E’ ormai passato diverso tempo dal 25 maggio 2018, eppure ancora molte aziende non sono riuscite ad adeguarsi al GDPR [General Data Protection Regulation].
Di questa nuova normativa se ne è parlato a lungo e, inutile negarlo, in molti hanno trovato opportunità di lavoro in questo settore spesso senza avere né competenze né conoscenze specifiche.
Nel grande allarmismo dello scorso anno tutto questo non ha fatto altro che contribuire a portare ulteriore ambiguità.
Perciò ritengo che sia saggio per tutti rivedere insieme i punti salienti del GDPR al fine di comprenderli al meglio e di capire se il processo di adeguamento sia stato portato a termine nel modo corretto o meno.
Non ci dilungheremo su concetti arzigogolati e spesso sconosciuti ai più, ma cercheremo di affrontare schematicamente il tema con il preciso scopo di fare chiarezza.
In estrema sintesi col GDPR:
- Si introducono regole più chiare su informativa e consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Vengono Poste le basi per l’esercizio di nuovi diritti;
- Vengono Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Vengono Fissate norme rigorose per i casi di violazione [data breach]
Quali dati sono soggetti al GDPR?
Ricordate i “dati sensibili”? Oggi la normativa non fa più riferimento solo a quelli, ma più in generale a qualunque informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente e trattabili con mezzi automatizzati e non.
Non parliamo quindi solo di nome e cognome, ma anche di indirizzi IP, cookies, email, dati bancari e molto altro.
Quali aziende sono soggette al GDPR? Si devono adeguare alla normativa tutte le imprese, le organizzazioni e le Pubbliche Amministrazioni presenti negli stati membri dell’Unione Europea indipendentemente dal fatto che il trattamento sia effettuato in UE, ma anche società extra UE che offrono servizi o prodotti a persone fisiche nel territorio dell’UE.
Questo aspetto è molto importante e spesso viene sottovalutato dalle aziende che non risiedono in uno stato membro dell’UE.
Prendiamo un esempio che ci è molto prossimo: quante aziende svizzere, ad esempio, lavorano con territori dell’Unione Europea? Possiamo rispondere con certezza che sono molte e possiamo affermare con altrettanta trasparenza che sono poche quelle allineate sulla normativa. Si tende spesso a minimizzare, ma le sanzioni esistono e non vanno in alcun modo sottovalutate.
Cosa si rischia?
Il GDPR prevede sanzioni pecuniarie e penali a seconda della gravità della violazione e delle strategie messe in atto dall’azienda per minimizzare il rischio di perdita dei dati.
Sono stabilite multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’azienda dell’esercizio precedente, se superiore alla predetta cifra, qualora non vegano adottati accorgimenti strutturali e formali.
Possiamo trovare esempi anche in azioni totalmente basilari all’interno del regolamento come il non aver assegnato ruoli specifici nel trattamento dei dati così come del DPO, il non aver realizzato i registri delle attività di trattamento o il non aver comunicato la violazione del Data Breach all’Autority e all’interessato.
Le sanzioni salgono a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra, qualora si attestino violazioni ai principi e alle norme che provocano dei danni sugli interessati.
Nemmeno le organizzazioni no profit e di volontariato sono escluse dalle sanzioni, le quali, nel caso, devono essere valutate dall’Authority.
Sono passibili della responsabilità e quindi tenuti al risarcimento soltanto il titolare del trattamento ed il responsabile incaricato. Il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.
Cosa c’è di realmente nuovo nel GDPR
Il DATA PROTECTION OFFICER (DPO)
Anche se già obbligatoriamente presente in alcune nazioni europee, il GDPR ha introdotto la figura del DPO in tutti i membri dell’Unione. Si tratta di un soggetto indipendente (interno o esterno alle organizzazioni e un gruppo di imprese o soggetti pubblici può nominare un unico DPO) il cui compito è quello di osservare, valutare e organizzare la gestione e protezione del trattamento di dati personali in conformità alla legge. La sua nomina deve essere obbligatoria per tutte le amministrazioni e gli enti pubblici, per i soggetti la cui attività principale consiste in trattamenti che richiedono il controllo regolare e sistematico degli interessati e per tutti i soggetti la cui attività principale consiste nel trattamento di dati sensibili.
DATA BREACH
Un’altra delle tematiche affrontate dal GDPR riguarda il Data Breach, definito come qualsiasi attività che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le aziende, entro 72 ore dalla venuta a conoscenza della violazione subita (eventuali ritardi devono essere giustificati) devono comunicare all’Authority la natura della violazione, le possibili conseguenze, le misure adottate per rimediare o ridurre l’impatto del danno subito, ma anche fornire il nome e i dati di contatto del DPO.
Qualora sussistesse un rischio elevato per i diritti e le libertà della persona fisica i cui dati sono compromessi, la comunicazione dovrà avvenire anche agli interessati con le stesse modalità fornite all’Autorità.
Come sappiamo le minacce sono sempre più complesse e le aziende spesso non hanno le conoscenze per combatterle. È quindi necessaria una tecnologia che protegga i dati su più livelli ed il GDPR, seppur a molti sembrerà il contrario, può essere uno strumento di tutela molto utile per le aziende. Nonostante spesso venga visto come un nemico ostile, è in realtà un grande alleato in grado di affrontare unitariamente tematiche relative alla protezione dei dati digitali e non. In un contesto in cui la tecnologia corre più veloce che mai, è opportuno tutelarne gli attori proteggendoli o perlomeno mettendoli al corrente dei rischi che corrono.
Per affrontare un mutamento aziendale di questa portata è senza dubbio necessario affidarsi a professionisti del settore in grado di affiancare l’imprenditore nelle scelte e nella gestione del processo. La materia è infatti complessa e in continuo aggiornamento e non è consigliabile correre rischi inutili quando esistono figure preposte in grado di sostenere aziende ed imprenditori lungo tutto l’adeguamento.
Modalità Impresa lavora con un team di professionisti in grado di valutare la conformità della tua azienda al GDPR, ed in particolare assiste aziende SVIZZERE che, se comunicano con clienti residenti in Europa, devono assoggettarsi a tale normativa.