Il nuovo Regolamento Europeo sulla protezione dei dati personali, meglio conosciuto come GDPR, probabilmente ha creato più confusione che chiarezza, non tanto per la normativa in sé la cui lettura scorre abbastanza fluidamente, quanto per la disinformazione generata online sulla sua attuazione pratica.
Si assiste ad una pletora di tutorial da bar che hanno avuto l’unico obiettivo di sminuire la tematica in maniera significativa, spostando l’attenzione dalla chiara indicazione di adottare misure tecniche e organizzative adeguate per garantire che il trattamento è effettuato conformemente al regolamento, alla semplice generazione dei documenti necessari per stare tranquilli e mostrare un pezzo di carta alle autorità di controllo (spesso solo informative e cookie policy scaricate gratuitamente da siti internet).
A creare ancora più fiducia nell’adeguamento home made, ha contribuito la convinzione che l’acquisto di un software avrebbe magicamente reso l’azienda allineata alla normativa e in grado di superare i severi controlli che scatteranno a breve.
Si è creato così un panorama in cui la semplificazione dell’argomento e la propaganda in stile yes we can hanno fatto avere a tutti la percezione di diventare esperti di privacy, giungendo alla conclusione che l’acquisto di un software che avrebbe autonomamente creato dei documenti da stampare avrebbe risolto la situazione.
Chiaramente la sorpresa avuta da schiere di liberi professionisti, microimprese ed aziende che sono entrate nel campo di battaglia della privacy brandendo google con una mano e il software con l’altra è stata fortemente negativa, perché ci si è scontrati con alcune evidenze fondamentali quali:
-
il software mi chiede di inserire una marea di dati, che dati devo inserire?
-
non sono obbligato a fare il registro dei trattamenti ma il software mi obbliga a farlo sennò non mi fa andare avanti, che faccio?
-
devo nominare i responsabili interni
-
servono le lettere di nomina?
-
per fare le informative devo inserire le finalità, le modalità di acquisizione, gli obblighi derivanti dagli articoli 6 e 9, le misure di sicurezza … che sono?
-
non vedo funzionalità o voci di menu che parlano di accountability e privacy by design e default, vabbè li ometto non saranno importanti!
Si, la triste realtà è che i software sono solo dei database organizzati che permettono di fare tante cose in maniera più o meno automatica a patto che vengano inseriti i dati, ma se questi dati siano giusti, sbagliati o esaustivi non ce lo potrà mai dire né i software né tantomeno i motori di ricerca.
Inoltre ci sono altre due cose da tenere in conto:
-
l’adeguamento aziendale non è tutto focalizzato sul GDPR, in quanto la normativa italiana del Codice Privacy è ancora attiva in tutte le parti in cui non entra in conflitto col Regolamento europeo (e sono molte le parti non in conflitto!)
-
le misure tecniche ed organizzative non sono uguali per tutte le aziende, ma sono tarate per le reali esigenze di chi effettua l’adeguamento.
La normativa privacy è strettamente connessa all’organizzazione interna dell’azienda, motivo per cui CentoCinquanta se ne sta occupando, in quanto i principi fondamentali sono fortemente legati all’organizzazione strutturale, in che modo?
Partiamo dai tre elementi distintivi della normativa: privacy by design e by default, approccio basato sul rischio, accountability, e proviamo ad immaginare uno scenario semplice, come quello della formulazione di un preventivo per una persona che non è ancora nostro cliente.
Con privacy by design e by default si intende che la tematica privacy è requisito fondamentale dei processi organizzativi aziendali: prima bisogna definire il processo di acquisizione dei dati (design) e poi bisogna applicarlo sempre (default).
In riferimento al nostro esempio la raccolta dati tramite formulario cartaceo o elettronico è già una acquisizione che deve essere regolarizzata (design), quindi nel momento in cui si acquisiscono dati è necessario innanzitutto mostrare e far firmare l’informativa sulla privacy (default), e poi a livello interno l’azienda deve avere un processo che regolamenti l’utilizzo di quei dati (personale che ne viene a conoscenza, modalità di conservazione, cosa fare del dato se il cliente non accetta il preventivo, ecc…)
Queste ultime operazioni ci hanno già introdotto nella tematica dell’approccio basato sul rischio in cui si prevede che, partendo dai possibili scenari di violazione dei dati, si devono individuare le misure preventive per evitare che lo scenario possa verificarsi e le misure correttive per arginare i danni una volta che si verificano violazioni.
Tornando al nostro esempio, se l’agente di commercio una volta che acquisisce il dato lo vuole passare un operatore interno dell’azienda tramite mail, ma sbaglia erroneamente a scrivere l’indirizzo e la mail arriva ad una persona/azienda esterna, abbiamo appena assistito ad una violazione dei dati. In questo caso la misura correttiva dovrebbe essere quella di formare l’operatore ad un uso consapevole degli strumenti in dotazione, ma se comunque dovesse verificarsi un errore umano, la misura preventiva deve essere quella identificata in fase di design, che plausibilmente consiste in tre operazioni: ricontattare la persona a cui è stata inviata la mail per comunicargli che è stata inviata erroneamente la mail, informare l’interessato che c’è stato questo errore, valutare se ci sono i presupposti per comunicare la violazione al garante tramite la procedura di data breach.
Tutte queste operazioni, come si può facilmente percepire, non sono solamente oggetto di documentazione scritta, ma devono essere realmente seguite dall’azienda in quanto le operazioni di verifica da parte delle autorità di controllo verteranno proprio sull’applicazione dei diritti degli interessati e quindi delle modalità di trattamento dei dati.
Per concludere, la tematica privacy è ben altro rispetto a pochi concetti acquisiti dai motori di ricerca o da un semplice data entry su software specifici, ma è una normativa che colpisce l’organizzazione aziendale, i processi, i reparti, e il metodo di lavoro delle persone.
Lo stesso sistema sanzionatorio è più “pesante” rispetto alle vecchie normative in quanto viene lasciata al titolare la responsabilità definire i trattamenti effettuati e di mettere in atto tutte le misure tecniche ed organizzative necessarie al fine di proteggere i dati personali che vengono maneggiati nelle aziende.
Peraltro si prevede che il prossimo agosto 2018 la normativa italiana 196/2003 verrà modificata per essere completamente adeguata al Regolamento Europeo, e nel tempo verranno aggiornati anche tutti i documenti integrativi ormai obsoleti, quindi l’adeguamento delle aziende non è una attività una tantum, ma un processo continuativo che deve essere seguito in maniera cosciente.
Per questa ragione CentoCinquanta ha inserito nel calendario formativo “Management tool Kit 2018” il corso “Privacy e DPO course” focalizzato sugli aspetti pratici dell’implementazione del GDPR in azienda.
Ecco i temi oggetto del corso
-
GDPR, principi base e adeguamento in Italia sulla base del D.Lgs in approvazione al parlamento
-
Figura del DPO, quando averlo e quali qualifiche deve avere
-
Accountability e privacy by design, quale impatto nelle procedure per le aziende
-
Implementazione del GDPR nelle aziende, step pratici e simulazione di un progetto di compliance
-
Struttura e scrittura delle informative a norma
Per accedere alle iscrizioni cliccare al seguente link http://eepurl.com/dzCJ2r o contattare dott. Massimiliano Lauricella massimiliano.lauricella@centocinquanta.it tel +39 0952962832 mob +39 3701050022
Per info e dettagli scarica la il programma del Corso GDPR o accedi alla sezione eventi del nostro sito
