Ormai è di uso comune recepire che per "GDPR" ("General Data Protection Regulation") si intende il nuovo Regolamento Europeo n.679/2016 in materia di protezione dei dati personali, entrato in vigore in tutti i Paesi dell'Unione Europea lo scorso 25 maggio 2018, introducendo importantissime novità per cittadini e imprese, con l'obiettivo dichiarato di elevare il livello di protezione dei dati, rafforzare la fiducia dei cittadini e sostenere la crescita dell'economia digitale.
Il GDPR riguarda tutte le imprese a livello globale che processano i dati dei cittadini della Ue, allargando la portata della definizione di dato personale rispetto alle norme sulla privacy esistenti. Altro punto chiave è la raccolta e la gestione del consenso, che dovrà essere raccolto in maniera chiara ed espressa, pertanto non si accetta più la regola del silenzio-assenso. A tal proposito, il consenso sarà valido se manifestato in modo non equivoco attraverso comportamenti concludenti positivi. Per i contratti scritti deve quindi essere esplicitato con una casella barrata o con la firma di un modulo, mentre per le attività web vale se deriva da un'azione particolare compiuta dall'utente, a cui far corrispondere l'accettazione di una clausola.
Il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo compresi, per la prima volta, i dati genetici, mentali, culturali ed economici o sociali. Si possono distinguere tre macro aree di tipologie di dati personali, e sono:
- I dati identificativi: quelli che permettono l'identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
- I dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
- I dati giudiziari: quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o lo stato di imputato o di indagato.
Il GDPR ha introdotto, oltre al concetto di trattamenti dei dati personali, per tutte le società, pur quanto piccole che siano, tre nuove figure: il Titolare, il Responsabile ed l'Incaricato dei trattamenti.
- Il Titolare dei trattamenti viene indentificato, nelle società medio-piccole, con la figura dell'Amministratore della società, colui il quale detiene la legale rappresentanza.
- Il Responsabile dei trattamenti, invece, è la figura esterna alla società (consulente fiscale, consulente del lavoro, avvocato, ecc), nominata dal Titolare, il cui compito principale è andare ad attuare tutti gli adempimenti previsti dalla normativa, finalizzando l'utilizzo dei dati a seconda della tipologia di lavoro svolto.
- L'Incaricato, di solito figura interna alla società, che svolgendo le proprie mansioni lavorative abituali, utilizza dati di persone fisiche.
Fatta tale doverosa premessa, bisogna puntare molta attenzione al fatto che tutto il regolamento si fonda sul principio della "Accountability"
In base a tale principio (tradotto in italiano con il termine "responsabilizzazione"), il titolare del trattamento deve mettere in atto tutte le misure tecniche e organizzative necessarie per assicurare, ed essere in grado di dimostrare, che la raccolta e l'utilizzo dei dati siano conformi alle nuove regole. Il Regolamento non fornisce indicazioni precise su quali siano le misure pratiche da adottare: l'approccio dovrà essere valutato caso per caso, tenendo in considerazione la natura, l'ambito di applicazione, il contesto e le finalità del trattamento.
La prima operazione che il titolare dei trattamenti deve effettuare è la predisposizione di un "Registro dei Trattamenti", in cui andare a mappare il flusso di dati in capo al titolare ed al responsabile del trattamento. Tale documento è obbligatorio per le imprese con più di 250 dipendenti o nei casi in cui si effettuano trattamenti non occasionali di dati particolari o che potrebbero provocare rischi per i diritti e le libertà degli interessati. Il Registro, dovrà (almeno) contenere le informazioni elencate dall'articolo 30 del Regolamento, così riassumibili:
- Chi esegue il trattamento dei dati personali
- Quali dati personali vengono raccolti
- Per quale finalità
- A chi verranno comunicati tali dati, e con quali garanzie di sicurezza
- Per quanto tempo i dati verranno conservati
- Quali sono le misure di sicurezza tecniche ed organizzative adottate
La seconda tappa fondamentale è la "Valutazione dei Rischi" (Data Protection Impact Assessment). Tale aspetto è forse l'operazione più importante da effettuare per rispondere al principio di Accountability. La valutazione del rischio conseguente a un ipotetico data breach rappresenta un elemento fondamentale per la corretta gestione di tutto il ciclo del trattamento, fin dalla predisposizione dei mezzi utili al trattamento stesso. Per questo, in particolari casi quali la sorveglianza sistematica su larga scala, il trattamento di particolari tipologie di dati o nel caso di profilazione ad alto rischio, il Regolamento prescrive una valutazione preventiva e sistematica delle finalità e della necessità del trattamento.
Se l'esame delle possibili fonti di rischio non è stato sufficiente ad evitare il verificarsi di una violazione dei dati personali, il titolare del trattamento ha il dovere di comunicare la violazione all'autorità di controllo (il Garante della privacy nazionale) entro 72 ore dal momento in cui ne è venuto a conoscenza. Nel caso in cui la stessa violazione costituisca un pericolo per le libertà e i diritti degli interessati, anche ad essi dovrà essere fornita adeguata comunicazione.
In conclusione, è facile per le piccole aziende vedere il GDPR come un peso. Ma in realtà, è qualcosa che può essere utilizzato a tuo vantaggio, aggiungendo valore alla tua attività. Dimostrando ai potenziali ed esistenti clienti che la tua organizzazione è conforme alle nuove leggi che proteggono i diritti dei cittadini proprio come te (e i tuoi clienti), potresti portare più affari. A nessuno piace che i propri dati vengano persi, rubati, danneggiati, utilizzati in modo improprio o condivisi senza il dovuto consenso, e fare tutto il possibile per proteggere i clienti e far crescere la loro fiducia potrebbe essere un punto di forza unico.