Considerazioni spare sul nuovo regolamento della Privacy
Il 25 maggio 2018 scadono i termini per l'adeguamento per tutte le Attività Europee al nuovo Regolamento (UE) 2016/679 relativo alla Privacy, noto come GDPR (General Data Protection Regulation - Regolamento Generale sulla Protezione dei Dati ); Per la pessima abitudine italiana di tradurre anche gli acronimi a volte potete trovarlo anche come RGPD oltre che GDPR.
Precisiamo una cosa: dal 25 maggio 2018 non è che entra in vigore il nuovo regolamento, ma è il termine ultimo entro il quale occorre essere adeguati. Il regolamento è infatti entrato in vigore il 25 maggio 2016, per cui abbiamo avuto ben due anni di tempo per l'adeguamento. Purtroppo, come spesso capita, si fa tutto all'ultimo momento, non solo le aziende interessate, ma questa volta anche dall'ufficio del Garante della Privacy Italiano, il quale ha rilasciato solo pochi giorni fa delle linee guida importanti per la corretta applicazione del regolamento. Questa attesa ha portato moltissime aziende ad aspettare gli ultimo giorni non solo per fare l'adeguamento, ma anche e sopratutto per capire cosa occorreva fare.
C'è molta confusione in merito e seguendo vari discorsi, specie sul Web e sui Social, da come parlano alcune persone, sembra che l'adeguamento riguardi solo chi ha un sito Web. Le cose NON stanno così... Si devono adeguare tutte le attività che trattano dati delle persone fisiche (o comunque a loro riconducibili), quindi Professionisti, Ditte Individuali e Società che trattano dati di Clienti (anche potenziali), Fornitori e Dipendenti. Non solo: un B&B, quindi un privato, che affitta le camere, dato che tratta dati di clienti, anche senza sito web, deve comunque adeguarsi. Ugualmente un privato con un sito web amatoriale, nel quale c'è un form di contatto o la possibilità di registrarsi per, ad esempio commentare o scrivere su un forum, si deve adeguare al GDPR.
Altra cosa importante: il regolamento riguarda tutte le Aziende Europee, ma anche quelle extra-europee che trattano dati di cittadini Europei (es. Google, Facebook, Amazon etc).
Cosa succede se una azienda non si adegua? Semplice, viene multata e la multa sarà proporzionale all'infrazione e al suo fatturato. Non si capiscono bene ancora come verranno fatti i calcoli delle sanzioni, ma si sa che come limite massimo è stato fissato il massimo fra 20 milioni di euro e il 4% del fatturato internazionale dell'anno precedente o, se superiore, dell'anno in corso.
Rispetto alla legge precedente, in Italia recepita con il Dlg. 196/2003, sono cambiate molte cose, ma chi era adeguato con la vecchia legge, non farà fatica ad adeguarsi al nuovo regolamento. In particolare cambiano alcuni concetti base. Se prima c'erano le misure minime di sicurezza, ora ci sono le misure adeguate, lasciando però al titolare del trattamento decidere quali sono.
Sono cambiati i nomi di alcune figure, altre sono sparite e introdotta una nuova "famigerata" figura: il DPO/RPD (Data Processor Office ovvero il Responsabile della Protezione dei Dati), che però non tutte le Aziende sono obbligate a nominare. Vediamo in dettaglio:
- Titolare del Trattamento, cioè la persona fisica o giuridica che tratta i dati acquisiti dall'azienda;
- Responsabile del Trattamento, la persona fisica o giuridica che tratta i dati per conto del titolare del trattamento;
- Responsabile della Protezione dei Dati (DPO/RPD), un professionista con specifiche conoscenze della normativa che aiuta e indirizza il Titolare del Trattamento nella corretta gestione dei dati (sorvegliare il trattamento, suggerire miglioramenti, coordinare le operazioni in caso di data breach). E' obbligatorio per gli enti pubblici e per le aziende private che trattano dati "particolari" (sensibili) a rischio e in "grande scala" o Giudiziari;
- Personale Autorizzato, tutte le persone fisiche che sono autorizzate a trattare i dati (con la 196/2003 si chiamavano "incaricati");
- Interessato, la persona fisica, giuridica a cui sono state richieste le informazioni, ovvero il proprietario di quei dati, colui a cui si riferiscono.
Altra modifica presente la nuova legge è come vengono definiti i dati. Con la vecchia 196/2003 quelli che chiamavamo dati sensibili oggi con il GDPR si chiamano dati particolari. Dato che c'è molta confusione, tengo a precisare che i dati particolari (o sensibili... non mi piace proprio "particolare" non è adeguato) sono quelli che permettono di individuare la razza o l'etnia di una persona, le opinioni politiche le convinzioni religione o filosofiche, l'appartenenza sindacale, tracciare i dati genetici, biometrici intesi ad identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o l'orientamento sessuale. Come per la precedente legge riguardo i dati sensibili, i dati particolari possono essere trattati esclusivamente dietro consenso esplicito.
Per i dati personali comuni invece, se ad esempio c'è un obbligo di legge come per la fatturazione, non serve il consenso esplicito. Ma se voglio i dati di un cliente o potenziale tale, per inviare una proposta commerciale, devo richiedere il consenso. Esiste inoltre un altro principio, quello di minimizzare i dati richiesti. Per poter fare una fattura ad un cliente, non mi serve sapere null'altro di più per poterla effettuare, oltre ovviamente a quelli di contatto (email e telefono). Dati come il reddito, numero di figlii etc, spesso richiesti per fini statistici, NON devono essere obbligatorio ma facoltativi.
Ma quali sono i principali adempimenti? Il GDPR parla di "Privacy by Design" che è la vera e proprio rivoluzione introdotto dal nuovo regolamento. Ovvero il trattamento deve essere progettato o, se necessario, "riprogettato" in modo da tutelare la privacy. Per spiegarlo in modo semplice si può dire che il Titolare del Trattamento, prima di effettuare quel trattamento, deve assicurarsi che il rischio per quei dati sia basso. Questo si ottiene adottando comportamenti virtuosi, applicando misure di sicurezza adeguate. Come questo debba essere fatto però il regolamento non lo dice per cui le procedure tecniche ed organizzative adottate devono essere una scelta del Titolare del Trattamento.
Un'altra novità è il concetto di "Privacy by Default" che impone di trattare, per ogni finalità solo i dati necessari per quel trattamento. Non solo obbliga a dichiarare il tempo di conservazione dei dati che si raccolgono. Se ad esempio ho dei dati di fatturazione, questi vanno conservati per legge per 10 anni. Se ho un elenco di email per una newsletter, questi andranno conservati per un periodo inferiore. Questo è un concetto abbastanza nuovo e certamente di difficile applicazione. Spesso ci ritroviamo nella nostra rubrica della posta, indirizzi email o nel telefono numeri di vecchi clienti. Ma pensiamo anche alle comunicazioni via email con clienti... pensare di dover cancellare quelle più vecchie magari importanti, dove si confermava un lavoro, una procedura, delle impostazioni e poter dire "guarda ti ho inviato questa comunicazione in tal data dove dicevo questo e quest'altro". Ora dovremmo essere più "fiscali" e mettere ogni singola cosa in un contratto, anche quello che prima si diceva a voce. E si... poi avremo il problema della conservazione dei contratti, dei rapporti di lavoro etc.
Fra le altre cose da fare, e certamente NON meno importante, per l'adeguamento al GDPR è Aggiornare l'Informativa (o scriverla se non era stata fatta prima), cioè quel documento con cui si informano clienti, fornitori, dipendenti e autorità come vengono trattati i dati. Non è una novità dato che esisteva già con la vecchio 196/2003, ma mentre prima si poteva "scopiazzare" più o meno tranquillamente, questa volta l'informativa per il GDPR va "cucita" intorno alla realtà dell'Azienda.
L'adeguamento è un percorso che occorre fare analizzando molti aspetti e cercando di interpretare la normativa che lascia ampio margine (es. le "misure adeguate") ma poco scampo in caso di errori (multe molto salate oltre all'incombenza di dimostrare di aver usato le "misure adeguate"). Infatti se prima una misura (minima) adeguata poteva essere l'uso della password con un certo numero di caratteri, lettere minuscole e maiuscole e numeri, ora potrebbe non bastare più se, chi farà i controlli, dirà che quella misura non era sufficiente. In un certo senso questo è vero... basti pensare che per aggirare una password, basta staccare il disco oppure avviare il sistema con una PenDrive linux... e da li accedere a tutti i dati. Quale potrebbe essere quindi "una misura adeguata"? Molti parlano di crittografica cosa vera ma, in molti casi, potrebbe essere una misura eccessiva o troppo costosa. La realtà è che a molti utenti sta stretta la password, per non parlare di fare un backup regolare dei dati. Figuriamoci il dover implementare un sistema di criptazione dei Computer. Nelle aziende poi spesso hanno computer vecchi e questa implementazione comporterò solo un rallentamento.