Adeguamento Gdpr: ecco come adeguarsi al regolamento europeo sulla Privacy

  • Diego Gualdoni

image from Adeguamento Gdpr: ecco come adeguarsi al regolamento europeo sulla Privacy

Dal 25 maggio 2018 è diventato operativo per tutti gli Stati membri il famoso GDPR, ossia il General Data Protection Regulation che in italiano viene chiamato in forma estesa “Regolamento generale sulla protezione dei dati” ( Regolamento Ue 2016679).

Questo provvedimento ha fatto parecchio rumore poiché ha imposto repentinamente un adeguamento GDPR delle imprese italiane, spinte e spaventate anche da un regime di multe molto salate. Si parla infatti di sanzioni che arrivano ai 20 milioni di Euro oppure dal 2 al 4% del fatturato realizzato in 1 anno.

Il Decreto attuativo è entrato in vigore il 19 settembre con alcune specifiche importanti che vedremo più avanti nell’articolo.


1 ANNO GRATIS

Scopri come ottenere 1 anno di hosting gratuito. Inserisci il tuo indirizzo email per saperne di più.

L’adeguamento GDPR sembra interessare da vicino, forse più di ogni altro, il settore dei siti internet con particolare riferimento all’e-commerce e ai blog che in qualche modo raccolgono i dati personali. Il tema è molto più ampio, ciò che bisogna inquadrare è il carattere di questo nuovo regolamento che non si limita a qualche semplice modulo in più, ma arriva fino alla struttura interna dell’azienda che deve essere in grado di ottemperare a determinate richieste, sia del Garante che, soprattutto, del singolo cittadino.

Occorre addentrarci sempre di più per capire cosa si deve fare per rientrare nella norma. Partiamo dai principi fondanti ed analizziamo le fasi che hanno ispirato il nuovo Regolamento sulla Privacy.

I principi fondanti il Regolamento per la tutela della Privacy

Alla base della nuova normativa, che armonizza le diverse politiche in materia di GDPR, ci sono due distinti principi:

  • Privacy by Design
  • Privacy by Default

In base a tali principi viene stabilito senza possibilità di dubbio che, il consenso al trattamento dei dati personali deve poter essere esercitato in maniera esplicita e lo si può revocare quando si vuole. L’azienda diventa ancor più custode dei dati prelevati dagli utenti con il loro consenso e, per mettere in atto questo diritto, deve dotarsi di un’apposita struttura organizzativa, e di una figura, non sempre obbligatoria, che si chiama Data Protection Officer (DPO).

Privacy by Design, in cosa consiste?

L’utente diventa protagonista assoluto per quanto riguarda la Privacy. Ogni progetto di trattamento dati deve essere pensato con la priorità della difesa del suo diritto. Per far ciò occorre stabilire ogni volta dove sono i confini della tutela e ciò richiede progettualità continua. Per questi motivi ci sono delle linee guida che riguardano diversi ambiti come i sistemi IT, le procedure commerciali e il progetto inteso nel suo sviluppo complessivo. L’azienda non si può limitare a fornire assistenza generica ma deve agire per prevenire. Il diritto alla privacy non ha deroghe ed entra a far parte delle procedure aziendali in pianta stabile. Ciò implica l’esecuzione della protezione dei dati durante tutto il ciclo di vita, ed in maniera totale. Già da queste premesse si capisce quale sia la forza che il legislatore abbia voluto mettere nel provvedimento.

Privacy by Default, di cosa si tratta?

In pratica si cerca di rendere più corretta la raccolta dei dati che deve essere attinente allo scopo che persegue la stessa raccolta dati. Occorre che sia esplicitato il motivo per cui si raccolgono i dati, sin nello specifico. Se ci si iscrive ad una newsletter occorrerà capire quali dati vengono chiesti e per quale finalità.

Se vogliamo si sta mettendo in crisi il sistema dei dati consensati che vengono ceduti tra le aziende per generare dei contatti a fini commerciali. L’azienda che chiede questi dati non può decidere da se che gli servono qualsiasi dati, ma deve risultare chiara la motivazione, in pratica si definisce la coerenza tra richiesta e consenso dell’uente.

Cos’è il data breach nel Gdpr

Nel regolamento viene menzionato più volte il data breach, che in italiano sta per violazione dei dati personali, da intendersi nel senso della sicurezza. Violazioni accidentali o illecite che comportino perdita, modifica o distruzione, non che divulgazione non preventivamente autorizzata dei dati personali, dovranno venire notificate entro 72 ore dalla scoperta della mancanza. Ciò poiché riguardano il diritto alla libertà. Se tale rischio risulta inconsistente non vi è alcun obbligo di notifica. E’ una bella novità e non può essere presa sottogamba dalle aziende poiché i termini sono precisi.

Le aziende quindi, secondo l’adeguamento Gdpr devono esplicitare il comportamento che devono osservare in caso di data breach. Il PIA (Privacy Impact Assessment) ha proprio questo scopo preventivo, si tratta di una dichiarazione di valutazione di impatto del rischio, che si configura come uno dei documenti di prevenzione dell’azienda, più importanti. Va subito detto che non interessa tutte le aziende, e tra poco capiremo quali sono chiamate a produrlo.

Bisogna dotarsi di una privacy policy

Ogni azienda, che abbia o no un sito web deve quindi mettere in atto il suo adeguamento GDPR, creando una privacy policy. E’ da notare che essere o no in rete è incidentale rispetto all’obbligo di Privacy. In particolare bisognerà dare spiegazione di:

  • quali sono i dati personali che il sito raccoglie;
  • qual è il motivo per cui questi dati vengono raccolti;
  • chi raccoglie i dati e chi li tratta;
  • spiegare come vengono raccolti questi dati;
  • chiarire come vengono conservati i dati raccolti e per quanto tempo;
  • fornire delle spiegazioni basilari: va chiarito se i dati raccolti verranno ceduti a terzi, e secondo quali condizioni.

Ciò che si tenta di fare è rendere l’utilizzatore di un servizio che contempli richiesta dati personali,  maggiormente consapevole del suo diritto alla privacy e di conseguenza poter decidere se dare il suo consenso o meno.

Quali sono questi dati considerati sensibili? si parla di tutto ciò che identifica la persona fisica, ma anche la mail, l’indirizzo IP e i dati bancari. Oltre a ciò occorre anche determinare cosa si intende per elaborazione dei dati. Un classico è la memorizzazione dei dati di accesso come può essere un indirizzo IP che viene tracciato da un cookie. Ma non basta, bisogna anche fare riferimento ai dati che vengono combinati al fine di identificare un soggetto.

Occorre intervenire per cambiare i formulari e i moduli del sito

I vecchi moduli prevedevano l’adesione al trattamento dei dati personali di default. Ciò non è più consentito poiché l’utente deve poter esprimere un proprio consenso o meno sulla base di un’azione volontaria. I moduli che sono stati utilizzati per contattare l’utente contengono la vecchia privacy policy a cui bisogna mettere mani subito per chi non lo avesse ancora fatto. E’ importante come già rimarcato che il concetto di tutela della privacy venga concepito come un atteggiamento protettivo nei suoi confronti.

Il consenso ai dati personali non può più consistere in una casella precompilata, ma andrà modificato per registrare l’attività di consenso. Oltre alle newsletter bisognerà anche tener conto del funzionamento dei pop up. Da notare che contemporaneamente anche Google, per una questione diversa dalla GDPR, si è dotata di una regolamentazione che riguarda la tutela dell’utente in materia di pubblicità. Sintomo di maggiore attenzione per diversi aspetti ma che sanciscono l’effettivo abuso tendenziale che si è avuto per diverso tempo.

Facilitare la richiesta di cancellazione dati

Per adempiere alla normativa bisogna anche prevedere la facilitazione di acceso ai dati degli utenti mediante un proprio database.

Inoltre è necessario anche che ci sia un sistema per verificare i dati degli utenti e nel caso comunicargli immediatamente che i suoi dati personali sono stati violati.

Una vera piattaforma che viene messa in atto con un CMS o tramite i plugin, con lo scopo di avere traccia certa degli atti compiuti da chi ne ha accesso come il proprietario del sito e il webmaster autorizzato. Si passa da un database ad un software appositamente orientato alla necessità del controllo e dell’accesso.

Un processo che riguarda tutta l’azienda e non solo la parte del sito internet

HOSTING GRATIS Bisogna fare riferimento a questa normativa non solo per la parte che riguarda il contatto diretto con il cliente. E’ il sistema nell’insieme che occorre valutare attentamente poiché il flusso dei dati talvolta è molto complesso.

La prima necessità per arrivare a formulare i documenti necessari all’adeguamento Gdpr, è capire lo stato dell’arte. Ogni piccola o grande azienda è quindi chiamata a fare uno sforzo complessivo che mette a rischio la possibilità di risultare in regola entro breve tempo.

A mettere una toppa ci ha pensato lo Stato italiano attraverso il decreto attuativo della riforma europea che è stato emanato l’8 agosto 2018 ed è entrato in vigore il 19 settembre. Il compito che ha il decreto è quello di armonizzare l’introduzione della normativa. E’ il Garante della Privacy ad essere al centro dell’armonizzazione poiché si fa esplicito richiamo alla necessità di andarci piano con quelle aziende che non risultassero ancora in regola. Il periodo che viene indicato è di 8 mesi, per cui almeno per ora c’è una certa elasticità.

E’ anche previsto che il Garante tuteli le piccole aziende che devono adeguarsi, c’è quindi da aspettarsi delle linee guida che potrebbe facilitare il compito alle piccole imprese.

Le norme attuative si devono immergere nella realtà italiana per cui viene posta attenzione ai diritti alla privacy con riferimento al diritto del lavoro e ai dati sanitari.

Un po’ di elasticità a favore delle PMI nell’adeguamento Gdpr

Come si è detto si è posta attenzione alla piccola e media azienda includendo anche la micro azienda ovviamente. Alcune disposizioni sono prese a tutela della stessa struttura dei costi che non riuscirebbe a garantire una figura preposta a fare da garante interno dei dati raccolti. La figura della DPO non è quindi obbligatoria.

Un’altra tutela a favore di queste realtà è abbastanza particolare poiché è stata inserita la possibilità di richiedere una tariffa in caso il dato richiesto dall’utente sia difficile e costoso da reperire. Non c’è obbligo nemmeno del PIA (Privacy Impact Assessment) tranne per quei casi in cui i dati trattati siano molto ingenti, vedasi Internet.

Cessa l’obbligo di notifica ordinaria al Garante, mentre rimangono quelle che hanno carattere straordinario e che riguardano il rischio di Privacy.

Il decreto entrato il vigore il 19 settembre 2018 contiene delle altre specifiche importanti

Rispetto a quanto previsto e già conosciuto del dispositivo europeo, in campo nazionale il decreto fa delle precisazioni particolareggiate.

Curriculum Vitae

Viene stabilito che l’informativa in materia di GDPR debba essere fornita al primo contatto utile subito dopo l’invio del CV. Questo rende non dovuto il consenso ai fini del trattamento sui dati personali direttamente nel curriculum.

L’aiuto alle PMI per adeguarsi

Sarà il garante a prevedere di semplificare l’adeguamento GDPR per le PMI. Sono incluse anche le micro aziende ovviamnete. C’è quindi un tempo da capire in funzione di quanto prevederà il Garante della Privacy.

Il consenso dei minori

I minori di 14 anni dovranno ancora essere autorizzati dal responsabile genitoriale in merito ai servizi all’informazione, mentre al di sopra dei 14 anni può essere espresso il consenso direttamente dall’interessato.

Le sanzioni penali accessorie a quelle pecuniarie

In aggiunta alle sanzioni, già pesanti, previste dal regolamento europeo, l’Italia ha deciso di esercitare il suo diritto ad inasprire le pene per determinati atti. Si tratta di pene gravi perché interessano il diritto penale e che riguardano:

  • i dati personali trattati illecitamente;
  • i dati personali acquisiti in maniera fraudolenta per trattamento su larga scala;
  • le comunicazione e diffusione illecita degli stessi dati personali;
  • le false dichiarazioni fornite al Garante;
  • la mancata osservanza del provvedimento del Garante;
  • le violazioni delle disposizioni sul controllo a distanza e sulle indagini che riguardano le opinioni dei lavoratori.

Una norma particolare che riguarda le persone decedute

I dati delle persone decedute sono stati inclusi nel decreto attuativo. Gli stessi diritti che ha una persona in vita possono essere difesi anche da un familiare o un mandatario, quando sono considerati meritevoli di protezione. Non è molto chiara questa norma ma fa specie se ci si dovesse trovare di fronte ad una richiesta non dell’interessato (orami defunto), ma da parte di un suo familiare ad esempio per richiedere la cancellazione.

Come cambiano i ruoli in azienda per effetto della Privacy GDPR

Per le aziende di grandi dimensioni, il ruolo del Data Controller è obbligatorio, ciò non toglie che l’azienda possa dotarsi di altre funzioni sempre collegate all’adeguamento Gdpr.

Il Data Protection Officer è il garante interno all’azienda dei dati che riguardano la privacy -  art. 37 del GDPR

Il termine DPO – Data Protection Officer – entra a far parte della struttura aziendale. Le aziende di grandi dimensione che hanno più filiali dovranno assicurare la presenza del DPO per ciascuna filiale. E’ a questa nuova figura che spetta il controllo e la sicurezza dei dati.

I dati vengono immagazzinati con l’uso dei software per cui dovrà garantire che il sistema congegnato per questo scopo è adeguato e sicuro. Non è una valutazione soggettiva ma va dimostrato il percorso logico e tutti gli impedimenti atti ad evitare il data breach.

L’automazione è fondamentale per arrivare ad ottenere un risultato di questo tipo. Contro gli attacchi dall’esterno occorre dotarsi di un sistema di protezione efficace e ciò non comporta genericamente l’uso di un comune anti virus ma più specificatamente andranno posti in sicurezza tutti i dispositivi che permettono l’accesso al data base aziendale, che siano Pc o dispositivi mobile.

La nomina del DPO è obbligatoria quando i dati trattati provengono da un ente pubblico oppure dalle autorità. Stessa cosa quando c’è un’importante mole da monitorare. I dati sensibili o quelli a carattere giudiziario prevedono l’obbligatorietà della nomina del DPO.

Anche una PMI che svolge la propria attività centrale nel trattamento dei dati, deve avere un DPO.

Chi può essere DPO

Per concludere un punto fondamentale in merito all’adeguamento GDPR. Il responsabile del trattamento dei dati può essere anche una persona esterna all’azienda. Come per altre materie, si può trattare di un fornitore che è stato delegato a tale funzione e che sia in grado di garantire ciò che il Regolamento ed il Decreto attuativo prevede.

Con tutta probabilità sarà questo l’orientamento che la maggior parte delle aziende terrà, sia per una questione di tranquillità di adeguamento alla normativa che per i costi di gestione del personale che eventualmente va incaricato e formato a dovere.

Conclusioni

Lo scandalo di Facebook ha permesso la nascita di un provvedimento che da tempo si invocava. Con lo sviluppo della rete sembrava quasi capitolato il diritto alla privacy. Nella sostanza chiunque entrava in contatto con un formulario online o offline, in maniera automatica dava il proprio consenso senza nemmeno comprenderne le conseguenze.

L’utente è una persona e come tale ha dei diritti. Ciò che cambia riguarda azioni pratiche che testimoniano che il diritto alla Privacy ancora esiste e deve essere applicato a rischio di infliggere pene notevoli. La maggior tutela si esprime attraverso:

  • informazioni dettagliate del perché vengono raccolti i dati e come vengono utilizzati
  • trasferibilità dei dati tra fornitori di servizi
  • il diritto all'oblio
  • diritto di notifica in caso di violazioni
  • forte tutela per i minori

Un professionista è ciò che ci vuole per orientarsi in maniera corretta all’adeguamento GDPR.