Exelab Blog

Regolamento europeo GDPR: la tua azienda è pronta?

Scritto da andrea | Jun 23, 2020 3:22:42 PM

La fatidica data del 25 maggio 2018 si sta avvicinando: è una scadenza importante perché introduce una modifica profonda nell'ambito del trattamento e della protezione dei dati. Da quel giorno infatti entrerà in vigore il nuovo regolamento europeo sulla privacy e la tutela dei dati personali, il cosiddetto GDPR (General Data Protection Regulation). Pensi di esserti già informato e ti senti pronto a gestire questo importante passaggio? I rischi che la tua azienda o la tua attività corrono nel caso in cui tu non ti adegui alle nuove disposizioni normative sono ingenti: qui di seguito possiamo fornirti qualche suggerimento utile per stare al passo.

Cos'è e cosa sancisce il GDPR

Se non hai neppure una vaga idea di cosa tratti questo provvedimento dell'Unione Europea e di quali siano gli ambiti in cui verrà applicato, allora per te è fondamentale rimboccarsi le maniche e lavorare sodo per non arrivare del tutto impreparato all'appuntamento del prossimo 25 maggio.

In poche parole, il GDPR è il nuovo regolamento europeo che disciplina il trattamento, la gestione e il controllo dei dati personali. Sarà applicato in tutti i paesi UE e vi si dovranno adeguare enti e istituzioni pubbliche, aziende e società, comprese anche le multinazionali con sede in un altro paese extra-Unione che operano fornendo prodotti e servizi ai cittadini europei.

Le indicazioni fornite da questo nuovo strumento normativo innescano una consistente evoluzione nel modo di concepire l'attività di gestione e protezione dei dati all'interno della dimensione aziendale, sulla scia di una serie ben definita di principi.

Una più estesa definizione dei dati personali

Tutte le informazioni che, direttamente o meno, possano ricondurre all'identificazione di una persona, rientrano per il GDPR sotto la definizione di dato personale: non stiamo più parlando solo delle generalità anagrafiche, delle immagini o delle informazioni sanitarie, ma anche di post scritti sui social, indirizzi IP, profili su piattaforme online.

Il rafforzamento delle condizioni per il consenso

Il nuovo regolamento non pone tanto l'accento sui diversi contesti in cui richiedere un consenso esplicito al trattamento dei dati, quanto sull'obbligo di chiarezza e trasparenza che l'azienda deve assumersi. In altri termini, dovrai sempre chiedere ai tuoi utenti una forma di consenso in modo facilmente comprensibile e non confondibile con altre condizioni contrattuali; inoltre il cliente dovrà poter ritirare il proprio consenso con la stessa semplicità di metodo con cui te lo ha precedentemente fornito.

Il principio di 'accountability' e quello della 'Privacy by Design'

Si tratta di due elementi interconnessi, da sempre presenti come fondamenti teorici ma mai finora veramente esplicitati in uno strumento normativo. Per 'accountability' si intende la necessità - per la tua azienda - di dimostrare, attraverso attività e documenti concreti, oltre che con l'aiuto di tutti i supporti tecnologici a tua disposizione, che hai ottemperato alle disposizioni del GDPR. Parlando di 'Privacy by Design' si fa un passo ancora più in là, ossia si stabilisce che chi tratta e gestisce i dati debba farlo mettendo a punto un processo su misura, in grado di aderire perfettamente alle esigenze dell'utente in termini di riservatezza e protezione dei dati stessi.

La portabilità dei dati e altri diritti dell'utente

La protezione dei cosiddetti data subjects è il fulcro su cui poggia tutto l'impianto normativo del GDPR. In particolare viene introdotto il diritto alla portabilità: per l'utente sarà molto più facile avere accesso ai dati precedentemente raccolti dai soggetti preposti e chiederne il trasferimento ad altri fornitori dello stesso servizio. Vengono poi integrate ulteriori forme di tutela sui dati che riguardano i minori, così come per il diritto all'oblio.

L'impegno a evitare il 'data breach'

Il nuovo regolamento europeo impone che ogni soggetto aziendale preposto al trattamento e al controllo dei dati abbia l'obbligo di compiere tutte le azioni in suo potere per evitare la violazione di quei dati, il cosiddetto 'data breach', e di informare tempestivamente - il limite è fissato in 72 ore - da un lato le autorità competenti, dall'altro l'utente, se ci sia stata effettivamente un'infrazione nel sistema di protezione dati e i rischi che questo comporta. Devi quindi organizzare le tue attività interne affinché un eventuale 'data breach' possa essere affrontato e superato senza procurare ulteriore danno ai tuoi utenti.

Un nuovo ruolo professionale in azienda, il DPO

La necessità di monitorare costantemente la tutela e la sicurezza dei dati personali rende fondamentale all'interno del personale la presenza di una figura che possa seguire dall'inizio alla fine ogni processo volto alla gestione delle informazioni degli utenti. Ecco quindi nascere il ruolo del Data Protection Officer: dovrai necessariamente individuarlo se rappresenti una pubblica autorità, se hai un'azienda di grandi dimensioni, se tratti dati sensibili o legati ad ambiti particolari (come quelli giudiziari) o comunque, più in generale, se la mole delle informazioni che sei chiamato a gestire richiede un controllo sistematico e costante.

L'istituzione dello Sportello Unico dell'Autorità Garante

Con questa espressione si è provato a tradurre il cosiddetto principio dello 'One stop shop', uno degli elementi cardine su cui è imperniato il GDPR (e peraltro uno di quelli su cui si è maggiormente dibattuto in fase di discussione e approvazione del regolamento). In breve è stato stabilito che le aziende che hanno sedi in più paesi dovranno far riferimento, in materia di trattamento dei dati, alla sola Autorità Garante del paese in cui è stabilita la sede principale. Se la tua azienda ha dunque sedi in 3, 5 o 10 paesi membri dovrai indicare come capofila quella dello stato in cui hai la sede principale e sarà questa, di volta in volta, a demandare le proprie funzioni alle altre autorità competenti per ciascun paese. Si tratta di un provvedimento che interessa solo i casi in cui il trattamento dei dati incida su interessi transnazionali e non riguarda l'attività delle autorità pubbliche né dei privati che operano nell'interesse pubblico.

Un sistema di sanzioni per chi non è in regola

Un ottimo modo per impedirti di sottovalutare quanto sia importante adeguarsi alla nuova normativa europea sono le salatissime multe che possono essere inflitte a chi non rispetta le indicazioni contenute nel Regolamento. Si può arrivare a sanzionare l'azienda inadempiente per il 4% del volume d'affari complessivo messo a bilancio nell'anno precedente o, in alternativa, con una multa pari a 20 milioni di euro. E' chiaro, si tratta di procedure sanzionatorie calcolate con la massima gradualità, ma chi vorrebbe trovarsi a pagare anche solo una parte di questi tetti massimi?

Dunque, come adeguare la tua azienda al GDPR?

L'innovazione portata dal regolamento in materia di privacy e trattamento dei dati è per certi versi epocale ed è facile scoraggiarsi di fronte alla mole di lavoro necessario per ottemperare a tutti i nuovi obblighi. Prova però a ribaltare per un attimo la prospettiva: alcune fonti a inizio 2018 stimavano che circa la metà delle aziende in Italia era ancora in forte ritardo nel processo di adeguamento al GDPR. La situazione, ora che il "D-day" è alle porte, sarà sicuramente migliorata ma, se non sei rimasto con le mani in mano, potresti sfruttare un ampio vantaggio su almeno la metà dei tuoi competitors.

Semplificando al massimo, possiamo comunque elencare una serie di passaggi e concetti fondamentali che dovresti mettere (o meglio che dovresti aver già messo) in atto per adeguare la tua azienda alle nuove disposizioni.

Per prima cosa la tua azienda deve "guardarsi dentro" e riflettere sul modo in cui ha gestito la raccolta, la protezione e il controllo dei dati personali finora. Devi avere, in altre parole, una fotografia più definita possibile di come hai strutturato questo processo all'interno dell'attività, se lo hai fatto nel rispetto delle norme vigenti e come hai sviluppato i ruoli, i documenti e gli strumenti per organizzare il lavoro. Solo in questo modo potrai disporre di un modello o uno schema da cui partire per poi aggiornarlo alle nuove regole.

La domanda più giusta che devi porti non è "Quanto dovrò impegnarmi per adeguarmi al GDPR?" ma "Quanto rischio di perdere se non mi adeguo al GDPR?". Predisponi dunque un piano valutativo della compliance aziendale, identificando l'assetto corrente, le misure necessarie per ottemperare alle nuove disposizioni e l'impatto che queste avranno sulla struttura esistente.

In secondo luogo dota la tua attività di un Registro dei trattamenti dati: è uno strumento previsto dal Regolamento e deve servirti a tenere traccia di tutto quel che concerne il trattamento di dati personali; deve inoltre contenere una serie di informazioni obbligatorie, come la descrizione delle categorie di interessati, la tipologia dei dati personali trattati, i destinatari e le finalità del trattamento, le misure di sicurezza adottate a riguardo.

Passa poi all'azione definendo i ruoli e individuando i soggetti che dovranno occuparsi del trattamento dati in azienda, redigendo in modo completo la documentazione necessaria, impostando la policy tecnico-organizzativa che ti garantisca la piena conformità alle direttive del GDPR. Questo comprende anche il pianificare una corretta strategia per prevenire il 'data breach'.

Tenendo a mente il principio della 'Privacy by Design' devi svolgere un'accurata valutazione su come garantire la protezione dei dati: devi perciò allestire uno specifico progetto, definito Valutazione di Impatto Privacy (PIA è l'acronimo inglese), che ti consentirà di analizzare tutti gli aspetti inerenti alla tutela dei dati prima ancora del loro effettivo trattamento.

Adegua i tuoi strumenti e processi alle nuove normative per garantire ai tuoi utenti facile accesso e portabilità dei dati.

Nomina, se hai un'azienda che lo necessita, un DPO, in modo da avere una figura professionale specifica e competente che segua ogni fase del processo e organizzi l'attività aziendale così che le norme sul trattamento e la gestione dei dati siano costantemente osservate.

Puoi dare un'occhiata al Regolamento e approfondire molte informazioni a riguardo collegandoti alle pagine del Garante della Privacy

Se inoltre hai bisogno di un team di professionisti ed esperti del digital marketing per sviluppare la strategia per la tua azienda, mettiti in contatto in noi.