Dal 25 maggio 2018 sarà applicato in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il regolamento generale sulla protezione dei dati è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti. Esso andrà a sostituire la Legge sulla privacy del 2003 (d.lgs.vo n.196/2003).
Lo scopo principale è riassunto in poche righe estratte dal GDPR : “è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”
In pratica si deve creare un rapporto di fiducia e consapevolezza tra azienda e stakeholder.
Fino ad ora la questione è stata sottovalutata da molte aziende ma ormai che siamo a ridosso della scadenza con il rischio di sanzioni salate e svantaggi competitivi, si stanno mobilitando anche le aziende ritardatarie.
Ma vediamo in concreto come devono comportarsi le PMI che spesso basano il proprio business su una base dati utilizzata da un gestionale.
La prima cosa da fare è identificare in azienda una persona (o più di una se si hanno diverse sedi) con ruolo di Data Protection Officer che avrà il compito di monitorare lo stato di protezione dei dati e prevenire i rischi di accesso non autorizzato.
Non ci sono regole particolarmente stringenti e non ci sono obblighi di documentazione per le aziende sotto i 250 dipendenti, anche se è consigliabile avere un regolamento scritto a cui i vari addetti dovranno attenersi e almeno un registro che regolamenta i trattamenti e le finalità, oltre all’accesso a grosse moli di dati.
Occorre poi stilare una corretta valutazione dei rischi di Data Breach (di che natura sono i dati che potrebbero essere violati ? con quanta facilità potrebbero essere trafugati/persi ? quanto gravi potrebbero essere i danni causati ?) e le linee guida da tenere in caso di violazione.
Ma la regola che credo sia veramente importante è la "Privacy by design", cioè pensare SEMPRE come prima cosa allo spirito che ha portato a redigere il GDPR e far si che ogni addetto si comporti come il buon padre di famiglia. Se si ragiona in questo modo tutto diventa più semplice e lineare.
Andando più nello specifico occorre valutare quali sono i dati che bisogna difendere.
La maggior parte delle aziende mantiene su database aziendale solo dati fiscali e dati per la comunicazione (numeri di telefono, indirizzi email, ecc.).
Non sono dati particolarmente sensibili anche se disponendone di una grossa quantità potrebbero diventare appetibili ad eventuali malintenzionati.
Le regole basilari per proteggersi sono :
- Conservare il database in luogo accessibile solo alle persone autorizzate e protetto da password
- Conservare solo i dati strettamente necessari (ad esempio rimuovere il numero di una carta di credito nel momento in cui si è avuto riscontro del pagamento)
- Mantenere sempre aggiornate le versioni dei software e dei sistemi operativi
- Tenere un registro delle persone che hanno avuto accesso ad una grossa mole di dati siano essi interni o esterni (tecnici)
Cosa diversa se si conservano sistemi di pagamenti (n. di carte di credito) o dati relativo allo stato di salute, alla politica o alla religione. In questo caso occorre maggiore riservatezza e occorre memorizzare questi dati in modo criptato.
In ultima analisi è bene sottolineare che il regolamento vuole intervenire soprattutto sugli abusi delle grandi multinazionali e per le quali le sanzioni possono essere molto pesanti (fino a 20 milioni o al 4% del fatturato mondiale annuo, se superiore)
Soprattutto il GDPR è comune in tutto i mercati della UE e per tutte le aziende (anche extra-UE) che vi operano.
Se paragonato alla vecchia legge del 2003, per la piccola azienda ci sono forse più vantaggi che svantaggi.
Non vi è più l’obbligo di richiesta di consenso al trattamento e l’interesse legittimo del titolare (anche quello per finalità di marketing diretto) può costituire una base giuridica sufficiente per consentire il trattamento.
Naturalmente è sempre vietato l’abuso (vendita o cessione della profilazione) e l’interessato potrà sempre richiederne la cancellazione.
Il blog di Gea.Net 