Il nuovo regolamento europeo sulla protezione dei dati, il GDPR, entrerà in vigore il 25 maggio 2018. Che impatto avrà sulla mia attività? MarkCom è una micro impresa e ha i tuoi stessi dubbi sull’applicazione di queste regole. In questo post ti spiego cos’è il GDPR e cosa sto facendo per adeguarmi.
L’impianto del nuovo regolamento europeo si basa su un approccio nuovo rispetto alla normativa italiana vigente. La rilevanza maggiore dell’adeguamento sarà, come vedremo, a livello dell’organizzazione aziendale.
Argomenti trattati in questo post
- Cos’è il GDPR
- Cos’è il principio di accountability
- Cos’è la privacy by design e la privacy by default
- Cosa cambia per le micro imprese
- Chi è il Titolare del trattamento dei dati personali
- Quali sono i dati personali da tutelare
- L’analisi dei rischi: quando effettuarla
- La nomina del Responsabile del trattamento esterno
- Il mio sito è conforme al GDPR?
- Il GDPR in 6 domande
- La notifica della violazione di dati personali (data breach)
- Il registro dei trattamenti: chi è tenuto a compilarlo
- Chi è il DPO e quando è obbligatorio nominarlo
- Le sanzioni per chi non rispetta il GDPR
- GDPR e l’impatto sulla tua attività
Sarà un’occasione per conoscere l’impatto della privacy sulle attività della propria azienda. In modo particolare per le micro imprese come la mia che, proprio per la loro dimensione, non possono permettersi di ignorare la normativa. Ma neanche subirne i costi eccessivi e, soprattutto, la burocrazia.
ATTENZIONE! Questo post contiene pareri basati sulla mia esperienza personale. Non fornisco indicazioni con valore legale. La materia è in continua evoluzione ed è consigliabile l’assistenza di un consulente esperto.
Cos’è il GDPR
Il GDPR è il regolamento per la protezione dei dati dell’Unione Europea, e definisce le nuove norme per la gestione e la protezione dei dati personali per i residenti nell’UE. Il GDPR entrerà in vigore il 25 maggio 2018. La documentazione ufficiale è disponibile sul sito Europa.eu.
Il General Data Protection Regulation introduce concetti che vale la pena analizzare perché cambiano il punto di vista verso la privacy e ispireranno la legislazione in futuro. Il cambiamento parte dalla premessa: l’utente è il centro della privacy. Un approccio pratico che mi convince e la burocrazia, almeno nelle premesse, è messa in secondo piano. Vediamo cosa succederà in fase di interpretazione e adeguamento.
Cos’è il principio di accountability
Il GPR introduce il principio di accountability che potrebbe essere sintetizzato in due parole: responsabilità e rendicontazione. Cosa significa per le imprese? Il titolare deve dimostrare di aver adottato tutte le misure tecniche, organizzative e giuridiche per proteggere i dati che sta trattando in relazione ai rischi.
È un cambio culturale che impone alle aziende di adottare un approccio di tutela dei dati e delle persone. Per fare questo l’azienda deve conoscere i rischi e valutare l’impatto privacy. Questo al fine di garantire la massima protezione e trasparenza.
Cos’è la privacy by design e la privacy by default
In base alle nuove impostazioni, l’utente è il centro della privacy. Pertanto ogni processo aziendale deve essere concepito e realizzato considerando la privacy come un’esigenza prioritaria. Gli esperti lo valutano come il cardine su cui ruoteranno le nuove leggi in materia di privacy.
Questo principio vale per le progettazioni strutturali, i sistemi informatici e le pratiche commerciali. L’approccio privacy by design non riguarda solo i nuovi progetti, ma può interessare anche quelli in essere. La valutazione attesta la volontà, per il progettista, di porre la privacy al centro delle sue idee.
Più in generale, ecco i principi su cui si basa il GDPR:
- centralità dell’utente: l’utente è il centro intorno al quale deve ruotare tutto il resto;
- privacy by design: la privacy deve essere incorporata nella progettazione;
- privacy by default: non posso raccogliere dati personali a meno che non dimostro che ciò è necessario;
- proattività: meglio prevenire che correggere;
- trasparenza: devo garantire la massima trasparenza possibile;
- massima funzionalità: devo garantire la tutela adeguata al rischio. Non basta lo sforzo minimo.
Emerge la volontà di andare oltre il minimo sindacale. Non ci sono elenchi di attività da spuntare per essere in regola. L’onere è a carico del titolare del trattamento che dovrà analizzare, valutare e definire le azioni per garantire la tutela dei dati in relazione ai rischi. E controllarne sempre la loro applicazione, migliorandole, ove possibile.
Cosa cambia per le micro imprese
Bene. Abbiamo visto fin qui i principi ispiratori del GDPR e il cambio di mentalità che viene richiesto alle aziende. Ma ora voglio andare nello specifico. Voglio affrontare il problema dal punto di vista delle micro imprese che, in Italia, sono tante. Cosa cambia per noi?
Anche la MarkCom è una micro impresa. Una piccola agenzia web che vuole garantire servizi ottimali ai propri clienti. Ed è questo il punto: non devo farlo per la normativa, lo devo fare perché è giusto. Come titolare d’impresa mi sono fatto una domanda, a prescindere dal GDPR. Una domanda di buon senso: “Faccio il massimo per tutelare i miei dati e quelli dei miei clienti?“.
Un interrogativo semplice quanto complessa. Come tutti i problemi articolati, per risolverli bisogna dividerli in più piccoli e affrontarli singolarmente. Con uno schema preciso che mi aiuti a mantenere la visione d’insieme.
Chi è il Titolare del trattamento dei dati personali
Data subject, Data controller, Data processor e Data protection officer (DPO). Queste sono le figure identificate dal GDPR. Quali di queste figure mi corrisponde, in termini di oneri e responsabilità?
Sono amministratore di MarkCom S.r.l. pertanto sono il Titolare del trattamento (Data controller) in quanto raccolgo e detengo i dati relativi alle Persone (Data subject) che interagiscono con la mia impresa (ovvero dipendenti e collaboratori, clienti e fornitori).
Ma sono anche Responsabile del trattamento esterno (Data processor) per i miei clienti che affidano a MarkCom i propri dati per la realizzazione dei siti.
E autorizzo degli Incaricati interni ed esterni (Data processor) che condividono con me la responsabilità a compiere determinate azioni sui dati.
Il Data Protection Officer (DPO) è responsabile che i dati siano trattati secondo le normative. È una figura che deve essere nominata in determinati casi che tratterò nei paragrafi seguenti. Il DPO non deve avere una certificazione specifica.
Quali sono i dati personali da tutelare
Cos’è un dato personale? È l’informazione che riguarda una persona fisica identificata o identificabile, anche indirettamente. Per questo motivo rientrano nei dati personali anche i cookie e gli indirizzi IP, come gli account di servizi online e i social network.
La persona a cui si riferiscono i dati soggetti al trattamento è l’interessato. Oltre ai dati classici di identificazione, come il nome e il codice fiscale, sono da considerarsi dati personali anche la voce, le immagini e i filmati, il numero di telefono, il codice fiscale, la targa dell’auto, l’impronta digitale, le ore lavorative, le informazioni patrimoniali.
Il GDPR prevede il divieto generico di trattare i dati soggetti a trattamento speciale, ovvero i dati sensibili. Sono quelli che possono mettere a rischio le libertà personali ed essere oggetto di discriminazione. Ad esempio:
- dati sulla razza o etnia, religione, appartenenza sindacale;
- dati genetici;
- dati biometrici (ad esempio i rilevamenti facciali o dattiloscopici);
- dati giudiziari (che rivelano l’esistenza di procedure penali).
I dati sensibili possono essere trattati solo in casi specifici, e l’interessato deve avere dato il proprio consenso esplicito e inequivocabile. Ad esempio i casi in cui deve essere tutelata la salute del soggetto o l’interesse pubblico rilevante.
Il GDPR va oltre le definizioni. Dobbiamo informare l’interessato sulle finalità del trattamento, sulle procedure di aggiornamento, sul metodo di conservazione del dato, sul tempo di conservazione e sulle garanzie per tutelare le persone quando il trattamento finirà: diritto di accesso, trasferibilità del dato e cancellazione.
L’analisi dei rischi: quando effettuarla
Devo fare un’analisi dei rischi? Certo, a prescindere dalla norma. E per questo condivido con te uno schema che ho utilizzato per fare l’analisi dei rischi della mia attività. Vediamo cosa ci indica l’articolo 35 del GDPR. Quando devo eseguire l’analisi?
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si devono mettere in atto misure tali da garantire un livello di sicurezza adeguato al rischio” (art. 32 del GDPR)
L’obiettivo finale è quello di definire i dati personali, i rischi connessi e le misure per proteggerli prima di trattarli. Ecco le domande e le risposte che riguardano la situazione della mia azienda.
- Di quali dati sono in possesso e per quali finalità?
La MarkCom tratta le seguenti informazioni: dati anagrafici dei clienti, che detiene per compilare contratti e documentazione amministrativa, come bolle e fatture. In generale è in possesso dei dati che servono per mantenere un rapporto commerciale con i clienti. I dati relativi ai siti (foto e testi) sono finalizzati alla realizzazione di siti e applicazioni web. Non detiene dati soggetti a trattamento speciale. Fornisce servizi di posta elettronica e di hosting, appoggiandosi a fornitori esterni. Usa servizi esterni per le statistiche di accesso ai siti. Per approfondire: Google e il GDPR. - Quale rischi corrono i diritti e le libertà personali delle persone oggetto del mio trattamento?
I rischi più gravi sono connessi con i servizi di posta elettronica nei quali le misure di sicurezza devono essere elevate, ma anche l’attenzione del cliente nella gestione delle password ha una rilevanza notevole. - Quali misure metto in atto per garantire un livello di protezione adeguato, visto i rischi?
Ecco alcune delle misure preventive che abbiamo già posto in essere:- accesso ai datacenter limitato al personale autorizzato;
- filtri anti-spam e anti-virus su pc locali e sui server;
- certificato SSL;
- backup giornalieri e, in alcuni casi, orari;
- monitoraggio delle risorse con sistema di notifica in caso di down;
- replica dei backup in più locazioni;
- impostazioni di password adeguate;
- impostazione filtro IP per la lettura della posta;
- non archiviazione delle password dei clienti, sia cartacea che digitale;
- sensibilizzazione del personale interno sul valore del dato personale del cliente.
Alcune misure migliorative saranno volte a:
-
- rendere effettiva la privacy by design e la privacy by default in ogni servizio offerto;
- tutelare il dato in caso di trasferimento in paesi extra UE (utenti G Suite);
- sensibilizzare i clienti sull’importanza dei backup e la gestione delle password;
- informare sulle impostazioni della privacy sui social e l’utilizzo dei social login;
- ……………………………..
- ……………………………..
- da definire, work in progress.
Da una prima valutazione dell’impatto sulla privacy, il rischio per la privacy è limitato per cui non dovrò procedere a stilare un documento di valutazione d’impatto e comunicarla al Garante.
Dovrò, in ogni caso, mettere in atto le misure preventive e migliorative per garantire la migliore protezione in relazione ai rischi. E informare gli utenti di queste attività mi aiuterà a comunicare il valore dei miei servizi.
L’analisi mi porterà a determinare la filiera di trattamento del dato. Ovvero nominare tutti i soggetti esterni che sono responsabili del trattamento. A loro dovrò ottenere rassicurazioni sulla protezione dei dati.
ATTENZIONE! L’analisi che ti ho sottoposto non è supportata da nessun valore legale. È frutto di una mia riflessione personale e sarà valutata da un esperto. Il mio consiglio è quello di incominciare, anche tu, a farti delle domande. Se vuoi partendo da quelle che ti ho segnalato.
La nomina del Responsabile del trattamento esterno
La nomina di uno o più responsabili esterni, da parte del titolare del trattamento, deve avvenire tramite contratto o atto. In particolare l’art. 28 del GDPR, prevede che la nomina avvenga tramite:
“atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. Fonte: art. 28 GDPR
Il mio sito è conforme al GDPR?
Il GDPR prevede che il consenso deve essere fornito per ogni finalità. Questo provocherà dei cambiamenti anche per i possessori di siti web? Cosa dovrà essere fatto per adeguare l’invio di newsletter? Cambieranno i termini per la gestione della cookie policy?
A tal proposito segnalo due iniziative informative gratuite da parte di aziende che forniscono servizi ai nostri clienti: Iubenda e MailUp. La materia è in continua evoluzione e non mancheranno integrazioni. È mia intenzione aggiornare questo paragrafo non appena avremo indicazioni precise.
Iubenda ha realizzato un webinar per informare gli utenti sulle novità introdotte dal nuovo regolamento europeo. Ti consiglio di iscriverti e vedere il video che illustra, con l’ausilio di un avvocato, le ricadute del GDPR sulla cookie law.
Nel mese di Aprile, presso il sito di MailUp Academy, sono disponibili 4 webinar gratuiti dedicati al GDPR. La rinomata piattaforma italiana per l’invio di newsletter, come altri servizi leader in questo ambito, fornisce informazioni per continuare le attività di email marketing in linea con la normativa.
Il GDPR in 6 domande
L’infografica è stata realizzata prendendo spunto dal sito Protezionedatipersonali.it.
La notifica della violazione di dati personali (data breach)
Il titolare del trattamento è obbligato a informare le Autorità di controllo sulle violazioni di dati personali che abbiano un impatto rilevante sui diritti e le libertà degli interessati. Per l’Italia l’interlocutore è il Garante per la protezione dei dati personali. La notifica dovrà avvenire entro 72 ore e comunque “senza ingiustificato ritardo”.
Se i rischi per le libertà personali degli interessati sono elevati, anche loro dovranno essere informati. La documentazione dovrebbe contenere l’elenco delle attività svolte per rimediare alla violazione. Ma anche, e soprattutto, quelle per evitare che questa si verifichi di nuovo.
Il registro dei trattamenti: chi è tenuto a compilarlo
Il registro dei trattamenti non è obbligatorio per aziende al di sotto dei 250 dipendenti, ad eccezione di tre casi. Ovvero quando la raccolta e il trattamento del dato:
- rappresenti un rischio per i diritti e le libertà degli interessati;
- sia metodico e automatizzato;
- si riferisca a categorie particolari di dati.
Un modello non ufficiale di registro dei trattamenti è stato creato da Onetrust.com. Il template è stato liberamente tradotto in inglese ed è scaricabile all’interno della pagina. Come vedrai è abbastanza complesso e articolato.
Chi è il DPO e quando è obbligatorio nominarlo
Il Data Protection Officer è il Responsabile della protezione del dato. Non dipende dalla dimensione dell’azienda, ma da chi esegue il trattamento, il metodo e le finalità specifiche. Deve garantire l’adempimento della normativa.
Il DPO può essere un dipendente del Titolare del trattamento o del Responsabile, oppure un consulente esterno. È una figura consulenziale di alto profilo a cui non è richiesta una certificazione specifica, ad oggi non riconosciuta. Il DPO deve avere, in ogni caso, autonomia di operato ed essere in stretto contatto con la Direzione dell’azienda.
Le sue funzioni sono consultive nell’ambito della valutazione d’impatto privacy e nella compilazione del registro dei trattamenti. Il DPO controlla l’osservanza del GDPR ed è la figura di raccordo con il Garante della Privacy, per quello che riguarda l’Italia.
L’art. 37, primo paragrafo del GDPR definisce la nomina obbligatoria del DPO in questi tre casi:
- il trattamento di dati personali è effettuato da un organismo pubblico;
- quando anche una delle attività principali dell’azienda richiede il monitoraggio regolare e sistematico degli interessati su larga scala;
- quando anche una delle attività principali dell’azienda richiede il trattamento su larga scala di dati sensibili o dati personali relativi a condanne penali e reati.
Gruppi di lavoro stanno interpretando la norma per attribuire un valore a termini generici come “larga scala”, al fine di consentire l’identificazione delle attività che avranno l’obbligo di nominare il DPO.
Le sanzioni per chi non rispetta il GDPR
Questo è un punto dolente. L’articolo 83 del GDPR prescrive, per i Titolari e Responsabili, sanzioni amministrative fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo. Un macigno incomberebbe sulla mia attività. Che fare?
Innanzitutto valutare con realismo e buon senso. Ogni realtà, come abbiamo visto, è giusto che conosca i rischi sulla privacy a cui va incontro. A prescindere dal GDPR. Una prima analisi oggettiva è doverosa.
L’analisi dei rischi deve essere corretta. Questo è un punto fondamentale. L’autovalutazione può essere fatta ma potrebbe non essere realistica. La legge non ammette l’errore di valutazione e ci riconoscerà responsabili per non aver adottato le misure necessarie a prevenire il rischio.
Le pene e le sanzioni saranno commisurate caso per caso, in base al danno causato. Più dati tratto, e più questi sono sensibili, maggiore è il rischio di incorrere in sanzioni pesantissime in caso di perdita o violazione con dolo o negligenza. Per intenderci, sono i colossi del web che in questo momento hanno il maggiore fardello (ma anche i guadagni superiori).
GDPR e l’impatto sulla tua attività
Il GDPR è una nuova tegola per le micro imprese o un’opportunità per far crescere la cultura del rischio? Quando si parla di backup, password, accesso alle informazioni spesso storciamo il naso. Non sono argomenti che trattiamo volentieri.
Eppure la sicurezza delle informazioni e la privacy hanno sempre più valore. Il recente scandalo Cambridge Analytica ha fatto crescere la preoccupazione verso questi temi. E ha accresciuto la prudenza di molti utenti nel divulgare i dati personali.
Il GDPR introduce concetti rivoluzionari per l’ordinamento italiano in materia di privacy, lontani dalla nostra cultura. Si chiede alle imprese di pensare alla privacy come elemento ispiratore di qualsiasi progetto e processo organizzativo.
Alcune domande che ti devi porre, riferito alla tua attività, sono: quando finisce il rapporto di collaborazione con un fornitore che fine fanno i miei dati? Sono in grado di garantire il diritto all’oblio e il trasferimento dei dati dei miei utenti? Sono a conoscenza delle password dei server e dei miei computer, o li ha solo il mio fornitore IT?
L’Accountability, la Privacy by Design e la Privacy by Default saranno i pilastri delle prossime regolamentazioni sulla privacy. In questo post ho iniziato a trattare questi argomenti. Nelle prossime settimane, in base agli sviluppi normativi, terrò aggiornato questo post.
Ora tocca a te. Mi interessa il tuo punto di vista. Hai già eseguito un’analisi dei rischi e valutato l’impatto della privacy per la tua attività?
Lasciami la tua opinione nei commenti.
Complimenti per l’articolo, devo dire che è spigato in maniera molto semplice senza utilizzo esagerato del legalese :>
The Real Person!
Grazie mille Elena!