trattamento, dovrete nominare un responsabile del TRATTAMENTO che dovrà nominare un responsabile per la protezione dei dati, e poi una gerarchia di persone con dei compiti specifici, con lo scopo di poter maneggiare quelle carte in maniera compliant e rispettosa della normativa.

Se state pensando di essere al sicuro, e vi state gloriando del fatto di aver già digitalizzato gli archivi cinque anni fa, sappiate che è probabile che la nomina della catena di responsabili spetti anche a voi.

Quando diventa obbligatorio il registro gdpr?registro gdpr

Infatti, come già anticipato, il legislatore ha comunque stabilito che entro certi limiti dovete autovalutarvi.

Nello specifico, il legislatore ha stabilito che se l’azienda ha più di 250 dipendenti o svolge trattamenti che riguardano dati particolari, giudiziari o che comportano un rischio per i diritti e le libertà degli interessati, è necessario predisporre e mantenere un REGISTRO dei trattamenti in linea con i principi del GDPR.

Tuttavia, se l’azienda non rientra nel caso precedente non è obbligatorio predisporre il registro.

PERÒ, c’è un però.

E’ consigliabile che abbiate una mappatura dei trattamenti, almeno nel caso in cui vi venga richiesto di dimostrare la vostra conformità.

Ergo, voi potete anche autovalutarvi, sopravvalutandovi sotto alcuni punti di vista e/o sottovalutandovi sotto altri, ma sappiate che l’ultima parola spetta al legislatore in caso di verifiche.

DPIA Cos’è?

Se siete arrivati a questo punto e vi interessa capire come “autovalutarvi”, lo strumento per l’analisi del rischio è la redazione di una procedura di autovalutazione chiamata DATA PROTECTION IMPACT ASSESSMENT (DPIA), che è obbligatoria solo in alcuni casi.

Fra cui ad esempio, il trattamento su larga scala di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza.

Dunque, per fare le cose a modino ed ottenere a pieno titolo la vostra compliance GDPR, bisogna che implementiate “opportune” misure di sicurezza, teniate registri per ogni trattamento, siate in grado di reagire al DATA BREACH (*definizione in fondo) sempre in maniera adeguata e in misura da non compromettere mai ed in nessun modo la protezione, l’accesso e l’integrità dei dati.

Bisogna nominare un responsabile del trattamento, che potrebbe avvalersi (a fronte di espressa autorizzazione del titolare del trattamento) a sua volta di un sotto-responsabile, pur mantenendo la totale responsabilità nei confronti del titolare.

In ogni caso, fra i compiti del responsabile del trattamento c’è la nomina di un Responsabile della Protezione dei Dati (DPO) che è a tutti gli effetti l’attuatore e coordinatore delle azioni.

(Nota a margine: la nomenclatura in lingua originale risulta più chiara: il Data controller nomina un Data Processor che nomina un Data Protection Officer.)

Non possono essere nominati DPO:

  • Amministratore Delegato
  • Direttore Finanziario
  • Direttore Sanitario
  • Responsabile Marketing
  • Responsabile HR
  • Responsabile IT

progettazione orientata alla privacySe oltre ad essere capitani di azienda vi capita anche che la vostra sia una azienda informatica, allora sappiate che oltre alla “privacy by default”, dovrete cominciare a pensare anche alla ristrutturazione delle basi dati e dei software per garantirvi l’obiettivo di essere compliant con l’altro principio della normativa gdpr: la “privacy by design”.

Ovvero la “progettazione orientata alla privacy” che insieme alla impronunciabile parola “pseudonimizzazione” e alle tecniche di crittografia rappresentano la parte più “tecnica” della direttiva.

Questa parte tecnica è piuttosto scarna e recita poco più che ragionevoli consigli: pianificare processi di verifica periodici, avere un piano per una reazione tempestiva in caso di eventi dannosi fisici o tecnici e infine offrire garanzie di riservatezza, integrità, disponibilità e possibilità di recupero dati.

Su richiesta del titolare, bisogna essere in grado di cancellare o restituire i dati personali al termine del trattamento, ovvero garantire il diritto all’oblio della persona che pretenda di sparire (quantomeno dai vostri database digitali o cartacei).

Passo dopo passo: cosa fare in pratica?

Riassumendo, i passi da compiere sono i seguenti:

  1. Assicurarsi che siano trattati solo i dati personali strettamente necessari alle finalità di trattamento;
  2. Identificare la base giuridica del trattamento (consenso, interesse legittimo, contratto, obblighi legali);
  3. Revisionare tutte le informative per essere conformi al Regolamento;
  4. Regolamentare i rapporti con i Responsabili del trattamento;
  5. Verificare che gli incaricati del trattamento siano a conoscenza degli obblighi in materia di protezione dei dati personali e che siano presenti clausole di riservatezza;
  6. Prevedere le modalità d’esercizio dei diritti degli interessati;
  7. Valutare e adottare le misure di sicurezza adeguate.

Definizioni utili relative al GDPR

DATI PERSONALI

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), direttamente o indirettamente, con un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,  psichica, economica, culturale o sociale;

TRATTAMENTI

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

DATA BREACH

È una qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito:

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso ai dati personali trasmessi, conservati o comunque trattati