Adeguarsi al GDPR rappresenta un passo normativo significativamente importante. Non soltanto per adempiere ad un regolamento europeo, o per evitare sanzioni che possono diventare anche penali. Che ci si affidi ad Data Protection Officer oppure ad un software elaborato, il tema della gestione dei dati sensibili sta diventando sempre più centrale nella vita delle aziende. Imprese che, a sorpresa, possono anche scoprire come adeguarsi al regolamento europeo sulla privacy possa creare delle vere e proprie opportunità di crescita e di sviluppo.

Ecco 5 cose che possono essere utili per affrontare il tema.

Cosa è il GDPR?

Il GDPR è il nuovo Regolamento europeo sulla protezione dei dati personali e si applica dal 25 maggio 2018 anche se, ufficialmente, è stato approvato esattamente due anni prima, nel maggio del 2016.

Ha lo scopo di semplificare e uniformare la normativa in materia di privacy in tutta Europa e garantire il diritto alla riservatezza e alla protezione dei dati personali.

Ogni individuo porta con sé tutta una serie di caratteristiche e scelte personali che rientrano nel novero dei dati sensibili. Di cosa si tratta? Di quelle informazioni che rivelano razza, orientamento religioso, politico, sessuale, stato di salute, status economico e sociale ma anche i dati identificativi: dati anagrafici, indirizzo di residenza, fino alle immagini che consentono l’identificazione diretta di un soggetto. Il nuovo testo del GDPR, fra tutti questi dati, norma e tutela anche gli identificativi online, ovvero l’indirizzo e-mail, i cookies, gli indirizzi IP così come le informazioni sulla geolocalizzazione.

Chi deve adeguarsi al GDPR?

Il nuovo GDPR che regolamenta la privacy si applica sia alle persone fisiche e in egual modo a quelle giuridiche che trattano dati personali di cittadini europei, all’interno o fuori dal territorio dell’Unione Europea, online o offline.

La tutela della privacy tramite il GDPR avviene sia quando sono trattati direttamente dall’azienda o dal libero professionista, sia quando vengono raccolti indirettamente, per mezzo di data processor quali, ad esempio, Facebook o Google Analytics.

Al GDPR chi deve adeguarsi? Nello specifico sono obbligate tutte le aziende che operano nel campo della vendita di beni e servizi a persone dell’Unione europea e trattano o processano dati personali dei cittadini comunitari. Per tutti è fatto l’obbligo di rispettare il nuovo regolamento europeo per evitare multe.

Il percorso di adeguamento ai requisiti previsti dal regolamento europeo sulla privacy è piuttosto articolato e prevede diverse sovrapposizioni con aspetti legati all’organizzazione aziendale, alla sicurezza delle informazioni, amministrative, contabili e fiscali. Cosa fare per adeguarsi non è complicato. Esistono software che aiutano nel compito di gestire gli adeguamenti al GDPR in modo autonomo, oppure è possibile fare ricorso a un DPO, un Data Protection Officer, ossia una figura storicamente già presente in alcune legislazioni europee che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

È necessario avere un DPO?

I compiti di un DPO, il Data Protection Officer, spaziano almeno su quattro fronti ben definiti. Intanto fornire una consulenza professionale al titolare e al responsabile del trattamento; poi ha il compito di vigilare sull’applicazione del regolamento, quindi è chiamato a fornire pareri e cooperare con il Garante.

Il DPO riferisce direttamente ai vertici gerarchici dell’azienda e li tiene informati sulle indicazioni e raccomandazioni relative alla data privacy.

Ma si tratta di una figura professionale necessaria? In realtà la sua nomina è strettamente necessaria solo per i trattamenti “su larga scala” di categorie particolari di dati (dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di dati relativi a condanne penali e a reati, come stabiliscono gli art. 9 e 10 del GDPR.

Tuttavia viene sempre fatta salva la possibilità di nominare volontariamente un DPO, una pratica generalmente incoraggiata anche in quei casi dove il suo ricorso non è strettamente necessario. In questo caso si andranno ad applicare gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti, alla stessa stregua di come fosse obbligatorio.

Cosa si intende per “privacy by design”?

L’argomento privacy by design è uno dei del GDPR. Viene citato nell’art. 25 e di fatto significa protezione dei dati a partire dalla progettazione. Il Regolamento UE 2016/679, in termini pratici, richiede al titolare dei dati di progettare un trattamento che sia in grado di fornire una previsione sul probabile effetto del trattamento dei dati sui diritti e sulle libertà degli interessati. Ma non solo. Al contempo richiede che sia anche sostenibile in virtù dello svolgimento delle preventive operazioni di analisi dei rischi.

Il principio della privacy by design viene definito come un disegno a priori, delineato dal titolare del trattamento, che si assume la responsabilità della sicurezza dei dati del progetto che va a predisporre, sulla base dei requisiti indicati dalla legge.

Il titolare, quindi, seguendo il principio di accountability (principio di responsabilizzazione), si assume a priori la responsabilità delle misure di sicurezza che ritiene di dover applicare alla luce di una preventiva analisi di rischio. Il titolare in altre parole fissa sin dalla loro progettazione, le regole e i principi di protezione dei dati. Un esempio? Il trattamento dei dati di un soggetto minorenne sarà maggiormente a rischio rispetto ad un adulto.

Cosa significa “privacy by default”?

Al contrario, Il principio di privacy by default stabilisce che, per impostazione predefinita, le imprese debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste. E con l’aggiunta che questo avvenga solamente per il periodo strettamente necessario per soddisfare tali finalità. In buona sostanza un’azienda non dovrà ricorrere all’utilizzo di eccessivi dati senza avere degli specifici motivi per farlo. Per citare un esempio esplicativo ed esemplificativo della definizione, nella compilazione di un form non deve essere obbligatorio pretendere l’inserimento sia di un indirizzo email sia di un numero di telefono, ma per rispettare il concetto di “privacy by default” è sufficiente rendere obbligatorio solo un campo tra i due.

Cosa rischia chi non si adegua al GDPR?

In Italia l’autorità competente alla verifica sull’adeguamento al GDPR è il Garante della Privacy, che ha anche la possibilità di comminare sanzioni amministrative quando il GDPR non viene rispettato. Sanzioni che possono arrivare anche alle sanzioni penali nei casi più gravi.

Si tratta di un controllo particolarmente esoso poiché non è di natura ‘una tantum’, ma di un’attività di controllo che si protrae costante nel tempo: non si esaurisce con una semplice verifica delle attività, e non è neppure circoscrivibile ad azioni eseguite in un arco temporale definito. Il compito del garante contempla una serie di attività estremamente ramificate e diversificate che iniziano con un confronto con i titolari del trattamento per arrivare ad attività di controllo quali indagini, richieste di correttivi, nonché il potere di infliggere sanzioni amministrative pecuniarie. Le cifre in gioco? Può essere una sanzione piuttosto elevata, riferita ad esempio ad una percentuale di fatturato, che ha l’intento di imprimere un cambiamento per invogliare la corretta gestione del trattamento dei dati. Qualche cifra? Nel 2020, in Europa, sono state inflitte 341 sanzioni per un ammontare di 307 milioni di euro: 35 di questi sono stati comminati da Garante in Italia. Sul fronte delle sanzioni penali si può arrivare a condanne che vanno da sei ai diciotto mesi di reclusione e, in determinati casi, fino a tre anni. La responsabilità penale è sempre personale, mentre la sanzione amministrativa può essere comminata sia alla persona fisica che all’azienda.

Quali sono i risvolti positivi di questo adeguamento?

L’adeguamento al GDPR per le imprese, i professionisti e gli enti è una necessità, specie se si considera come i progressi tecnologici evolvono molto rapidamente e con esso i dati acquisiscono sempre più importanza. Tutelare la privacy e il loro trattamento significa quindi assicurare la massima sicurezza per i clienti o utenti. Ma anche molto di più.

Il Regolamento sulla privacy, se visto sotto il corretto punto di vista, fornisce una serie di opportunità per ottimizzare le proprie procedure di gestione ed elaborazione dati, per migliorare i processi interni e al contempo per garantire maggiore trasparenza nella gestione delle informazioni raccolte.

Tutelare la privacy da semplice incombenza e adeguamento normativo diventa un accrescimento della brand reputation dal momento in cui le persone percepiscono l’importanza che la sicurezza dei loro dati personali ricopre per una determinata azienda. Le imprese che si adeguano al GDPR sono in grado di dimostrare ai propri clienti di essere capaci di proteggere i loro dati, ancora prima di raccoglierli. Per le imprese si tratta così di uno sforzo che viene ripagato con la loro fiducia.

In estrema sintesi permette di incrementare il vantaggio competitivo delle imprese che razionalizzano i loro processi, automatizzano la raccolta dei dati ed esercitano un maggiore controllo sulla sicurezza. Una tutela che a doppio binario interessa certamente i clienti ma anche il core business aziendale, che viene protetto da attacchi informatici sempre più frequenti.

CNA Biella offre consulenze su misura sul tema dell’adeguamento al GDPR: gli uffici sono a disposizione per qualunque domanda o anche solo per un approfondimento.