GDPR 2018 – Dove siamo arrivati?
È ormai trascorso un anno dall’entrata in vigore del Nuovo Regolamento Europeo in materia di Trattamento dei Dati Personali.
Facciamo in questa serie di articoli un’analisi di quali innovazioni e cambiamenti ha portato il GDPR nelle aziende italiane e vediamo perché è importante che tutte le aziende, dai liberi professionisti alle multinazionali si adeguino quanto prima.
Sulla base della nostra esperienza, parleremo soprattutto della situazione che si trovano oggi a vivere aziende le micro, piccole e medie imprese, che sono gli attori principali del tessuto imprenditoriale italiano.
Parleremo di GDPR, delle nuove figure introdotte, di esempi pratici di applicabilità.
Quando si parla di Dati Personali, sembra di parlare di Oro o Pietre Preziose. Tutti vogliono i nostri dati per contattarci, farci offerte migliori, riuscire a capire i nostri comportamenti come consumatori, o più semplicemente come persone. Le chiamate dai call center sono all’ordine del giorno (e se vuoi sapere come affrontare questa piaga, abbiamo scritto un articolo che trovi qui: https://www.deeperformance.it/chiamate-commerciali-insistenti/)
Le piattaforme e-commerce e i social network fanno incetta di dati, realizzando un profilo pressoché perfetto di noi utenti e delle nostre abitudini; puoi tenere nascosto qualcosa ai tuoi genitori, agli amici, al marito/moglie o all’amante, ma nulla sfugge al buon Faccialibro o ad Amazon, giusto per citare i più grossi player online. La stessa cosa vale per i player offline (ad esempio le diffusissime tessere fedeltà che tutti abbiamo; pubblicheremo presto un articolo con aneddoti interessanti circa questo strumento di marketing e di promozione pubblicitaria).
Nascita del Nuovo Regolamento Europeo
Ed è proprio in questo contesto che l’Unione Europea ha deciso di studiare le diverse leggi in materia di Privacy degli Stati Membri ed ha redatto un Nuovo Regolamento che è ormai operativo dal 2018.
Il 25 maggio 2018 entra in Vigore il Regolamento Europeo per il Trattamento dei Dati delle Persone Fisiche 679/2016 (da ora GDPR).
2016? Eh si, hai letto bene.
Il Parlamento Europeo ha approvato e promulgato il Documento realizzato da una Commissione fatta dal Garante Europeo e dai Garanti dei Singoli Stati Membri, nel maggio 2016. Da allora gli Stati membri hanno 2 anni di tempo per recepirlo e integrarlo nelle singole Amministrazioni.
Quindi a maggio 2018 è diventato effettivamente operativo. In questi 2 anni le aziende avrebbero dovuto recepirlo ed integrarlo all’interno della loro procedura.
Così non è stato! Molte o quasi tutte, hanno posticipato la sua applicazione, spesso pensando ad una proroga o ad una sua cancellazione. Questo non è successo per una serie di ragioni. Vediamo le principali
- Il Regolamento ha come caratteristica principale la diretta applicabilità: questo vuol dire che il singolo Stato non deve Recepirlo con atti interni o con Leggi proprie
- Il Regolamento è stato fortemente voluto dai diversi Garanti della privacy per armonizzare e gestire le numerose Leggi dei singoli membri, molto diverse tra loro.
Il Regolamento è stato recepito da tutti gli Stati membri; Germania, Spagna e Francia, per citare i più grandi, erano già pronte a maggio 2018 ed anche prima. Altri Stati si sono adeguati o lo stanno facendo.
Ed in Italia cosa è successo?
A maggio 2018, sembrava nulla o quasi; molte aziende nemmeno sapevano del GDPR o qualora ne avessero sentito parlare, avevano problemi più impellenti ed urgenti a cui far fronte. La sensazione è che l’applicazione di questo Nuovo Strumento sia stato sottovalutato da molti. Le prima ad essersi allineate sono state le grandi aziende internazionali, che hanno dovuto armonizzare le procedure nelle sedi dei diversi Stati.
Da quando il Garante per la Privacy Italiano ha iniziato a sollecitare le aziende, di ogni forma e dimensione, ad avviare il percorso di adeguamento al GDPR, ha scoperto che per molte aziende la Privacy era quasi sconosciuta. Poche avevamo applicato il Decreto Legislativo 196 del 2003 che è il fondamento della gestione della Privacy in Italia.
In questi mesi in cui abbiamo seguito associazioni, aziende, piccole e medie imprese e liberi professionisti, ci siamo accorti che l’adeguamento al Decreto Italiano era formale, ma poco sostanziale; in altri termini si riportavano testi e frasi perché previsti dalla legge, ma poco si sapeva del contenuto della stessa, delle opportunità o delle conseguenze. Questo scenario ha fatto sì che il Nuovo Regolamento e la sua attuazione siano stati visti come l’ennesima gabella a cui sottoporsi per poter imprendere in Italia ed in Europa.
Vorrei spendere qualche riga per dirvi che così non è!
Il GDPR è una miniera di nuove opportunità per le aziende. Voglio sottolineare l’opportunità che viene data alle aziende di conoscere e decidere il percorso che all’interno dell’azienda fanno i dati di clienti, fornitori, consulenti e partner. Non si tratta solo di raccogliere meccanicamente consensi, di far firmare informative e liberatorie. Si tratta di creare un percorso, fatto di confronto, strategia e crescita, basato sui reali bisogni delle singole aziende. Non è solo carta e burocrazia.
Scopriremo che questo risponde al principio di “Accountability”, una delle novità previste dal GDPR.
Quanto può essere utile per un’azienda conoscere e mappare il processo di acquisizione, gestione e trattamento dei Dati? Quanto aumenta la consapevolezza nelle proposte rivolte all’esterno? Quanto è importante prendere coscienza di quale tipologia di dati effettivamente entro in possesso e di come li tratto?
Una vera e propria rivoluzione copernicana. Al centro del nostro processo di acquisizione del dato e del successivo Trattamento l’azienda ed il suo rapporto con il Cliente.
Cosa è cambiato effettivamente con l’entrata in vigore del Nuovo GDPR?
La Direttiva 679/2016 abroga e sostituisce una buona parte del Decreto Legislativo 196/2003, base del diritto di Tutela dei Dati in Italia. La legge italiana era composta di diverse parti; una parte amministrativa ed una parte penale. Il nuovo regolamento sostituisce la sezione amministrativa e lascia intatta quella penale.
La parte principale che viene abrogata è quella relativa al famoso “Allegato B”; vengono cancellate le misure minime e si parla di misure adeguate che ogni Titolare del Trattamento andrà a definire in base all’organizzazione aziendale ed all’organigramma interno.
Sarà poi il Garante ha proporre il Decreto 101/2018 con il quale recepisce la nuova direttiva Europea armonizzandola con il precedente Decreto 196/2003.
Le differenze più evidenti sono in merito a
- Ambito territoriale: tutti gli Stati dell’Unione Europea si devono adeguare
- Soggetti a cui si applica la legge: tutte le persone fisiche viventi di cui prendiamo qualche dato personale o particolare.
- Dovere di Informazione e documentazione da parte delle aziende verso terzi.
- Informativa: nuove modalità di redazione dell’Informativa che deve specificare
- Base giuridica del Trattamento ed il legittimo interesse
Tale documento deve essere scritto in modo trasparente, con un linguaggio chiaro e semplice
- Ottenimento del consenso, che deve essere esplicito e volontario
- Inserimento dei principi di
- Privacy By Design
- Privacy By default
- Introduzione del Registro dei Trattamenti per le aziende con più di 250 dipendenti; il Garante Italiano estenderà poi l’obbligo di redigere questo documento a tutte le aziende, qualunque sia il numero dei dipendenti.
- Obbligo di segnalazione in caso di Data Breach o Violazione del Dato.
- Riconoscimento di nuovi diritti:
- Diritto alla portabilità dei dati
- Diritto all’oblio
- Sanzioni: cambia il meccanismo sanzionatori, diventando più severo e aspro a seconda della gravità della colpa. Sanzioni che possono oscillare tra il 2 e il 4% del fatturato mondiale dell’azienda.
Queste alcune delle novità introdotte dal Nuovo Regolamento Europeo.
Adeguarsi al Nuovo Regolamento Europeo oppure No?
Questa domanda è circolata in tanti uffici di liberi professionisti, piccole e medie imprese per diversi mesi. Molti hanno pensato a proroghe o a regole del nostro legislatore per categorie particolari che avrebbero potuto evitare di avviare il processo di adeguamento.
Così non è Stato. Il Garante italiano con il Decreto 101/2018 ha messo in chiaro che tutte le organizzazioni, aziende, partite IVA che trattano dati sono tenute ad adeguarsi ed aggiornare il proprio impianto Privacy.
Questo decreto ha aperto le porte ad un nuovo paradigma: non più aggiornamento, schede precompilate e documenti che restano nei cassetti; si inizia a parlare di un percorso che vede protagoniste tutte le aree aziendali che trattano dati.
Si tratta di tracciare cosa succede al Dato da quando entra in azienda a quando viene distrutto, cancellato o trasferito ad altra organizzazione.
Partiamo dall’inizio.
Cosa si intende con la parola Accountability? E cosa comporta?
Accountability è il principio di responsabilizzazione dei Titolari del Trattamento.
Il Titolare, in base alla tipologia dei dati trattati, deve garantire un livello di sicurezza adeguato, sia per i dati cartacei che per quelli informatizzati. E, in occasione di controlli, dovrà rendere conto delle scelte fatte, dimostrando di aver scelto i professionisti più preparati, la strumentazione migliore, più idonea ed efficace alla salvaguardia dei Dati.
Durante il processo di Adeguamento, il Titolare del Trattamento dovrà tenere conto di una serie di fattori:
- Natura del titolare, se pubblica o privata
- Dimensione dell’azienda
- Tipologia dei Dati trattati
- Natura e tipologia del trattamento, se occasionale o meno
- Qualifica e formazione dei soggetti coinvolti
- Come i dati vengono raccolti e gestiti
Come funziona il processo di adeguamento?
- Analisi iniziale dello stato dell’azienda, verificando se esista un impianto Privacy precedente al maggio 2018 o se si debba partire da zero
- Analisi delle diverse aree coinvolte nel trattamento dei dati, gestione e conservazione dei dati stessi
- Esistenza o meno di procedure dedicate al trattamento
- Esistenza o meno di strumenti atti a proteggere i Dati e conformi alle disposizioni vigenti
- Analisi dei Rischi e definizione di un Piano di Trattamento
- Identificazione delle misure adeguate, spesso diverse per ogni singola azienda
Al termine del percorso verrà prodotta una documentazione che non sarà solo “carta”, ma rappresenterà la vita reale dell’azienda.
Durante il percorso il Titolare e tutte le figure autorizzate dovranno fare un percorso di formazione che è uno dei pilastri di questo nuovo Regolamento Europeo
Quali i vantaggi per chi si adegua?
Dopo un anno di vita aziendale intorno al mondo privacy, possiamo dire che ci sono almeno 3 grandi vantaggi
- L’azienda prende coscienza di come gestisce i dati e delle nuove opportunità che si presentano
- Adeguarsi vuol dire poter continuare a relazionarsi con partner pubblici e privati anche di grandi dimensioni, partecipare a bandi e gare di appalto
- Riparte un dialogo reale con i clienti esistenti e futuri, basato su una vera relazione win-win in cui l’azienda che da più valore, soluzioni e opportunità emerge sulle concorrenti.
Nella nostra esperienza con liberi professionisti, piccole e medie imprese, abbiamo strutturato un processo che prevede
- Audit iniziale per fotografare lo stato iniziale dell’azienda
- Incontro con i diversi reparti dell’azienda e/o con consulenti esterni coinvolti nel processo (ad esempio gli amministratori di Sistema)
- Redazione dei documenti
- Formazione del Titolare e degli Autorizzati, che può essere svolta in presenza o anche online, tramite una Piattaforma multimediale
- Audit finale con consegna della documentazione