Dal 25 Maggio 2018 le Regole sulla Privacy sono Cambiate Drasticamente
Tornando indietro a soli 3 anni fa, le cose erano molto più semplici. La privacy era regolamentata dal D.Lgs. 196/2003 in Italia, ma venivano scarsamente applicate. In termini pratici, tantissimi inserivano la famosissima casella (checkbox ndr) con la frase di rito “Acconsento al trattamento dei miei dati personali ai sensi del D.Lgs. 196/2003.”
Tutto magnifico. Con poche battute di tastiera, tutto era al suo posto. La privacy dell’utente era così denigrata, ridotta a “una frase fatta”, tutti la prendevano sotto gamba e così, negli anni, miliardi di dati personali venivano venduti, scambiati, “seviziati” senza che il proprietario potesse far nulla. Come molte cose a cui si è abituati da anni, soprattutto per chi collezionava dati online come lavoro, non si pensava minimamente che qualcosa potesse cambiare.
MA, come nelle più belle storie, è proprio lì che tutto cambiò.
Il Regolamento Europeo 679/2016 – Date il benvenuto al GDPR
Il Regolamento è stato approvato nel lontano 2016, un po’ sotto i riflettori, infatti la maggior parte degli Europei, inclusi noi, ne siamo venuti a conoscenza solo pochi mesi prima l’entrata in vigore. Il GDPR (o RGPD in Italia) è il Regolamento Europeo che disciplina in maniera rivoluzionaria il trattamento dati delle persone fisiche da parte delle aziende. Vengono introdotte numerose novità, dalla segnalazione di eventuali data breach al consenso informato da parte dell’utente, dal diritto alla rettifica alla pseudonomizzazione, dalle responsabilità esterne agli incarichi interni, e chi più ne ha più ne metta.
È una vera rivoluzione che colpisce tutte le aziende che operano in Europa E anche quelle che fanno affare con l’Europa. Perciò, come potete ben capire, si tratta di una tematica a livello globale.
“Gestisco da anni i dati dei miei clienti, cosa cambia dalla vecchia 196/2003?”
Cambia praticamente tutto!
Dovrai redigere la tua informativa, il registro dei trattamenti, dovrai incaricare i consulenti esterni (come i collaboratori che hai) e disciplinare il trattamento dei tuoi dati da parte loro, devi utilizzare infrastrutture informatiche aggiornate e solide… Insomma, devi metterci subito le mani!
Dopo tutto ciò voglio comunque tranquillizzarti: è vero che bisogna essere in regola da oramai quasi 2 anni, ma è anche vero che puoi provvedere subito a sistemare la tua situazione, non è mai troppo tardi finché non arriva la sanzione (e credimi, si parte da 10 milioni di €, quindi credo ti convenga agire ora).
Fai Marketing? Acquisisci dati di clienti online? ATTENTO
Non dobbiamo girarci intorno: è chiaro che, qualsiasi azione di Marketing tu voglia fare verso un pubblico di potenziali clienti tramite i loro contatti diretti DEVE avere il loro consenso esplicito. Consenso che deve presentare caratteristiche ben precise, essendo espressione di una “volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso (l’interessato) manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” [art. 4 n.11 GDPR].
Parafrasando: non solo non puoi fare azioni di Marketing sui vecchi contatti, ma devi essere certo che il proprietario di quei dati ti dia un consenso positivo e dimostrabile, pena l’impossibilità all’utilizzo dei suoi dati. Non ci sono vie d’uscita, è così.
Come hai ben capito, il GDPR è un processo di adeguamento vero e proprio, attraverso il quale ogni singola impresa che gestisce dati personali DEVE passare, per evitare sanzioni salatissime (fino al 4% del fatturato e 20.000.000€, a prescindere da quanto la tua azienda fatturi).
3 Passi ESSENZIALI da cui partire
Ora tranquillo: un viaggio di 1.000 km inizia sempre con un passo. Anche se sei una Web Agency o un Marketer, è essenziale iniziare da solide basi. Seguili con attenzione per stare più tranquillo.
Passo 1: Responsabilità Esterna
L’art.28 del GDPR specifica chiaramente che, qualora il Titolare del Trattamento (ovvero la persona alla quale il proprietario dei dati concede, obbligatoriamente o meno, il permesso al trattamento degli stessi) si avvalga di figure esterne ad esso, queste ultime devono essere incaricate per iscritto e presentare le garanzie necessarie a tenere in sicurezza i dati stessi, che devono essere trattati nel limite di quanto stabilito dal Titolare.
In parole povere, se fai Marketing Online per conto di un tuo cliente, nella maggior parte dei casi dovrai avere da lui un incarico scritto che disciplini come tratterai quei dati per conto del tuo Cliente, che è in questo caso figura come il Titolare. Un buon consiglio sarebbe quelli di agire in maniera proattiva, guidando il cliente nella redazione e nella firma del documento PRIMA di iniziare a lavorare con lui, in modo da disciplinare correttamente la gestione dei dati personali.
Questo non vale sono in tal senso. Anche tu dovresti responsabilizzare il tuo commercialista al trattamento dei tuoi dati personali e di quelli dei tuoi clienti, per i quali sei Titolare.
Passo 2: Infrastruttura
Quale responsabile al trattamento dei dati del tuo cliente, dovrai offrire ad esso la migliore infrastruttura informatica e i software GDPR compliant necessari al rispetto della normativa vigente sulla pseudonomizzazione e sul data breach. In Italia, ad esempio, Aruba.it mette a disposizione dominio e hosting su piattaforme cloud sicure e garantite per il GDPR.
I dati inoltre non possono essere trasferiti all’estero senza prima valutare la sussistenza di idonee garanzie artt. da 44 a 50 del GDPR. Per trasferimento si intende anche l’avvalersi, per tutte le attività anche marketing e comunicazione, di servizi che comportano un trasferimento di dati all’estero. In tal caso occorre verificare se nei paesi in cui sono trasferiti i dati sussistono le garanzie previste dalla normativa UE.
Ricorda di controllare se l’azienda che ha sviluppato il software del quale stai comprando la licenza sia GDPR compliant, ovvero abbia applicato le misure di sicurezza necessarie a garantire l’incolumità dei dati che andrai a trattare.
Passo 3: Violazioni e Data Breach, le Misure di Sicurezza per prevenirli e gestirli
I dati devono essere protetti con adeguate misure di sicurezza, la cui adeguatezza deve essere proporzionale al rischio relativo al trattamento di cui all’art. 32 del GDPR. Possono essere di vario tipo, da scegliersi in funzione della tipologia di dati trattati e della dimensione aziendale. Sicuramente, il primo step è un’adeguata formazione del personale e degli operatori, per scongiurare pratiche non corrette.
Eventuali violazioni che, a meno che non sia improbabile che possano generare rischi, vanno segnalate entro 72 ore al Garante Privacy e, in alcuni casi, agli stessi interessati, artt. 33 34 GDPR.
Concludendo
Come avrai potuto intuire siamo di fronte a un cambiamento epocale passato in sordina. Molte aziende si stanno ancora adeguando e molte altre neanche sono a conoscenza di doverlo fare. Se hai bisogno di maggiori informazioni richiedi una consulenza candidandoti qui, se sarai idoneo ti ricontatteremo per aiutarti ad implementare misure di sicurezza documentali, tecniche e strutturali ideali al tuo tipo di attività al fine di rispettare a pieno il GDPR.