Il Regolamento UE privacy n. 2016/ 679 (siglato RGPD o GDPR) è in vigore.
Il 25 maggio 2018 è diventato operativo al 100%. Il nuovo regolamento prevede un’unica serie di norme direttamente applicabili in tutti gli stati dell’Unione.
Saranno necessari ancora notevoli adeguamenti per determinati aspetti, come la modifica delle leggi esistenti da parte degli stati nazionali o l’istituzione del Comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati.
In Italia sono in corso d’opera i decreti legislativi attuativi dell’articolo 13 della legge 163/ 2013 e i provvedimenti del Garante previsti dai commi da 1021 a 1024 della legge 205/ 2017 (legge bilancio per il 2018).
Il Regolamento UE 2016/ 679 manderà in soffitta la vecchia privacy (anche se non tutto il codice della privacy) e impone alle imprese di adeguarsi (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e degli archivi).
Ci saranno effetti sulla conduzione corrente delle imprese e sulla vita quotidiana delle persone. A ricordarlo è stata la Commissione europea, che ha fornito una serie di esempi pratici.
Partiamo da casi sviluppati dal lato dell’interessato, cioè del soggetto cui si riferiscono i dati personali.
Alcuni esempi per vedere in concreto come si applica un istituto del Regolamento Ue 2016/ 679.
Società paghe/ responsabile esterno
Un’azienda ha molti dipendenti. L’impresa sottoscrive un contratto con una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagati gli stipendi, quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l’elaborazione del listino paga e per il pagamento. La società di servizi fornisce il sistema informatico e conserva i dati dei dipendenti. L’azienda è il titolare del trattamento e la società di paghe è responsabile del trattamento.
Cloud/ responsabile del trattamento
Una società di vendita al dettaglio decide di conservare una copia dell’archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati. Il cloud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.
Dpo (responsabile della protezione dei dati, siglabile anche RPD)
Il DPO è obbligatorio per: un ospedale che tratta una gran quantità di dati sensibili una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici una piccola società che si occupa di selezione del personale che profila I candidati
Il DPO non è obbligatorio per: singolo medico che tratta i dati dei propri clienti piccolo studio legale.
Clienti/ legittimo interesse
Un’impresa ha un legittimo interesse (trattamento dei dati senza consenso dell’interessato) quando il trattamento avviene nell’ambito della relazione con un cliente, nel caso di marketing diretto e anche per la prevenzione di frodi e per assicurare la sicurezza della rete e del Sistema informatico.
Newsletter on line/ revoca consenso
Una società diffonde una newsletter on line. I clienti danno il consenso autorizzando al trattamento dei dati relativi ai loro interessi così da permettere l’elaborazione di un profilo delle preferenze di lettura. In corso d’anno gli interessati informano che non vogliono più ricevere la newsletter e la società deve cancellare tutti i dati raccolti nell’ambito della sottoscrizione della newsletter, compresi i profili riferiti al singolo interessato.
Le tappe dell’avvicinamento al GDPR
Il processo di allineamento al Regolamento Generale sulla Protezione dei Dati (RGPD) comporta la pianificazione di una serie di attività amministrative ed informatiche, che, in sintesi, toccano le seguenti tappe:
- analisi dell’esistente;
- comparazione dell’esistente con lo standard normativo;
- programmazione azioni di adeguamento;
- realizzazione delle azioni di adeguamento;
- controllo della correttezza/ efficacia/ efficienza delle azioni realizzate.
Per avviare un processo di adeguamento al RGPD ci sono due aspetti da considerare che non sono ne tecnici ne giuridici ma riguardano i comportamenti dell’azienda.
Bisogna acquisire la capacità di decodificare il linguaggio astratto della normativa europea.
Dal piano astratto della norma si deve passare al piano concreto dell’operatività aziendale. Facciamo alcuni esempi.
Minimizzazione dei dati (privacy by default) significa realizzare economie nella raccolta e conservazione dei dati, cioè ottimizzare i processi.
Nomina del responsabile esterno del trattamento significa regolare con apposite clausole il livello di responsabilità.
Acquisire il consenso / avere la base giuridica del trattamento è l’antecedente immediato della corretta relazione contrattuale con il cliente, e così via.
La privacy non è solo sicurezza informatica ma è lo studio della scelte e delle politiche dell’ impresa.
Compiendo le scelte di impresa si sta già realizzando protezione dei dati.
Si consideri che il concetto appena espresso non è altro se non un diverso modo di descrivere la stessa decodifica del linguaggio normativo. Qual è l’obiettivo di impresa? Chi sono i miei potenziali clienti? Quali strategie per acquisire il cliente e per fidelizzarlo? Quali sono le misure per proteggere i beni aziendali, materiali e immateriali? Come valorizzare il personale dipendente?
La risposta “d’impresa” a queste domande su può esprimere con altrettanti concetti della normativa sulla protezione dei dati e, quindi, rispettivamente: finalità del trattamento; tutela degli interessati; liceità del trattamento; sicurezza del trattamento e dei dati; autorizzazione al trattamento.
La risposta d’impresa è, in conclusione, già un buon pezzo di conformità privacy.
Le mie Fonti:
https://www.garanteprivacy.it/il-testo-del-regolamento
https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection_it
La riforma della privacy: Guida pratica per l’applicazione del nuovo regolamento europeo (Gdpr) (Italian Edition) Class Editori.