GDPR, cosa comporta per le aziende

Regolamento GDPR, Security2 Commenti

GDPR-cosa-comporta-per-le-aziuende-OpenSymbol
Tempo di lettura: 8 minuti

CRM a prova di GDPR

Se ti sei perso il primo post in tema GDPR, clicca qui. Abbiamo fatto una panoramica generale sul nuovo Regolamento europeo dedicato alla Privacy, per capire che cos’è, gli obiettivi che intende perseguire e quali sono i diritti e le responsabilità principali derivanti da esso. Qui invece, ci siamo chiesti quali aziende devono sottostare alle norme del Regolamento.
La domanda alla quale vogliamo rispondere oggi è:

Cosa comporta il GDPR per le aziende che trattano dati personali?

Ci sono buone probabilità che tu ti sia posto la stessa domanda, non è vero?
Dal punto di vista delle imprese, purtroppo c’è ancora troppa disinformazione in tema GDPR. Una ricerca di VansonBourne condotta a settembre 2017, per conto di WatchGuard Technologies, ha intervistato un campione di più di 1600 aziende in tutto il mondo e ha evidenziato risultati che parlano da sè:

IL
0%
NON SA SE LA PROPRIA AZIENDA DEBBA O MENO SODDISFARE I CRITERI DI CONFORMITÀ DEL GDPR
il
0%
CREDE CHE LE NORME DEL GDPR NON RIGUARDINO IL LORO CASO SPECIFICO
Il GDPR però parla chiaro.
Se la tua azienda tratta dati personali di cittadini europei, a prescindere da dove abbia sede, allora devi rispettare ciò indicato nel Regolamento, pena sanzioni molto, molto pesanti.

In ambito GDPR le aziende vestono principalmente i panni di Titolari – chi controlla, prende le decisioni sulle finalità e modalità del trattamento – e/o di Responsabili – chi opera e gestisce i dati personali – del Trattamento.

Se lavori in un’azienda B2B e pensi che l’adeguamento riguardi solo le aziende B2C, ti stai sbagliando.
Facciamo un esempio.
Noi di OpenSymbol vestiamo sia i panni di Titolari che di Responsabili del trattamento.
Siamo Titolari poiché trattiamo i dati personali dei nostri dipendenti, per fini contrattuali, ma siamo anche Responsabili, visto che trattiamo dati personali per conto dei nostri clienti (che quindi vestono i panni di Titolari).
Perciò, anche il solo fatto di gestire i dati personali dei propri dipendenti costituisce attività di trattamento per un’azienda.

L’ideale rivoluzionario su cui si basa il GDPR è riassumibile nel concetto di accountability.
Di che cosa si tratta? È la responsabilità del Titolare del trattamento di garantire e dimostrare la protezione del dato personale, oggetto di trattamento.
Pertanto, il Titolare deve compiere tutta una serie di step, che vediamo di seguito, per agire secondo le norme del GDPR e più in generale per assicurare e dimostrare che i dati personali vengano gestiti in totale sicurezza e trasparenza.

Cosa comporta il GDPR per le aziende?
Informativa
DPIA- Valutazione Rischio
Registro Trattamenti
DPO – Data Protection Officer (*in casi specifici)
In caso di violazione?

PAROLA D’ORDINE: INFORMARE

Immaginate che una persona (che magari non conoscete neanche tanto bene) vi chieda di prendere in prestito una cosa alla quale tenete particolarmente, personale. È abbastanza scontato aspettarsi di sapere per lo meno per quanto tempo la/o vorrà in prestito e soprattutto quale uso vorrà farne.

I Titolari devono informare l’Interessato di ciò che intendono fare con i suoi dati personali. E lo devono fare in modo chiaro, attraverso l’Informativa.
Questa, da recapitare via scritta per mezzi elettronici o anche per via orale (in casi speciali), dovrà essere di facile comprensione, esaustiva e dovrà specificare una serie di informazioni quali la provenienza dei dati personali in caso di utilizzo, i tempi di conservazione degli stessi, gli scopi del trattamento, etc.

Avere l’obbligo di dare questo tipo di comunicazione non è un processo introdotto dal GDPR, ma il Regolamento in questione ha comportato comunque delle novità sul tema.
Oltre alla tipologia di Informativa “estesa” sarà possibile allegare all’Interessato una versione più breve, per agevolare la comunicazione di ciò che intendiamo fare con i suoi dati, secondo quali modalità e perchè.
Stop alle pagine infinite di termini e condizioni incomprensibili che spesso accettiamo o firmiamo senza leggere (lo sappiamo che lo fai anche tu).
Per procedere con il trattamento, l’Interessato dovrà approvare l’Informativa tramite un consenso, una dichiarazione o un’azione positiva inequivocabile.

E ricorda: tutto ciò che scrivi nell’Informativa devi essere in grado di farlo!

FAI COME 007

Pensi che oggi avremmo più di 20 film sull’agente 007 se James Bond non avesse avuto sempre un piano B, nel caso qualcosa potesse andare storto? (e diciamocelo, succedeva sempre così)
In ogni film d’azione che si rispetti, il protagonista ha sempre un piano B, così da essere pronto ad affrontare eventuali imprevisti, rischi o difficoltà lungo il percorso.

Anche secondo il GDPR dobbiamo sempre avere un piano B, o meglio, dobbiamo valutare e prevedere TUTTI i rischi che comporta l’attività di trattamento dei dati e una corretta gestione degli stessi.
Di quale strumento possiamo avvalerci? Della valutazione del rischio (detta anche Data Protection Impact Assessment – DPIA).
I Titolari del trattamento dovranno realizzare una vera e propria valutazione dei rischi generati nell’intero processo di trattamento dei dati, a partire dalle fasi di progettazione.

Prevedendo un controllo annuale di tutti gli interventi, il processo di valutazione avverrà in 3 fasi principali: analisi dei rischi, definizione dei gap rispetto alla corretta gestione dei rischi (gap list) e definizione di un action plan per intervenire.

IMPARIAMO DALLE STORIE

Pinocchio, al lupo al lupo…qual è una delle morali più ricorrenti delle storie che tutti noi abbiamo ascoltato almeno una volta? Le bugie hanno le gambe corte. In altre parole, sii trasparente.

Nell’assicurare la trasparenza circa il trattamento dei dati, un altro obbligo introdotto dal GDPR è quello di istituire un Registro del Trattamento, sia per i Titolari che per i Responsabili (qualora siano due organizzazioni distinte).

Cosa dobbiamo indicare nel Registro?

  • Il nome e i dati di contatto del Titolare del trattamento e, se presente, del Contitolare del trattamento, del Rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di Interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.


Il Registro del Trattamento non è obbligatorio per le imprese con meno di 250 dipendenti, salvo che il trattamento presenti un rischio per i diritti e le libertà dell’Interessato, non sia occasionale o includa la gestione di categorie particolari di dati (o dati personali relativi a condanne penali e a reati).
Nonostante queste clausole, il Garante ha invitato tutti i Titolari e i Responsabili a dotarsi del Registro, a prescindere dalle dimensioni dell’organizzazione.

DEVI NOMINARE IL DPO?

DPO non è solo l’ennesima sigla introdotta dal GDPR ma anche una delle novità più eclatanti (e in certi casi, più indispensabile) della normativa.

Il Data Protection Officer è la risorsa interna, o esterna, interamente responsabile della protezione dei dati personali.

Le sue funzioni principali:

  • MONITORARE lo stato di adeguamento e la protezione di dati personali;
  • CONSIGLIARE in riferimento alle misure obbligatorie previste dal GDPR;
  • CONTROLLARE che il Titolare o Responsabile effettuino la valutazione dei rischi;
  • CONTROLLARE la documentazione ed eventualmente notificare i casi di violazione;
  • PORSI COME INTERMEDIARIO tra le autorità di controllo e l’azienda.


Si tratta di una figura obbligatoria se si verificano 3 circostanze principali:
– Il trattamento viene effettuato da parte di un’autorità pubblica;
– Il trattamento riguarda dati sensibili e giudiziari;
– Il trattamento riguarda un grande quantitativo di dati personali.

I suoi punti di forza? Sicuramente professionalità e competenza. Quelli di debolezza? Beh, potrebbe rendervi la vita veramente difficile se pensate di non adeguarvi alle norme del GDPR, non avete scampo.

VIOLAZIONE FA RIMA CON..

SANZIONE. Se violiamo i dati personali andiamo incontro a multe belle salate.

Quando violiamo i dati personali secondo il GDPR?
La violazione, o data breach, si verifica non solo quando i dati personali vengono resi accessibili e divulgati senza autorizzazione, ma anche quando vengono distrutti, persi o modificati.

Se dovessi trovarti nella situazione di dover gestire un data breach due sono le cose principali che è necessario fare:
– Entro 72 ore dovrai notificare all’Autorità di controllo la violazione dei dati personali della quale sei venuto a conoscenza;
– Dovrai informare anche l’Interessato dei dati coinvolti nella violazione, senza un ritardo ingiustificato;

Specifichiamo subito che non si tratta di due step obbligatori, ma è bene procedere qualora tu ritenga che dalla violazione derivino rischi per i diritti e le libertà degli Interessati. Inoltre, anche se non riterrai la situazione così allarmante, in ogni caso dovrai documentare le violazioni subite.

E le sanzioni?
Se non rispetti ciò indicato nel GDPR potrai subire sanzioni amministrative fino a 20.000.000€, o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (la sanzione riguarda l’intera holding/gruppo), se superiore.

Non è finita qui. Le autorità di controllo possono imporre limiti, o addirittura vietare un trattamento; questa decisione in certi casi può comportare conseguenze economiche ben più gravi per un’azienda rispetto alle sanzioni sopra citate.

UOMO AVVISATO, MEZZO SALVATO!

Come avrai capito, il GDPR porterà dei cambiamenti significativi nelle dinamiche di trattamento dei dati personali all’interno di un’azienda, perciò stare al passo sarà un requisito necessario!
Se ti sei reso conto di trattare dati personali comincia con il capire che tipo di dati sono in tuo possesso, dove sono archiviati e quale utilizzo ne stai facendo.

GDPR


QUALCHE RISORSA UTILE:

Testo del Regolamento completo

Pagina del Garante Privacy

Disclaimer: Il contenuto di questo post vuole creare consapevolezza su determinati aspetti del GDPR. Non è offerto come consulenza legale su questioni specifiche e non deve essere considerato in quanto tale.

2 Comments on “GDPR, cosa comporta per le aziende”

    1. Buongiorno Mauro,

      ahimè anche nome.cognome@azienda.it è da considerarsi un dato personale.

      Secondo il regolamento (Art. 4 par. 1), un dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

      Pertanto anche l’email aziendale ricade in questo sottoinsieme.

      Chiaramente questo va calato dal punto di vista della valutazione d’impatto sulla protezione dei dati personali (Art. 35) per una determinazione di rischiosità a mio modo di vedere bassa.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *