Il rischio d'impresa: pronto per il GDPR? Parte II

Il rischio d'impresa: pronto per il GDPR? Parte II

Mio caro imprenditore, come ti avevo promesso nella prima parte dell’articolo relativo al rischio d’impresa di qualche settimana fa, eccomi pronto a ritornare sull’argomento, in particolare per approfondirne un aspetto: quello legato all’entrata in vigore il prossimo 25 Maggio dell’ormai famoso e considerato quasi “spaventoso” GDPR, ovvero il General Data Protection Regulation ! Il nuovo Regolamento UE al quale si farà riferimento a livello legislativo, per quanto concerne la tutela dei dati personali che gestisci quotidianamente : da quelli dei tuoi fornitori a quelli dei tuoi dipendenti e clienti.

E’ sì, ormai ci siamo, il count down è agli sgoccioli e tu, sei pronto? Se non lo sei, è bene che corri subito ai ripari e, mi raccomando, non pensare all’italiana “Io non ho tempo, non posso, ma sì sono le solite scemenze,tanto non mi succede nulla, e poi ci saranno sicuramente altre proroghe”, e così via! Perché, mi spiace dirtelo, ma non sarà per niente così, e la questione è molto seria, soprattutto dopo l’ennesimo scandalo tecnologico, che ha visti come protagonisti Facebook e Cambridge Analytica.

Prima di procedere con la lettura di questo articolo, ti chiedo come sempre di ricordarti la condivisione sulle pagine social che preferisci, potrebbe essere utile anche ad altri!

Grazie in anticipo! 😉

Purtroppo, dati alla mano, le aziende, in particolare le PMI come può essere la tua o quella di un tuo collega imprenditore come te, sono in grave ritardo su tale adeguamento normativo.

Questo, è doveroso dirlo, soprattutto per una questione di costi che, a livello tecnologico e organizzativo, tale adeguamento comporta.

Dati ISTAT alla mano, ben il 63% delle piccole e medie aziende ( in particolare collocate al centro e al sud Italia) si estranea alla digitalizzazione in generale; il 32% arriva ad attivarsi in tal senso in base alle proprie disponibilità economiche , mentre il restante 5% si digitalizza ad alto livello, soprattutto se “giocano in casa”, cioè operano nel settore appunto delle nuove tecnologie.

In quel 32% delle PMI coinvolte, buona parte ha scelto, per proteggere i propri dati, l’utilizzo del cloud ma questo, con l’entrata in vigore del nuovo Regolamento Europeo, non è purtroppo più sufficiente.

Questo perché, come ti avevo già accennato nella prima parte del precedente articolo, i punti che il GDPRandrà a toccare sono più diretti e precisi.

Ma perché, ti starai chiedendo, si è reso necessario attuare un Regolamento che uniformi i paesi della Comunità Europea al trattamento dei dati personali? Per quale motivo le leggi sulla privacy già esistenti, ma non uguali all’interno della UE, non bastano più?

Lo scandalo Cambridge Analytica è stata solo la goccia che ha fatto traboccare il vaso di un problema che comunque, proprio grazie o a causa dipende dai punti di vista, della rapidissima evoluzione tecnologica entro la quale ci troviamo a vivere quotidianamente avremmo dovuto affrontare, perché riguarda te, me, ogni individuo sulla faccia della terra.

Infatti il Regolamento non coinvolge solo i privati, ma anche e soprattutto gli enti pubblici che, nonostante gli iter burocratici e le norme di sicurezza presenti, non sono tuttavia sufficienti e preparati a tutelare i dati che riguardano  le persone. Così facendo si vuole far aumentare la consapevolezza dell’importanza e del valore che hanno i dati personali e la loro protezione.

Ciò che adesso conta con l’ingresso del GDPR è che, a livello legislativo ora siamo tutti uguali; cioè che sia un imprenditore francese che spagnolo, non importa di quale paese della Comunità Europea sia appartenente, dovrà salvaguardare i dati sensibili nello stesso modo in cui lo fai tu. Se non dovesse farlo, ne pagherà le conseguenze in ugual misura alla tua se dovessi fare altrettanto.

Ma c’è di più: l’articolo 3,comma 2 del Regolamento, attento perché questa è una delle novità importanti che uniscono tutti i paesi sotto la medesima legislatura, sancisce che l’applicabilità del diritto europeo alla protezione dei dati personali è attuabile anche a chi non è membro UE, ma ha un’azienda in uno dei paesi membri. Per tanto l’imprenditore proprietario di una società, ad esempio giapponese ma con sede operativa in Italia, dovrà adeguarsi al GDPR anche se i dati vengono trattati fuori dall’Italia o dai paesi membri. Ecco quindi che gli interessati, vale a dire i soggetti i cui dati vngono trattati, e che sono cittadini nei paesi dell’Unione Europea e ricevono da tali società beni o servizi, a maggior ragione dovranno essere tutelati dal GDPR, anche se, ripeto, il titolare dell’aziende non risiede in all’interno dei confini della UE.

Ecco le parole e gli argomenti chiave del nuovo Regolamento UE 2016/679! Ricordati che tale Regolamentodal 25 maggio c.a. andrà ad abrogare e si sostituirà in modo automatico alla “vecchia” Direttiva 95/46/Ce sulla legge sulla privacy. Per tanto la parte generale del Codice della Privacy viene totalmente abrogata, mentre quelle restanti e compatibili sono state trasportate nel nuovo decreto.

Per quanto riguarda l’accountability, si tratta di responsabilizzazione nel trattamento dei dati delle persone, ecco il perché della necessità di modificare e uniformare, non dimenticarlo, le leggi sulla privacy ormai un po’ “vecchiette”, dato che risalgono a circa 20 anni fa, e quindi anche obsolete e oramai inadatte in vista, appunto come anticipato all’inizio, dei rapidi sviluppi tecnologici.

Per tanto tu, o chi per te e a breve ti spiegherò meglio cosa intendo, che sei il titolare della tua azienda, sei anche il diretto responsabile dei dati e devi dimostrare di aver adottato le misure organizzative, tecniche e giuridiche che vengono richieste dal GDPR per proteggere tali dati.

Ed eccomi al punto dove puoi “delegare” la super visione delle procedure da applicare, attraverso la nomina di un vigilante o del DPO – Data Protection Officer. Questa figura da te nominata ( ma non obbligatoria, mi raccomando, puoi essere tu a fare il tutto se vuoi, ma non te lo consiglio) può essere sia interna alla tua azienda, che esterna ( ad esempio un consulente ). La persona ha il compito di verificare e sorvegliare te, imprenditore, o meglio tu che applichi tutto quanto il Regolamento in materia di privacy richieda. Il DPO è colui che s’interfaccia con il Garante qualora ce ne fosse la necessità, ti segue e ti aiuti nell’applicazione delle modalità richieste dal GDPR, e sia il riferimento per gli interessati che possano subire una violazione dei loro dati personali.

Un altro elemento o mezzo che dovrai adottare è il Registro dei Trattamenti , molto importante soprattutto per le tue attività di web marketing , in particolare per l’e-mail marketing . I registri sono 2: uno è il tuo e l’altro è della persona preposta alla raccolta e al trattamento dei dati. I registri contengono per tanto tutte le attività di trattamento dei dati che svolgi e che sono sotto la tua diretta responsabilità e di chi è responsabile di questo (ad esempio può esserlo anche il DPO, ma non necessariamente ).

I registri devono contenere solo i dati indispensabili e possono eventualmente essere consultati da, ad esempio, dai responsabili di ufficio o di reparto che necessitino di avere informazioni più specifiche su persone del proprio reparto o ufficio.

Il registro deve tenersi in forma scritta, deve essere aggiornato e revisionato periodicamente, ed essere esibito al Garante della Privacy ogni qual volta venga richiesto.

Il registro, o i registri è più corretto dire dato che sono appunto 2, in realtà sono obbligatori per le aziende dai 250 dipendenti in su.

Per tanto, tu che hai una PMI, in teoria potresti esserne diciamo “esonerato”. In realtà non è proprio così, in quanto dipende dall’attività che svolgi : se il modo in cui utilizzi i dati che richiedi non rappresenta un rischio per i diritti e la libertà degli interessati, o sia occasionale , o non comprenda categorie con dati particolari o con dati personali che riguardano eventuali condanne o pene, allora puoi anche non provvedere a tenere i registri, ma se così non fosse, per forza di cose dovrai adoperarti in tal senso. Già il fatto che tu possa avere un sito web, fare operazioni di e-mail marketing, o e-commercedigital PR, va da sé che devi necessariamente adottare i registri, in quanto non tratti certo i dati in modo occasionale!

Ora ti starai chiedendo “ Ma esattamente cosa dovrò dire loro di diverso rispetto a prima sul trattamento dei loro dati?” Domanda più che lecita: devi aggiornare l’informativa privacy indicando perché ti servono i dati che stai richiedendo e come li vuoi utilizzare. Perché la richiesta di alcuni dati è obbligatoria mentre di altri non lo è; devi indicare in modo chiaro tutti i tuoi riferimenti o estremi identificativi; i diritti che l’interessato ha e la base legale del trattamento come, ad esempio, esecuzione di un contratto che coinvolge anche l’interessato, oppure il consenso, e così via.

Devi anche fornire all’interessato i dati di contatto del tuo DPO se ce l’hai, oltre ai tuoi come detto poco fa; importante informare gli interessati se i dati possono essere trasferiti in Paesi esterni alla Comunità Europeae relative modalità. Deve essere chiaro per quanto tempo i dati verranno conservati e l’esistenza di un eventuale automatismo nel processo decisionale e su cosa si basa.

Come vedi, la materia oltre che di non facile approccio, è estremamente estesa, fino a coinvolgere molti aspetti del tuo fare impresa, a volte anche non così evidenti. Il mio suggerimento è quello di approfondirla al meglio anche rivolgendoti a personale esperto che possa formarti.

A questo ti collego al Privacy by Design che consiste nella pianificazione anticipata a livello informatico, quindi già dalla progettazione dei processi aziendali, in merito all’applicazione delle procedure sulla protezione del trattamento dei dati. Questo si rifà a quanto di ho detto sopra, cioè che si richiedono agli interessati solo i dati necessari. Ovviamente questo vale più per chi è in start up aziendale, per chi si avvia all’attività, che non per chi, forse come te, è già un imprenditore avviato e quindi deve adeguare i sistemi al nuovo Regolamento.

Ma passiamo ad un altro termine obsoleto che ti ho indicato il data breach o breach notification , che cos’è? Praticamente, quando in modo illecito o accidentale i dati che stai trattando vengono violati ( possono essere distrutti, modificati , divulgati senza autorizzazione, e così via). Nel caso in cui sfortunatamente questo dovesse capitarti ( spero di no),il responsabile del trattamento dei dati ha l’obbligo d’informarti immediatamente, dopo di che avrai 72 ore di tempo per informare il Garante sulla Privacy dell’accaduto. In caso di ritardo nella comunicazione, dovrai motivarlo. Se quanto verificato – cioè il data breach– dovesse rappresentare un pericolo fisico per gli interessati, questi ne dovranno essere informati direttamente. Ma solo in caso estremo, in quanto se sei stato in grado di tutelarti in modo preventivo nel caso di violazione , non devi informare nessuno. Come anche nel caso in cui hai scongiurato eventuali rischi elevati verso gli interessati, o ancora se il comunicare loro dell’accaduto dovesse richiedere un impiego enorme di risorse ( vedi Cambridge Analytica).

Ma adesso cosa mi succederà” ti starai chiedendo, domanda anche’essa lecita. I 2 anni di transizione per poterti adeguare al nuovo Regolamento pare non siano stati sufficienti né a te né ad altri tuoi colleghi. Forse , ma non è ancora ufficiale, vi sarà un po’ di tolleranza per i primi mesi, per chi ancora non è completamente a norma ( bada bene che scrivo “completamente” e non “per nulla”), e potrà portare a termine il procedimento di applicazione del GDPR. Ma solo nei confronti di coloro i quali hanno dimostrato di essere stati diligenti nel mettersi in regola.

In fondo questo non è l’ultimo cambiamento in materia, sicuramente tali procedure verranno presto ulteriormente adeguate, eh sì perché tanto più lo sviluppo tecnologico ed informatico cresce, di pari passo aumentano le esposizioni ai pericoli degli individui.

Non a caso molto presto verrà sostituita anche la direttiva 2002/58 che riguarda le nuove regole sulla privacy in merito alle comunicazioni elettroniche, la gestione dei cookie, e la disciplina del marketing digitale.

Anche le sanzioni si sono inasprite con il nuovo Regolamento: in caso di violazione degli obblighi quali di privacy by design e sicurezza da parte del titolare ( quindi tua) e del responsabile, la multa può raggiungere il tetto massimo dei 10 milioni di Euro oppure il 2% del fatturato mondiale totale annuo riguardante l’esercizio precedente se superiore; oppure può arrivare a 20 milioni di euro o al 4% del fatturato, sempre se superiore, nel caso di violazione dei principi base sulla protezione dei dati personali o dei diritti dell’interessato , ad esempio. ( Fonte da I Focus del Sole 24 ore)

Bene questo un po’ il riassunto di quanto ti aspetta ormai dietro l’angolo, per poterti destreggiare meglio ti lascio il link al sito Garante Privacy per un primo approccio maggiormente dettagliato alla materia.

Se desideri informazioni ulteriori contattami, sarò felice di risponderti! Puoi anche commentare qui sotto, per esprimere la tua opinione a riguardo.

Hai Dubbi o Domande?

Call

Sei un Imprenditore?

Hai mai pensato di effettuare una DIAGNOSI AZIENDALE®?

Clicca ora sul pulsante per ricevere maggiori informazioni e schedulare la tua sessione.

Categorie

Articoli Recenti

Hai Dubbi o Domande?

Call

Sei un Imprenditore?

Conosci il sistema che utilizzano le aziende per crescere velocemente?

Accedi ora GRATIS al WORKSHOP PMI SYSTEM

    Torna in alto