Il RISPETTO DEL GDPR COME CONSAPEVOLEZZA DEI RISCHI, OPPORTUNITÀ PER LE ORGANIZZAZIONI, SENSIBILIZZAZIONE E FORMAZIONE DEL PERSONALE 

Di Barbara Guadalupi – Senior Manager GR ADVISORY

Il Regolamento Generale sulla Protezione dei Dati ufficialmente Regolamento (UE) 2016/679 (meglio noto con la sigla GDPR) ha rappresentato un passaggio importante imponendo a chi tratta dati di altre persone fisiche, di applicare principi di riservatezza, integrità e disponibilità lungo tutto il processo che va dall’acquisizione, al trattamento fino alla conservazione. I dati sottoposti alla tutela del GDPR sono ogni tipo di informazione sulla persona fisica, a partire da quelli più sensibili, fino ad arrivare alle email e al loro uso. Si tratta di un impianto di procedure notevole e che coinvolge ogni settore di attività.

La chiave di tutto l’impianto è la consapevolezza. Questo è l’unico vero sforzo che ci richiede il GDPR: imparare cos’è la protezione dei dati che non è esattamente la stessa cosa che definiamo privacy; la privacy trovava tutela per lo più in altri rami dell’ordinamento, che proteggono la riservatezza del domicilio o la segretezza della corrispondenza.  Possiamo rinunciare alla nostra riservatezza, nell’epoca dei social possiamo decidere cosa mostrare di noi e cosa tenere per noi, ma è una nostra scelta; e non è diritto dei fornitori di servizi ai quali affidiamo i nostri dati abusarne per lucrarci sopra a nostra insaputa: ed è questo che, in estrema sintesi, dice il Regolamento generale sulla protezione dei dati. Come dobbiamo attenderci che gli altri proteggano i dati che gli affidiamo (anche se glieli affidiamo per pubblicarli sul web, rinunciando alla nostra privacy), così dobbiamo proteggere i dati che ci vengono affidati. Il mondo cambia e negli anni i dati personali sono diventati una “merce” di valore, e i criminali informatici, ad esempio, saccheggiano i siti web per “raccattare” dati personali da rivendere . Non solo però, c’è anche un mercato legale delle informazioni personali, ed è su quello che il GDPR va a incidere, nel tentativo di regolamentare l’uso dei dati personali senza comprimere i diritti alla riservatezza e alla protezione dei dati personali, che sono diritti fondamentali per l’UE (cfr, artt. 7 e 8 della Carta).

La privacy e protezione dei dati si confondono sempre più con l’avvento dell’intelligenza artificiale e con l’analisi algoritmica e spesso predittiva che viene costantemente operata sulle nostre vite.

Tutto ciò si traduce nel:

  1. capire cosa sono i dati personali: e qui è importante capire che la definizione è più ampia del mero nome e cognome;
  2. capire quali dati personali “abbiamo” (di quali trattamenti di dati siamo, cioè, Titolari o Responsabili) e qui passiamo al secondo step, la mappatura.

La domanda che ognuno dovrebbe farsi è: “perché tratto o conservo questi dati? A cosa mi servono?”. Occorre quindi sapere quali dati abbiamo, dove e perché, e, se li conserviamo, se abbiamo un criterio di conservazione.  A questo punto possiamo passare alla fase successiva. Quali rischi corrono i dati che trattiamo? Come li possiamo proteggere al meglio? Quali rischi corre l’interessato (cioè la persona fisica alla quale i dati si riferiscono) se non proteggiamo bene i suoi dati? Anche qui: buonsenso. Se i dati personali che tratta l’impresa non presentano particolari rischi, ovvero non rientrano nelle categorie descritte dall’articolo 9 del Regolamento (ex dati sensibili, dati biometrici o genetici ecc.) o non rientrano nell’articolo 10 de GDPR, ma sono i dati normalmente utilizzati in una transazione commerciale, l’analisi del rischio non dovrà portare all’adozione di misure spropositate. La stessa valutazione potrà essere fatta per trattamenti informatici che non presentino particolari rischi, magari mantenendo l’aggiornamento automatico dell’antivirus, come già si faceva nella prassi. La valutazione dei rischi non si limita alla valutazione del rischio informatico, ma tiene conto del “rischio privacy”.

All’esito di una serie valutazioni in ordine ai rischi relativi ai diritti e alle libertà dell’interessato e dello stato dell’arte -ovvero delle migliori soluzioni offerte dalla tecnologia- si potranno prendere le misure più adeguate tenendo conto di tutti i parametri definiti dall’articolo 32 del Regolamento.

Questa valutazione deve essere operata anche rispetto ai dati dei dipendenti o dei collaboratori.

Il soggetto che decide le finalità (perché tratto questi dati?) e le modalità del trattamento (e, quindi, anche se esternalizzare un trattamento) è il titolare. Se, io titolare, queste decisioni le prendo, anche solo in parte, insieme a un altro soggetto, quello che decide insieme a me è contitolare.  Il consenso è una delle basi giuridiche del trattamento, ma non è l’unica. Ad esempio: se devo rispondere a una richiesta dell’interessato, o adempiere a un contratto del quale è parte l’interessato la base giuridica sarà rappresentata dal contratto o dalla necessità di dare seguito alla richiesta dell’ interessato. Una volta adempiuta la prestazione concordata, dovrò conservare il contratto e la fattura per legge. Questo trattamento (relativo alla conservazione) si basa sulla necessità di adempiere a un obbligo di legge. Se voglio invece fare marketing al mio cliente via sms, dovrò anche acquisire il suo consenso, che mi servirà solo per questo tipo di attività. Quello che ci appare come un unico trattamento (contatto, preventivo, conclusione del contratto, erogazione della prestazione, fattura, conservazione, cancellazione dei dati, marketing via sms) in realtà è una concatenazione di azioni che si distinguono in diversi trattamenti, contraddistinti da diverse finalità e che poggiano su diverse basi giuridiche.

Una volta che sono stati individuati i dati, i trattamenti, i ruoli, le basi giuridiche e le finalità del trattamento siamo pronti a scrivere l’informativa. Occorre obbligatoriamente dare alcune informazioni all’interessato, e quali sono queste informazioni ce lo dicono gli articoli 13 e 14 del GDPR. Quali informazioni vanno rese? Molto dipende dai trattamenti e dagli obblighi che gravano concretamente sull’impresa. Se l’impresa è piccola e non ha trattamenti “su larga scala”, potrà evitare alcuni adempimenti, come ad esempio la nomina del DPO e, se e non ha trattamenti particolarmente rischiosi da effettuare con nuove tecnologie, potrà evitarsi anche la valutazione di impatto sulla protezione dei dati (che è cosa diversa dalla valutazione dei rischi).

Per dimostrare l’adempimento, il titolare deve documentare gli adempimenti posti in essere, per garantire il rispetto dei principi (elencati all’articolo 5 del GDPR) che presiedono alla protezione dei dati. Uno degli argomenti più caldi del GDPR è la violazione dei dati personali. In che consiste? In breve: la violazione di dati personali è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. E’ importante che il titolare impari a riconoscere una violazione, e nel caso avvenga si ricordi di:

  1. conservare in ogni caso la documentazione relativa; questo è l’unico adempimento se è improbabile che dalla violazione derivi un rischio per i diritti e le libertà dell’interessato.
  2. fare la notifica al Garante negli altri casi entro 72 ore;
  3. fare la comunicazione anche all’interessato nel caso di rischi gravi.

Sarebbe bene scrivere una breve politica aziendale per fissare questi punti con allegata documentazione.

Le imprese devono fare attenzione anche all’organizzazione interna. L’importante è vincolare dipendenti e collaboratori alla riservatezza, rispettare il principio di minimizzazione e in particolare di privacy sin dalla progettazione e per impostazione predefinita anche sotto il profilo organizzativo, per cui potranno trattare i dati personali solo i soggetti che è necessario che li trattino.

Questa sommaria analisi è partita dalla consapevolezza del titolare come elemento cardine della conformità alla normativa e si chiude con un richiamo alla formazione che ne è corollario. Il titolare deve essere in grado di garantire la riservatezza e la sicurezza dei dati e deve poterlo fare anche confrontandosi con un mondo che subisce continua evoluzione sia sotto il profilo tecnologico che sotto il profilo normativo. Restare aggiornati e preparati è un elemento fondamentale, e la formazione per sé e per i soggetti che operano per lui è un elemento di accountability imprescindibile per ogni imprenditore.

In conclusione, il progetto di adeguamento ai principi del GDPR per un’impresa è stato senza dubbio impegnativo ed ha riguardato in particolare la prima fase di compliance comportando la revisione del modello organizzativo, della informativa sulla privacy, delle policy & procedure, degli aspetti legali relativi il rapporto con i collaboratori/fornitori/clienti, della formazione interna, dell’informazione interna ed esterna, dell’informatica e delle misure di sicurezza.  D’altra parte, chi non si è ancora adeguato opportunamente, in una seconda fase potrebbe trovarsi a pagare di più, in particolare a seguito di auditing o di ispezioni da parte della Guardia di Finanza oppure dell’intervento dell’Autorità garante (data breach) per aver commesso violazioni della tutela dei dati che avrebbe potuto facilmente prevenire ed evitare.

L’imprenditore nella società digitale deve essere consapevole dei rischi connessi al trattamento dei dati e delle misure di sicurezza non solo al fine di ridurre i rischi di sanzioni amministrative, ma soprattutto per migliorare i processi organizzativi ed i servizi erogati, evitare danni reputazionali, rendere più competitiva l’organizzazione e migliorare i rapporti con i clienti.

Abbiamo sviluppato con molti clienti questo percorso di compliance alla GDPR sia nella fase iniziale (analisi dei rischi, redazione della documentazione, e adeguamento delle infrastrutture), sia nella fase di presidio prevedendo attività di controllo, monitoraggio e aggiornamento attraverso verifiche periodiche, corsi di formazione e service DPO.

Vuoi approfondire come GR ADVISORY può aiutarti? Vai alla sezione dedicata