GDPR

GPDR: cos’è, cosa cambia, cosa fare

Il GDPR è il nuovo regolamento europeo sulla privacy che interesserà tutti i cittadini e le aziende Europee. Se già a norma? Scopri cosa c’è da fare.
Si parla di privacy, si parla di GDPR: è un acronimo il cui significato è General Data Protection Regulation, cioè Regolamento generale di protezione dei dati. È una normativa europea, il Regolamento UE 2016/679, emanata il 27 aprile 2016 e che entra in azione dal 25 maggio 2018.
Riguarda me? Riguarda solo le grandi aziende, o anche le piccole imprese? Riguarda i freelance? Mi riguarda, anche se ho solo un blog?”: sicuramente te lo starai domandando.
Il GDPR riguarda chiunque tratti dati personali: quindi, se hai un e-commerce, o se hai un sito che raccoglie le email della newsletter, o anche se per ragioni di customer care ti capita di chiedere il numero di telefono al cliente da servire, questo regolamento riguarda anche te.
Con questo post imparerai a conoscerlo più da vicino, a sapere cosa fare e dove trovare le fonti ufficiali e utili.
Parleremo di:
Buona lettura!

Prima di tutto, capiamo il senso del GDPR

Dietro ogni legge c’è una ragion d’essere: gli addetti ai lavori la chiamano “ratio legis”. Capire la ratio legis è utile per inquadrare nella giusta prospettiva tutti i cambiamenti e i miglioramenti che sarai chiamato a fare… e ti aiuterà ad avere meno “mal di pancia”.

Lo “statuto della data economy”.

La “ratio legis”, la ragion d’essere del GDPR, è in breve questa: i dati sono e saranno sempre di più la “materia prima” di una nuova economia basata sull’uso esteso dei dati e un elemento strategico per la produzione di prodotti e servizi innovativi. Il GDPR è lo statuto di questa nuova economia. Scopo del GDPR è abbattere le barriere giuridiche nazionali e creare un set condiviso di regole per il trattamento dei dati personali in territorio europeo, regole che si applicano a chiunque tratti i dati in Europa (anche “giganti americani” come Google e Facebook).

Da adempimento formale a processo aziendale.

Fino al GDPR la privacy è stata spesso considerata come un elemento accessorio e un adempimento puramente formale (“per evitare la multa del Garante”). Con il GDPR, invece, la privacy diventa a tutti gli effetti un processo aziendale, integrato nel business di tutte le aziende, dalle grandi alle medie, piccole e micro.

Principio di minimizzazione.

Meno dati possibili, solo i dati utili. Non si possono raccogliere dati eccedenti a quelli per cui si chiede il consenso esplicito: il “non si sa mai, può tornarmi utile un domani” non è più possibile. Pensaci quando decidi i campi dei form di contatto e qualsiasi altro punto in cui chi naviga sul tuo sito lascia i dati.

Privacy by design.

La tutela dei dati personali deve essere garantita fin dalla progettazione delle attività e per tutto il ciclo di vita della gestione dei dati.

Privacy by default.

La privacy diventa requisito non accessorio, ma appunto “di default” nel trattamento delle informazioni. Per questo bisognerà prevedere tutta una serie di misure tecniche di protezione dei dati, come la pseudonimizzazione, processo per cui si impedisce di ricondurre i dati trattati a una persona specifica.

In concreto, cosa va fatto per essere a norma con il GDPR?

Fatta la premessa concettuale, ecco in sintesi i principali cambiamenti che il GDPR porta rispetto al modo attuale con cui gestisci i dati personali di clienti e prospect.

Informativa dei dati breve, chiara e comprensibile.

Anche l’informativa non è più un adempimento formale: il suo scopo è di rendere consapevole l’interessato su che dati vengono trattati, e in generale di cosa si tratta. Per questo l’informativa deve essere breve, trasparente, sempre accessibile e comprensibile da tutti, anche dai minori. Il linguaggio deve essere chiaro ed efficace, si può informare l’interessato anche a voce (ma solo se lo richiede esplicitamente e se la sua identità è verificata) e si possono fornire le informazioni in modo graduale, una alla volta (informativa a strati). Oltre al testo scritto, si possono usare delle icone standard per aumentare la comprensibilità.

Consenso: sì alla consapevolezza.

Il consenso deve essere positivo e inequivocabile: non può più esserci consenso tacito o passivo. Inoltre, il consenso deve essere specifico per ogni finalità del trattamento dei dati: se raccogli dei dati – ad esempio nome, cognome ed email – per fare un preventivo, questo è il primo livello di servizio per cui devi avere consenso. Se, cosa molto verosimile, quei dati andranno a comporre il database su cui intendi fare azioni commerciali – ad esempio informare le persone di una promozione natalizia – quello è già un secondo livello di trattamento dati, per cui devi avere uno specifico punto nell’informativa.
Un esempio di azione positiva e inequivocabile è quella per cui lo user prosegue la navigazione dopo aver visionato il banner informativo sull’utilizzo dei cookies.

Gestire i rischi privacy: nasce il DPIA.

Il GDPR introduce come obbligatoria la redazione del Data Protection Impact Assessment (DPIA), il documento di valutazione d’impatto della protezione dei dati. Con il DPIA la gestione della privacy entra nel pieno della gestione aziendale e si interseca con la gestione della sicurezza (regolamentata in Italia dal decreto legislativo 81/2008), di cui cardine portante sono il concetto di rischio e la gestione preventiva dei rischi.
Il processo di gestione rischi privacy di cui il DPIA è il documento di attuazione avviene in 3 fasi:
  • analisi dei rischi privacy
  • stesura della lista delle criticità della gestione attuale rispetto ai rischi (gap list)
  • definizione di un piano di intervento per ridurre al minimo i rischi (action plan)

Cosa fare quando “va male”: data breach notification.

Nel caso in cui si verifichi una violazione dei dati (data breach), cioè una falla, un gap nella sicurezza a causa del quale i dati vengono persi, distrutti, modificati, divulgati o resi accessibili a persone non autorizzate, è obbligatorio fare una notifica (data breach notification) al diretto interessato, subito, e al Garante della privacy, entro 72 ore dalla violazione. La notifica deve contenere alcune informazioni, quali:
  • Nome e dati di contatto del DPO o della persona a cui chiedere informazioni
  • Descrizione della violazione
  • Descrizione delle misure adottate o che si adotteranno per porre rimedio al data breach e alle sue eventuali conseguenze sull’interessato

Non c’è più la notifica al Garante per la privacy, ma c’è il registro del trattamento.

L’obbligo (valido per alcune aziende e alcuni tipi di dati) dell’informazione preventiva al Garante per la privacy è abolito e sostituito da un nuovo documento, il registro del trattamento. Se vogliamo, è la “fase 2” della gestione privacy, conseguente alla valutazione d’impatto e da usare come strumento di pianificazione interna. Non è obbligatorio per le aziende con meno di 250 dipendenti, a meno che “il trattamento che esse effettuano:
  • possa presentare un rischio per i diritti e le libertà dell’interessato,
  • il trattamento non sia occasionale
  • o includa il trattamento di categorie particolari di dati (i cosiddetti dati sensibili, ndR),
  • o i dati personali relativi a condanne penali e a reati (i cosiddetti dati giudiziari, ndR).”
Anche questo documento deve contenere tutta una serie di dati: in fondo al post ti suggeriamo un servizio per creare il registro dei trattamenti e gestire la tua informativa privacy.

Nasce il DPO (Data Privacy Officer).

Applicare il GDPR vuol dire non solo avere i documenti, ma anche i ruoli aziendali giusti. In questo il GDPR è molto chiaro: rimangono le figure che fino ad oggi conosciamo, cioè titolare, responsabile e incaricato, e ad esse si aggiunge il responsabile del trattamento dati personali, cioè il Data Privacy Officer o DPO, una figura di auditor interno indipentente, con competenze legali e informatiche, dotato di autonomia di spesa e poteri decisionali. Come nel caso del registro dei trattamenti, non tutti dovranno avere un DPO, ma solo chi tratta quantità notevoli di dati personali in maniera non occasionale, chi tratta dati sensibili o giudiziari, o se si tratta di enti pubblici.

Cosa succede a chi non rispetta il GDPR?

Le violazioni sono piuttosto consistenti: si può arrivare a fino al 4% del fatturato con un tetto massimo di 20 milioni di euro.

Cosa fare? Una GDPR to do list in 5 punti

Primo: prendi l’informativa del tuo sito web e verificala.

Controlla se contiene tutti gli elementi necessari (sotto, uno strumento che può aiutarti a gestirla). Poi leggila o falla leggere a qualcuno e chiedi: si capisce? Cosa non è chiaro?

Secondo: fai una mappatura di tutti i punti in cui raccogli i dati degli utenti.

Form di contatto, form per la newsletter, pagina di registrazione, ecc. verifica che siano conformi a tutte le cose che hai appena letto.

Terzo: descrivi il modo in cui effettivamente tratti i dati.

Parti dal momento della raccolta e arriva fino alle modalità di conservazione. Per farlo, ecco una serie di domande guida.
  • Che strumento o servizio usi per raccogliere le email? Che tipo di trattamento dati hanno? Dove finiscono i dati, una volta che li hai raccolti?
  • Una volta che hai raccolto i dati, dove sono conservati tutti i dati che tratti? Su che tipo di database? Su che server poggia il database? Il fornitore del servizio è GDPR compliant? E così via.
  • Chi si occupa di analizzare dati (ad esempio, o per estrapolare le email su cui fare promozione commerciale)?

Quarto: con tutte queste informazioni, redigi la DPIA, l’analisi di impatto dei rischi.

Sul sito del Garante della privacy trovi un software che ti aiuta nella redazione. Se sei in dubbio, consulta un esperto.

Quinto: rivedi, cambia, implementa.

Sempre con l’aiuto dell’esperto, rivedi il testo dell’informativa privacy e tutte le parti del tuo sito dove raccogli i dati. Rivedi il processo di trattamento dati e i fornitori dei servizi che usi. Valuta con l’esperto se è il caso di cambiarli. Valuta con l’esperto se rientri nella casistica elencata dal GDPR per cui devi avere un DPO e il registro del trattamento. E dopo, passa all’implementazione.

Un consiglio in più

Cerchi degli strumenti semplici che ti permettano di documentare le attività di trattamento dei dati, gestire la privacy interna e conservare la prova del consenso?

Prova le 2 nuove soluzioni Internal Privacy Management e Consent Solution proposte da iubenda.

Risorse utili

La tua prima fonte deve essere il sito del Garante Italiano della privacy, che ha messo a disposizione di aziende, freelance e piccole imprese una pagina dedicata con tutta una serie di strumenti e informazioni.
Per capire se rientri o meno nella casistica prevista dal GDPR, ma in generale per capire come essere compliant, è naturalmente consigliabile e diremmo necessario rivolgerti a un esperto in tema privacy.

Questo post serve come sintesi per essere informato e consapevole, così da porre domande mirate e chiare all’esperto che contatterai


 

POST DI INCOMEDIA “LEGGI LA GUIDA AL GDPR” DEL 24/05/2018
Open chat
Ciao,
come posso aiutarti?