GDPR 2018: come adeguarsi alla normativa

GDPR 2018

Cos’è il gdpr e come funziona?

Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più chiara la gestione e la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione Europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE). Il testo, approvato il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.

GDPR: privacy e dati personali

Il GDPR europeo è un Regolamento, non una Direttiva: non richiede una legge nazionale di recepimento, è immediatamente esecutivo. Il nuovo Regolamento si propone di restituire ai cittadini europei il pieno controllo sui propri dati personali, un diritto spesso ostacolato da legislazioni nazionali differenti e da scenari che a volte sfuggono all’attuale normativa. Per questo, adottare regole uniformi diventa l’unica strada percorribile. Ecco perché tutte le aziende sono chiamate ad adeguarsi, dimostrando di operare in conformità a quanto previsto dal GDPR. 

Compliance GDPR cosa cambia

Innanzitutto, il regolamento prevede che ogni azienda nomini un Responsabile della Protezione dei Dati (RPD) – nel Regolamento indicato come Data Protection Officer (DPO) –  adeguatamente formato per assolvere al compito nel migliore dei modi e a cui spetta l’incarico di fornire informazioni relative alla propria attività ai diretti interessati, siano essi i collaboratori della società, i fornitori oppure i clienti.

Il regolamento prevede inoltre la stesura di un registro dei trattamenti, ovvero uno strumento che consente una gestione più efficace della protezione dei dati all’interno dell’organizzazione. Le finalità sono:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati personali;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”.

Divise in sei categorie, si tratta di: identità del titolare; scopo delle operazioni di trattamento per le quali è richiesto il consenso; tipo di dati raccolti e trattati; esistenza del diritto di revoca del consenso; uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione); nel caso di trasferimento verso paesi terzi, possibili rischi in assenza di garanzie e scelte appropriate.

Alcune delle disposizioni previste dalla gdpr (come l’individuazione di un DPO) non sono obbligatorie per le imprese con meno di 250 dipendenti. Vediamo quindi quali sono le differenze nello specifico e come prepararsi.

GDPR piccole aziende

Anche le piccole e piccolissime aziende, che effettuino trattamenti di dati personali a bassissimo impatto (si pensi, ad esempio, a una panetteria, una lavanderia, ecc.) sono coinvolte.

La prima (e più importante) cosa da sapere per questi “piccoli Titolari” è che il GDPR non prevede meri adempimenti burocratici da rispettare, ma sostanza da implementare.

Anche i “piccoli Titolari” dovranno rispettare, ancorchè in piccolo, la c.d. “regola SIMP”: Sapere, Intervenire, Mantenere, Provare.

  • Sapere, cioè avere chiari i principi del GDPR e la situazione della propria azienda (e dei propri trattamenti) rispetto ai requisiti del GDPR.
  • Intervenire, significa implementare le azioni necessarie, in relazione alla propria situazione: ad esempio adeguare le informative privacy, fare (almeno un minimo di) formazione ai propri collaboratori sulle regole del GDPR e sulle procedure aziendali per essere conformi ecc.. Una bella novità regolamentare è la previsione di obblighi scalari, cioè si richiede al Titolare uno sforzo proporzionato non solo all’impatto del suo trattamento, ma anche alle sue risorse.
  • Mantenere: è un’altra delle grandi novità del GDPR. Come già detto, il Regolamento non chiede il semplice adempimento di oneri burocratici (redigere nuovi documenti ecc.), ma impone di proteggere i dati che trattiamo. Per cui, dopo essere intervenuti per adeguarsi alle nuove norme, i Titolari (anche i Piccoli) dovranno, di default, fare in modo che le procedure vengano rispettate e che ogni novità aziendale sia studiata fin dall’inizio in conformità con il GDPR. Per fare un esempio concreto, se la “nostra” panetteria assuma un dipendente, dovrà fare in modo che questi venga subito messo a conoscenza delle (poche, ma importanti) regole da seguire e dotato degli strumenti per farlo.

 

  • Provare, il Titolare (compreso quello Piccolo) in qualunque momento sia necessario, dovrà essere in grado di documentare di aver seguito le suddette regole e di stare trattando i dati personali altrui in conformità al nuovo Regolamento. Potrebbe quindi non bastare produrre solo un malloppo di fogli precompilati ma di cui non conosce il contenuto; e soprattutto la dimostrazione di quasi tutti gli adempimenti potrà finalmente essere data in ogni modo, non necessariamente solo con la carta.

 

GDPR PMI

In occasione del Data Privacy Day 2017 Sophos, società leader nel settore della sicurezza informatica e protezione dati, fornisce alle aziende qualche suggerimento per affrontare al meglio i prossimi diciotto mesi e non farsi trovare impreparate all’appuntamento. Necessario, prima di tutto, non trattare con condiscendenza il problema: l’attuazione del GDPR richiederà il massimo impegno sia dei vertici aziendali sia dei dipendenti. Per questo sarà necessario lavorare fianco a fianco con le Risorse Umane per esser certi che i lavoratori comprendano quali sono le misure messe in campo per la protezione dei loro dati personali. Quando si ha a che fare con gli utenti, invece, bisogna porre particolare attenzione alle informazioni che si raccolgono: sfruttare la crittografia per proteggere i dati conservati nei server potrebbe essere una soluzione che mette al sicuro sia i clienti-utenti sia l’azienda. Infine, bisogna saper sfruttare a proprio favore il lavoro fatto nel campo della protezione privacy: informate gli utenti delle vostre azioni e rendeteli partecipi dei processi in corso.

 

GDPR e siti web

Ogni sito web è obbligato a conformarsi al GDPR, anche i blog. Per essere in regola con il GDPR ogni sito web deve contenere al suo interno:

  • Cookie Policy
  • Privacy Policy Completa.

Per farlo velocemente e in maniera economica si può usufruire di alcuni servizi (segnaliamo Iubenda), che con pochi euro consentono di generare la privacy policy direttamente online ed inserirla nel footer del sito, così come per i cookie.

Tuttavia, il Regolamento generale sulla privacy dei dati contiene ben poche regole, ad esempio, per i siti che si occupano di commercio online. Esso si occupa delle basi generali della protezione dei dati, i cui vari campi vengono regolati successivamente con leggi e ordinamenti. Tuttavia, per quanto generiche, le norme del regolamento europeo portano novità anche per i siti web.

Con ogni probabilità i temi centrali per i gestori dei siti web – cookies, user tracking, Spam Marketing e marketing diretto – verranno rivisti a partire dal 2019. Ciò che è certo, allo stato attuale, è che a partire dal maggio 2018 tutte le basi generali contenute nel Regolamento sono valide anche per i siti web, i Big Data e i social media. Ecco perché anche l’utilizzo di cookies, strumenti per il monitoraggio e misure di targetizzazione, dovranno orientarsi sul GDPR in futuro.

 

Il percorso verso la compliance

Il percorso di adeguamento alla normativa è suddiviso in due fasi:

  • assessment
  • adeguamento normativo e tecnologico

L’assessment consente di identificare e misurare gli scostamenti normativi ed operativi rispetto al GDPR e di verificare se l’organizzazione è conforme in tutto, o solo in parte, alla nuova normativa; ciò permette di identificare le aree prioritarie sulle quali intervenire.

L’adeguamento normativo e tecnologico consiste nell’attuare un piano di intervento volto a sanare le non conformità: una consulenza dedicata è consigliata per implementare le procedure necessarie e le soluzioni tecnologiche più adatte, affiancando l’azienda in tutte le attività necessarie all’allineamento dell’organizzazione al regolamento.