GDPR: la nuova privacy
Il 25 maggio entreranno in vigore le nuove norme sulla privacy così come previste dal Regolamento UE 2016/679 emanato il 27 aprile 2016.
Pur non essendo materia di diretta pertinenza di un professionista specializzato in materie societarie e fiscali, ho deciso di scrivere questo breve intervento dopo essermi reso conto dell’assoluta disinformazione che, a un mese circa dall’introduzione, ancora è diffusa tra le Piccole e Medie Imprese italiane.
L’acronimo misterioso GDPR significa General Data Protection Regulation e già dallo stesso capiamo la portata della normativa e il suo ampio ambito di applicazione: Regolamento generale per la protezione dei Dati.
La normativa è quindi destinata a tutti, nessuno escluso, ad eccezione di coloro che trattano i dati in qualità di privati cittadini. Nessun adempimento dovrà quindi essere effettuato da coloro che gestiscono la propria agenda privata, il proprio account privato sui social network, ecc. Dovranno, invece, porsi il problema e mettersi in compliance tutti i soggetti esercenti attività di impresa, arte o professione, dal piccolo artigiano alla grande azienda, dal medico alla grande clinica per comprendere notai, avvocati, commercialisti, architetti, ecc.
Il nuovo approccio è globale e integrato, nel senso che abbraccia tutti i vari ambiti del trattamento dei dati e si basa sui rischi reali ed effettivi insiti nella gestione dei dati durante la propria attività imprenditoriale, professionale o artistica.
Per questo motivo non ci saranno ricette preconfezionate e tutti dovranno affrontare una preliminare fase di mappatura dei propri processi e dei dati di cui vengono in possesso.
L’approccio, come detto, dovrà basarsi sul rischio: più il rischio sarà alto e maggiori dovranno essere le misure per scongiurare l’uso fraudolento dei dati. Il dato viene distinto in “sensibile” e “comune”. I dati sensibili sono quelli che, notoriamente, possono essere utilizzati per discriminare gli individui appunto in base a determinate caratteristiche (abitudini sessuali, origini, opinioni politiche, ecc). E’ intuitivo come, l’approccio basato sul rischio, non possa prescindere dalla corretta individuazione del tipo di dato trattato.
Ancora, i dati “anonimi” avranno un rischio inferiore rispetto ai dati “personali” che potranno essere “anonimizzati” per ridurre il rischio di trattamento. Un ulteriore modo, previsto dallo stesso regolamento, per ridurre i rischi è quello di cifrare gli archivi di dati in modo da rendere più difficoltoso il loro utilizzo in caso di attacco o di “data branch”. Una volta mappati i dati e i relativi trattamenti si potranno individuare idonee misure di sicurezza calibrate all’effettivo grado di rischio.
In effetti, la normativa non prevede delle misure minime, cosa che ci può lasciare un po’ disorientati nell’applicazione pratica, ma lascia libere le imprese di dotarsi di idonee misure di sicurezza calibrate sul rischio individuato. All’interno del GDPR vengono consigliate alcune soluzioni per ridurre i rischi quali, come abbiamo già detto, la cifratura dei dati. Ben visti saranno quindi l’utilizzo di archivi cifrati, di firwall, di antivirus, di password di protezione, ecc.
Un altro aspetto importante sarà quello delle policy e dei processi aziendali che dovranno individuare i soggetti preposti al trattamento dei dati che dovranno essere dotati di appositi incarichi e deleghe nonché di adeguata formazione. L’informativa al trattamento dei dati e il relativo consenso, cavallo di battaglia della vecchia normativa, non spariranno ma dovranno essere sicuramente adeguate. Dovrà essere specificato, ad esempio, il tipo di trattamento effettuato e il tempo per il quale il dato verrà “storicizzato”.
Tutto ciò cosa implica? Che non si potrà far riferimento a dei minimi preconfezionati, ma bisognerà svolgere la fase di mappatura dei dati, di ricognizione dei rischi, di modalità di trattamento e di identificazione delle misure di sicurezza adottate lasciando traccia dei processi logici e tecnici seguiti in modo da riuscire a sostenere la bontà del proprio operato in caso di controlli delle autorità competenti o, peggio, in caso di eventi dannosi cagionati a terzi e conseguenti richieste di risarcimenti danno.
E sì, perché i rischi patrimoniali non possono essere sottovalutati: si va da sanzioni che possono arrivare fino a 20 milioni di euro (avete capito bene….) a richieste danni da cifre astronomiche in caso di uso fraudolento di dati o di sottrazione degli stessi.
Poco meno di un mese di tempo per adeguarsi: il tempo non è molto ma probabilmente sufficiente per la maggior parte delle PMI che potranno avvalersi del supporto di specifici consulenti e di programmi informatici che aiuteranno nel raggiungere la compliance alla normativa, che, come abbiamo visto, non si riduce alla redazione di banali documenti preconfezionati ma deve prevedere un’analisi di mappatura dei trattamenti dei dati, dei rischi e di individuazione delle misure di sicurezza ritagliate su ogni specifica realtà.