regolamento GDPR Europeo Protezione Dati Personali

GDPR e PMI: come si devono adeguare le imprese

Introduzione

Il GDPR (General Data Protection Regulation) rappresenta un intervento normativo dell’Unione Europea riguardante tutte le organizzazioni che trattano dati delle persone fisiche.

Il fine è non solo quello di armonizzazione, ma anche di semplificare e al tempo stesso rafforzare la tutela delle persone fisiche circa il trattamento dei loro dati, nonchè la circolazione degli stessi dentro e fuori l’Unione Europea.

In estrema sintesi, ecco il GDPR in 10 adempimenti principali:

  1. Obbligo di ottenere il consenso esplicito al trattamento dei dati;
  2. Anonimizzazione dei dati processati;
  3. Diritto di notifica in caso di compromissione dei dati (i.e. data breach);
  4. Limitazioni al trattamento automatizzato dei dati (si v. profilazione e clustering);
  5. Garanzie più rigorose per il trasferimento fuori dall’UE dei dati;
  6. Informazioni più complete e chiare sul trattamento dei dati;
  7. Salvaguardia dei dati processati;
  8. Potenziamento dei diritti dell’utente: diritto di rettifica, di eliminazione e all’oblio;
  9. Accesso facilitato ai propri dati;
  10. Diritto di spostare i dati da un prestatore di servizi ad un altro (i.e. portabilità).

La scadenza fissata dal legislatore Europeo per adeguarsi agli obblighi del GDPR è il 25 maggio 2018 (non sono previste né proroghe né “grace period”).

Cos’è il GDPR

Il 27 aprile 2016, l’Unione Europea approvò il Regolamento 2016/679, oggi noto come GDPR (acronimo di General Data Protection Regulation).

Un anno dopo la Germania lo adottò a tutti gli effetti. Gli altri stati membri a seguire.

In realtà, il Regolamento 2016/679 (GDPR) va ad abrogare non solo la Direttiva 95/46/EC sulla protezione dei dati risalente al 1995, ma anche il nostro codice per la protezione dei dati personali (il famoso dlgs.n. 196/2003), poichè incompatibili con il GDPR.

Il legislatore Europeo, in un periodo in cui si parla di cybersecurity, remarketing e profilazione, ha ritenuto obsolete le vecchie normative presenti negli stati membri: per allinearsi al megatrend, ormai limpido, orientato verso i big data, il GDPR investirà tutte le organizzazioni dell’UE, i relativi prodotti e servizi nonchè il personale che trattano dati di persone fisiche.

Quindi esattamente per chi è obbligatorio?

A chi si applica il GDPR

Date le ragioni di fondo del Regolamento 2016/679 (GDPR), la normativa presenta tre contemporanee estensioni di applicazione:

  • Declinazione orizzontale: Il GDPR si applica a tutti i settori commerciali (ergo, a tutti i codici ATECO);
  • Declinazione verticale: Il GDPR si applica a tutte le dimensioni aziendali (start-up, ditta individuale, PMI, franchising, industrie, ecc.), a prescindere da fatturato o numero di dipendenti;
  • Declinazione diagonale: Il GDPR si applica a tutte le tipologie aziendali (ditte individuali, liberi professionisti, ONLUS, SpA, studi associati, scuole, aziende pubbliche, para-statali, comuni ecc.) 

Pertanto, collocarsi su un punto qualsiasi tra le tre predette dimensioni costituisce di per se condizione necessaria per l’applicazione del GDPR. Condizione sufficiente è invece il trattamento dati di qualsiasi persona fisica residente nell’Unione Europea (particolare il caso della Gran Bretagna e della Danimarca, che hanno negoziato su diversi aspetti in materia di giustizia e affari interni – la regolamentazione in questi stati avrà delle limitazioni).

Si noti come non viene menzionata una dimensione territoriale in quanto il GDPR si applica anche alle organizzazioni con sede legale fuori dall’Unione Europea.

Facile intuire quindi che i soggetti obbligati (meglio, soggetti passivi della norma), vanno dal geometra di città alla società quotata alla Borsa Italiana. E se sono scissi in due persone differenti, sono soggetti passivi sia i titolari (controller e contitolari compresi), che i responsabili (processor) dei dati.

Ma cosa cambia tra un soggetto passivo e un altro?

Principalmente l’impatto della normativa: i medici che trattano personal data anche di tipo sanitario dovranno adottare misure diverse e indubbiamente più complesse di un amministratore di condominio, ma non paragonabili ad un hotel dove magari si fa anche un profilazione dell’utente attraverso il suo comportamento nel sito web e nei canali social.

Come adeguarsi

Appurato per chi è obbligatorio, vediamo in pratica come fare per adeguarsi al GDPR.

Il soggetto responsabile dei dati deve adottare una serie di misure tecniche e organizzative volte ad assicurare la piena aderenza (i.e. compliance) alla normativa in vigore.

Va da se che per essere in linea con la normativa, sicuri con i controlli e sopratutto evitare le sanzioni la strada per la GDPR compliance deve essere affrontata tenendo presente che si entra nel campo del change management: occorre ridisegnare processi, riformare le risorse umane nonchè adattare i sistemi.

La piccola impresa artigiana che da sempre scambi i numeri di telefono lasciati dai propri clienti con un’agenzia assicurativa dovrà rivedere il suo modus operandi. Seppur in scala più piccola, sempre si tratta di cambiamento e come tale deve essere affrontato.

Come fare in sintesi?

Il GDPR presuppone un processo circolare (non basta adeguarsi la prima volta e dopodichè non ci si preoccupa più del trattamento dati), periodicamente rivisitato, di cui la prima applicazione, ovviamente, sarà la più impegnativa.

Il processo consta di 10 macro fasi da adattare al caso specifico:

compliance accountability gdpr fasi ciclo adeguarsi

Questo standard è lo stesso che abbiamo seguito noi quando il cliente ci ha chiesto di adeguarsi al GDPR.

Andiamo quindi ad analizzare ogni fase nel dettaglio.

Pianificazione del processo di GDPR compliance

Dopo un primo meeting iniziale, si procede alla pianificazione degli interventi da effettuare, si stabiliscono obiettivi e responsabilità e si visualizza l’insieme dei risultati da ottenere.

Il principio cardine da tener presente sin da subito stabilito dal Regolamento 2016/679 è quello dell’accountability: si tratta della c.d. responsabilizzazione dei titolari del trattamento finalizzata a minimizzare i rischi per i diritti e le libertà delle persone fisiche. Ecco che, già dalla fase di pianificazione, occorre prestabilire una precisa rendicontazione circa l’uso e la protezione dei dati stessi.

Sempre in questa fase, inoltre, si procede alla stima delle risorse (finanziare e non) da impiegare nel processo di compliance. Occorre infatti un budget, più o meno consistente a seconda dell’impatto, da stanziare per l’adeguamento. Il budget impiegato decresce, ceteris paribus, ad ogni “giro” del ciclo stesso, ossia diminuisce anno dopo anno dopo un picco iniziale relativo al primo adeguamento.

Osservazione e reperimento informazioni

Si tratta della fase di audit evidence, dove la società di consulenza esterna o i responsabili aziendali procedono alla raccolta, all’elaborazione ed alla valutazione delle informazioni da una pluralità di fonti:

  • Osservazione diretta della realtà aziendale;
  • Analisi delle informazioni reperite da terzi (esterni all’azienda);
  • Analisi delle rilevazioni effettuate dalla società (interne).

Il peso di ogni fonte è variabile: ci sarà infatti un diverso livello di persuasività, che sarà determinante in caso di controlli da parte delle autorità competenti. Questa è una delle ragioni principali per esternalizzare il processo di GDPR compliance e affidarlo ad un ente esterno privo di conflitti di interessi.

Consizos®, come ditta di consulenza indipendente esterna è infatti in grado di gestire l’intero processo di adeguamento in modo imparziale e consistente, ma soprattutto conforme agli standard della normativa GDPR.

Analisi preliminare generale complessiva

Una volta raccolte le evidenze necessarie, occorre iniziare porre sotto la lente di ingrandimento tutto ciò che entra in contatto con i dati delle persone fisiche: processi, sistema informativo, prodotti, servizi e risorse umane.

In questa fase l’analisi lavora a livello macro, ma sempre calandosi nel reale contesto aziendale. Per cui occorre chiedersi: quali dati vengono trattati? chi li maneggia? Come li maneggia? E come (se) li protegge?

Precisiamo, che il legislatore Europeo dimentica il concetto di dati sensibili (ormai obsoleto), per allargare le categorie e le definizioni di dati da proteggere. In particolare ci si riferisce a quattro categorie principali:

  • Dati personali (anche semplici dati che consentano di identificare una persona);
  • Dati genetici;
  • Dati biometrici;
  • Dati sulla salute.
dati personali gdpr sensibili biometrici

Risulta quindi chiaro come non basti più sapere quali sono i dati sensibili e chiedere il consenso al trattamento per liberarsi del discorso privacy.

Analisi dettagliata di processo

Siamo nel nucleo dell’adeguamento.

Si è già imbastita una notevole documentazione e modulistica che consente di avere un quadro generale ma rigoroso utile per capire come procedere.

Occorre però entrare nel dettaglio: in questa fase si lavora a livello micro.

Sappiamo che dati vengono processati, da chi e come vengono trattati. In realtà non sappiamo come effettivamente avviene tutto ciò: occorre “seguire” il dato.

Per ogni classi di dati individuate, si procede alle analisi differenziate delle c.d. data journey: i percorsi fisici e digitali intrapresi dal dato, dal momento in cui entra nell’organizzazione al momento in cui (eventualmente) esce.

Questo complesso di analisi è fondamentale non tanto per sapere i percorsi seguiti dai dati (di cui un’idea già si era delineata), ma per capire come un dato può uscire: il secondo principio di cui tener conto è infatti il risk based approach, di cui meglio parleremo nella fase di assessment.

Testing e verifche

Analisi macro e micro alla mano, procediamo ai check sostanziali, solitamente divisi in due grandi gruppi:

  • Test di dettaglio: mirano ad appurare la consistenza di singole operazioni;
  • Verifiche di coerenza: mirano ad individuare sintonia tra ciò che si dichiara di fare e ciò che effettivamente si fa.

Fase molto tecnica per cui risulta fondamentale la presenza di professionisti specializzati, testing e verifiche devono essere eseguiti attraverso metodiche rigorose (es. campionamento statistico), inverse (es. reverse engineering) e spesso miste (es. dall’ethical hacking al cybersecurity).

Terminata questa fase occorre un’ulteriore riunione di SAL (o meeting interno), poichè si dispone di un’analisi ormai precisa e chiara del trattamento dati. Si aggiustano inoltre le stime di budget e ci si avvicina alla fase “attiva” del processo.

Risk assessment e vulnerability assessment

In breve, si procede all’analisi dei rischi ed alla valutazione della vulnerabilità.

L’obiettivo è che l’azienda stessa diventi il garante della privacy per il proprio cliente: controllo accessi, conservazione dei dati, misure di sicurezza, nomina del responsabile (DPO), best practices, amministratore di sistema e consenso al trattamento rappresentano le dirette conseguenze che scaturiscono da questa fase.

Il GDPR, se correttamente sfruttato, rappresenta infatti una nuova leva di marketing: il cliente che si fida dell’azienda è un cliente che acquista i prodotti/servizi offerti, che li consiglia e che non si rivolgerà a competitor terzi. Ecco che il GDPR costituisce un’ottima occasione sia per rivedere i propri processi e innovarsi, sia per agire sul posizionamento competitivo agli occhi del consumatore.

La minimizzazione del rischio e l’ottimizzazione dei punti vulnerabili sono temi che oggi vengono presi in considerazione anche dal potenziale cliente, che oggi è informato ed esigente. Sopratutto circa i suoi dati.

Tali procedure rientrano perfettamente nelle attività di sicurezza e protezione che già da tempo offriamo ai nostri clienti.

Questa fase, come le altre, si concretizza nella produzione di ulteriore documentazione tecnica. In particolare si otterrà un vero e proprio documento di valutazione dei rischi, che sarà differenziato per aree di rischio, tipologia di dati e soggetti coinvolti.

Mapping e Gap Analysis

A questo punto si procede alla mappatura del sistema informativo ed alla relativa Gap Analysis.

Questi sono due documenti che vanno costruiti di pari passo: il primo si avvale di descrizioni, schemi e diagrammi di flusso, mentre il secondo si sostanzia nel confronto con il modello ottimale (i.e. benchmark di riferimento).

Da questa fase, si evidenzieranno:

  • Punti di forza del sistema: che saranno soggetti ad ulteriori test di controllo per accertare la conformità dei comportamenti;
  • Punti di debolezza del sistema: che saranno segnalati al management o all’imprenditore di riferimento.
mapping gap risk vulnerability GDPR

L’analisi degli scostamenti chiuderà il cerchio nella individuazione degli interventi correttivi da porre in essere.

Follow-Up con reporting preliminari

Si apre la fase attiva del processo.

Prima di procedere, però, occorre naturalmente il consenso della direzione a cui va rendicontato il quadro della situazione. L’imprenditore deve essere perfettamente informato degli interventi necessari per adeguarsi alla normativa, del loro impatto economico e della loro complessità.

Verrà quindi prodotto un report semplificato sintetico da affiancare alla documentazione complessiva prodotta.

Il report indicherà anche le anomalie individuate, i rischi, gli scostamenti con il benchmark e le tempistiche di adeguamento.

Attuazione delle misure correttive

In base agli scostamenti individuati sarà necessario attivare le relative procedure di conformità.

Tali procedure possono sfociare in interventi complessi anche per una PMI o per chi vende i propri prodotti online.

Cosa cambia in pratica con il GDPR?

Tornando all’esempio di cui sopra, del commercialista con sito web, gestionale e due collaboratori: cosa serve perchè il nostro professionista si adegui? Indichiamo, a livello esemplificativo non esaustivo, i seguenti interventi di conformità:

  • Adattare la piattaforma web al fine di consentire la scelta trasparente dei cookies da attivare da parte dell’utente: il consenso deve essere esplicito e differenziabile;
  • Informare le persone cui si riferiscono dati presenti in studio in caso di data breach (mentre l’Autorità deve essere informata entro 72 ore);
  • Predisposizione di un’informativa chiara semplice ed esplicita circa il trattamento e la conservazione dei dati;
  • Tenere sempre aggiornata la documentazione relativa al GDPR (registro trattamenti, valutazioni di impatto, ecc.). Come si è detto, il processo di adeguamento va adottato senza soluzione di continuità;
  • Potrebbe non essere necessaria la nomina del DPO, ma comunque vanno esplicitati i ruoli dell’amministratore di sistema, titolare, contitolare e responsabile: nel nostro caso di esempio tutte queste si ricongiungono nel commercialista stesso;
  • Proteggere l’intero sistema informativo (i.e. securing);
  • Salvaguardare i dati processati (pensiamo in primis al backup dei personal data);
  • Conferire la concreta possibilità di esercitare il diritto di rettifica, di eliminazione e all’oblio;
  • Nonchè l’accesso facilitato ai propri dati.

Ripetiamo che tali adempimenti rappresentano solo una parzialità degli obblighi che il commercialista in questione dovrebbe rispettare, ma sono sufficienti per rendere l’idea dell’impatto che crea il GDPR in un piccolo studio di un professionista che offre servizi di consulenza.

Reporting finale

Al termine del processo, una volta colmati tutti i gap individuati, si consegnerà al responsabile interno il report finale contenente un giudizio tecnico probabilistico di conformità nonchè l’insieme della documentazione prodotta lungo tutto il processo di adeguamento.

Sovente, insieme al reporting finale vengono anche stilate una serie di best practices da adottare per ottimizzare il ciclo di conformità al GDPR anno dopo anno.

Tale documentazione dovrà essere messa a disposizione delle autorità competenti in caso di controlli, del personale aziendale e dei clienti.

Per una PMI, la GDPR compliance può costare dagli 200 ai 1500€ in media (senza contare anche una componente variabile del 15% circa ogni periodo successivo).

Avendo analizzato l’intero processo di conformità, vediamo ora gli altri aspetti fondamentali del GDPR.

Il DPO: per chi è obbligatorio?

Con il GDPR è stata introdotta la figura del DPO, acronimo di Data Protection Officer.

Il DPO rappresenta il responsabile per la protezione dei dati aziendali, si colloca (solitamente) nella linea manageriale intermedia e farà da anello di congiunzione con le Autorità competenti.

Dovendo rivestire un ruolo di responsabilità su cui convergono skill decisamente eterogenee, il DPO soddisfa requisiti tecnico-professionali consolidati ma soprattutto aggiornati con l’evoluzione del settore IT.

Invero, il testo integrale del Regolamento 2016/679 (GDPR) non stabilisce qualifica o certificazione alcuna per poter ricoprire il suddetto ruolo. Lo stesso Garante per la Privacy ha recentemente chiarito che non ci sono titoli formali obbligatori per essere assunti come DPO.

Per la precisione, il GDPR ai sensi dell’art.37 il DPO deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.

Si tenga inoltre presente che più gli atti del DPO presentano carattere di indipendenza, autorevolezza e rigore più elevata sarà la compliance nei confronti della normativa.

Chiariti i requisiti della figura da designare, ci chiediamo se tale figura sia obbligatoria per tutte le aziende che trattano dati indistintamente.

Assumere il DPO è sempre obbligatorio?

Premettiamo innanzitutto che il DPO è una figura che può essere totalmente esternalizzata. L’outsourcing è, non solo pacifico per il legislatore Comunitario, ma spesso si rivela un’azzeccata mossa strategica nel momento in cui non si hanno le competenze all’interno dell’azienda, non si ha il tempo di formare le risorse umane presenti o non risulta conveniente imbarcarsi in un processo di selezione di nuovo personale.

Un’ulteriore via intermedia è quella di avvalersi di una consulenza specialistica esterna a supporto del  DPO interno, il quale potrebbe non sempre avere le conoscenze e competenze specialistiche per affrontare tutte le situazioni che gli si presentano durante e dopo il processo di adeguamento al GDPR.

Non solo.

Sempre grazie all’art. 37 di cui prima, risulta chiaro come tale figura non sempre sia obbligatoria, anzi, il GDPR tiene conto di diverse variabili, tra cui:

  • Ente pubblico o privato: nel primo caso è quasi sempre necessario il DPO;
  • Dati monitorati: se si trattano anche dati sanitari o giudiziari è necessario il DPO;
  • Core business e scala: se trattare dati rientra nel core business e lo si fa in larga scala è necessario il DPO.

Naturalmente, data la specificità di ogni azienda, una valutazione precisa va fatta caso per caso.

Ciò che rileva in questa sede è che, riassumendo, i soggetti passivi obbligati alla GDPR (data controller e processor) sono chiamati, in certe condizioni, a designare un DPO interno o esterno.

Di seguito, un’infografica intuitiva per capire quando è obbligatorio nominare il DPO:

dpo gdpr quando è obbligatorio nomina

Regime sanzionatorio

Il GDPR ha espressamente previsto una serie di sanzioni attivabili in caso di:

  • Mancata compliance totale;
  • Mancata compliance parziale.

Indipendentemente da quanto fossero elevate le sanzioni delle vecchie leggi nazionali, quelle previste dal nuovo GDPR saranno davvero ingenti. Così ingenti che, si è rilevato, nel caso venissero imposte a PMI con un bilancio poco in salute, queste organizzazioni potrebbero mettere a rischio la loro stessa esistenza: la penale massima può infatti ammontare fino a 20 milioni di euro e al 4% del fatturato mondiale dell’azienda.

Come viene irrogata la sanzione?

Innanzitutto deve essere appurata la mancata compliance: questa presunzione può originare sia da terzi (es. stakeholders), sia dalle Autorità competenti (che, tra l’altro, continuano ad assolvere compito di vigilanza e ispettivi).

Di conseguenza, tenuto conto anche del cruciale principio di accountability precedentemente analizzato, scatta l’onere della prova, che ricade in capo al soggetto passivo (data controller e processor). Il Regolamento, infatti, introduce un nuovo approccio, essenzialmente basato sulla responsabilizzazione del titolare del trattamento: si parla anche di privacy “dimostrabile” (oltre che di accountability), in quanto, appunto, l’onere della prova della conformità del trattamento grava sui titolari, o meglio sul soggetto passivo.

La decisione sull’applicazione delle sanzioni spetta all’Autorità di controllo (in Italia è l’Autorità Garante per la Protezione dei Dati Personali), che pondera i seguenti aspetti principali:

  • Natura, gravità e durata della violazione;
  • Carattere doloso o colposo della violazione;
  • Misure di sicurezza adottate per attenuare l’eventuale danno subito dagli interessati;
  • Eventuali precedenti violazioni commesse dal titolare del trattamento;
  • Grado di cooperazione con l’autorità di controllo
  • Altri fattori aggravanti.

Dopo queste fasi di carattere prettamente informativo e documentale, l’Autorità può procedere ad avvertimento formale. Se l’irregolarità è perpetuata, ci sarà un’ammonizione. Qualora l’ammonizione non fosse sufficiente, il soggetto passivo verrà sospeso da qualunque tipologia di data processing. Nell’eventualità non si rispetti la sospensione, verrà attivato il regime sanzionatorio vero e proprio.

Di seguito sono riportate tutte le sanzioni (c.d. multe) previste dal Regolamento Europeo che, ai sensi dell’art. 83 del Reg. UE/2016/679 devono avere carattere di effettività, proporzionalità e dissuasività.

Le sanzioni amministrative irrogate possono avere sia natura economica, sia natura correttiva e sia una natura ibrida (ossia integrando entrambi i caratteri).

Vediamole nel dettaglio.

Sanzioni di natura economica

Le sanzioni economiche previste dal Regolamento Privacy Europeo (UE/2016/679) sono rappresentate da:

  • Inosservanza degli obblighi del titolare e del responsabile del trattamento, degli obblighi dell’organismo di certificazione e/o degli obblighi dell’organismo di controllo: fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.
  • Inosservanza dei principi base del trattamento, dei diritti degli interessati, delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali, di un ordine e/o limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
  • Inosservanza di un ordine correttivo dell’autorità di controllo: fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

Invece, le sanzioni correttive previste dal Regolamento Privacy Europeo (UE/2016/679) sono rappresentate da:

  • Avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possano violare il GDPR.
  • Ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR.
  • Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti.
  • Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine.
  • Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali.
  • Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.
  • Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali.
  • Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli artt. 42-43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono soddisfatti.
  • Infliggere una sanzione amministrativa pecuniaria in aggiunta alle presenti misure.
  • Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
sanzioni gdpr autorità garante controlli evitare

Attenzione anche alle sanzioni penali: nonostante il GDPR focalizzi la propria attenzione, prevalentemente, sulle violazioni di tipo amministrativo, esaminando il Considerando 149 viene espressamente stabilito che gli Stati Membri “dovrebbero poter stabilire disposizioni relative a sanzioni penali” come strumento di attuazione e tutela della nuova disciplina, pur sempre in ossequio al principio del ne bis in idem.

[notification message=”Un esempio noto di azienda a cui è stata irrogata una sanzione per data breach è la Hertz: la compagnia di noleggio auto è stata sanzionata con un‹³›ammenda di 40‹³›000€ poichè i dati di 36‹³›000 clienti erano, non solo non protetti, ma sopratutto facilmente reperibili online.” type=”warning” __fw_editor_shortcodes_id=”ca0ede2bbd846821bf725ad766a92dc1″ _fw_coder=”aggressive”][/notification] 

Le ulteriori innovazioni della normativa GDPR

Abbiamo già vagliato i concetti di accountability, compliance e DPO.

In realtà il Regolamento Privacy Europeo (UE/2016/679)  introduce anche due ulteriori principi chiamati Privacy by Default e Privacy by Design, entrambi basati sull’approccio risk based.

Forse due delle novità più importanti con cui le aziende devono confrontarsi con l’entrata in vigore del GDPR, il Privacy by Default stabilisce che le aziende dovrebbero adottare delle policy interne e implementare misure tecniche e organizzative che garantiscano un livello di privacy adeguato “di base”, ossia impostare a monte la gestione dei dati in modo trasparente, sicuro e professionale. 

Dove le misure adottate dall’azienda dovrebbero riguardare tutti i dati raccolti, la portata della loro elaborazione, il loro periodo di storage e la loro accessibilità.

Non solo, i dati non devono essere resi accessibili a terzi non coinvolti nel processo o nel progetto relativo.

Il concetto di Privacy by Design è complementare a quello di Privacy by defaulte prevede che qualsiasi progetto (sia strutturale che concettuale) va realizzato considerando la progettazione della riservatezza e della protezione dei dati personali.
L’utente è posto al centro del sistema privacy (per definizione, quindi, è “user centric”), che deve elaborare solo quei dati personali necessari per lo specifico scopo per il quale queste informazioni vengono processate. 

Per “design” ci si riferisce, tecnicamente, al trittico: sistemi IT, pratiche commerciali corrette e progettazione strutturale e infrastrutture di rete.

Circa, invece, i diritti dei c.d. soggetti interessati, nell’art. 12 e negli artt. 15-23 vengono conferiti maggiori poteri a coloro che richiedono che un’azienda non utilizzi i loro dati personali: questi potranno richiedere all’azienda di cancellare i loro dati personali in determinate circostanze e, nel caso in cui queste informazioni siano state rese pubbliche, adottare misure ragionevoli per informare le persone addette alla supervisione dei dati che i soggetti coinvolti hanno richiesto la cancellazione di eventuali collegamenti, copie o repliche delle loro informazioni: si tratta del diritto all’oblio, che con il GDPR viene potenziato e rafforzato rispetto al passato (dove spesso non c’era un controllo ex post dell’effettiva rimozione dei dati).

Questa azione deve essere intrapresa da chi controlla entro 30 giorni dalla richiesta o, in caso di questioni più complesse, entro 180 giorni.

Un ulteriore diritto, relativamente nuovo, introdotto dal legislatore Comunitario è quello della portabilità dei dati.

è possibile, infatti, ricevere i dati forniti in precedenza a un titolare per conservarli in vista di un utilizzo ulteriore, o anche di ottenere la trasmissione degli stessi da un titolare ad un altro.

Questo diritto è diverso dal diritto all’accesso ai dati, e consente agli interessati di ricevere, dal titolare del trattamento, “i dati personali che lo riguardano forniti ad un titolare del trattamento” in modo che possa trasmetterli ad un altro titolare del trattamento (ad esempio, un’altra azienda). Il diritto alla portabilità dei dati è previsto, quindi, al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così assicurando da un lato un maggiore controllo sui propri dati da parte degli individui, e dall’altro una maggiore concorrenza tra aziende, promuovendo in tal modo l’innovazione e lo sviluppo di nuovi servizi.

Fondamentale per il Garante è, come più volte ribadito, fornire i dati in un formato che sia adeguatamente e facilmente interoperabile in diversi sistemi. In particolare, il Garante potrà verificare – tenuto anche conto del contesto in cui il trattamento viene effettuato (ambiente cartaceo, telefonico, ambiente IoT-Internet delle cose, utilizzo di tecnologie intelligenti, interazioni dirette in ambiente fisico, eventualmente associate all’utilizzo di videosorveglianza o droni in grado di registrare dati e immagini), della tipologia di dati trattati e delle finalità perseguite – che il titolare del trattamento non ponga in essere impedimenti – di natura giuridica, tecnica o finanziaria – volti ad evitare o rallentare l’accesso, la trasmissione o il riutilizzo dei dati conferiti da parte dell’interessato o di un diverso titolare.

GDPR e siti web: come fare per essere in regola?

Spesso una PMI privata raramente raccoglie dati fisicamente in modo regolare su larga scala (può capitare in un punto vendita per una specifica promozione ad esempio). Se lo fa, agisce tramite il proprio sito web attraverso i form di contatto, le CTA, le landing page e via dicendo.

Se i possessori di un sito web aziendale si stanno chiedendo quando entra in vigore il GDPR e come adeguarsi, ribadiamo che il Regolamento UE/2016/679 è già in vigore da due anni e la scadenza per l’adeguamento è, come ormai noto, il 25 maggio 2018 (senza possibilità di proroga). Infatti i siti web che realizziamo nascono già GDPR compliant.

Arrivati a questo punto della trattazione è indubbio che una PMI che sfrutta l’email marketing per comunicare con parte del proprio portafoglio clienti dovrà certamente rispettare la compliance ma la complessità del processo di adeguamento sarà alquanto inferiore rispetto ad una multinazionale.

Non solo, anche tra PMI la complessità e variabile: come ampiamente ribadito in precedenza la dimensione aziendale non è preponderante, per cui gli avvocati dovranno adempiere con certe misure di sicurezza, gli hotel con altre.

Anche chi fa B2B potrebbe non essere esonerato: il GDPR si riferisce chiaramente alle persone fisiche, e non a quelle giuridiche. Nel momento in cui, però, l’azienda svolge trattamento dati diretto o indiretto, di persone fisiche, anche solo referenti, deve comportarsi di conseguenza.

impatti del gdpr sul sito web

Vediamo di seguito, alcune non esaustive misure per adeguare il sito web.

Cookie

Teoricamente, i cookie, non dovrebbero essere oggetto di adeguamento al GDPR. 

Infatti, chi si è già allineato alla cookie law ha un “mezzo” vantaggio: in primis, la trasparenza.

Ciò però non è sufficiente. In relazione alle analisi dei legali esperti in materia è emerso che l’utente deve accettare attivamente nonché in modo differenziato il tracciamento. In altre parole, è necessario predisporre un’interfaccia semplice e chiara dove l’utente può decidere quali tipologie di cookie accettare.

Particolare attenzione è posta verso i portali che includono cookie destinati alla profilazione del cliente: per il GDPR occorre non solo la consapevolezza dell’utente circa il tracciamento dei suoi comportamenti o delle sue preferenze, ma anche la protezione di tali dati.

Ferma restando la possibilità di poter cancellare quei dati (cfr. diritto all’oblio), trasferirli e/o modificarli. Tecnicamente, infatti, ogni sito deve predisporre dei meccanismi di opt-out per la revoca del consenso prestato, che siano trasparenti e di efficacia pari alle modalità di acquisizione del consenso.

È espressamente vietato, inoltre, impedire la navigazione all’utente che non accetta una o più condizioni imposte (es. chi non accetta i cookie di profilazione).

E-mail marketing, newsletter e lead generation

Spesso le aziende utilizzano le mail per comunicare con i propri clienti: newsletter, offerte, notifiche, remind, promozioni a tempo ecc.

La prima operazione da porre in essere è quella di aggiornare il consenso rendendolo libero, specifico, informato e non ambiguo come da regolamento (art. 32). Ma non solo.

Risulta fondamentale e conseguente, adattare il consenso differenziandolo a seconda dell’obiettivo per cui si colleziona l’email (ad esempio per scaricare un ebook o per riceve mail informative).

Anche in questo caso non è lecito utilizzare caselle pre-flaggate e si consiglia di usare il metodo del double opt-in.

Successivamente occorre anche adeguare retroattivamente la situazione, ciò si traduce nel vagliare il database clienti e richiedere un nuovo consenso ad ogni record, evidenziando chi accetta esplicitamente. In caso contrario, tutti i vecchi dati accumulati nel tempo non solo legalmente utilizzabili.

Attenzione ulteriore meritano i soggetti che operano in campo lead generation: è possibile acquistare e utilizzare liste se e solo se i contatti hanno acconsentito all’obiettivo di list building con finalità commerciali (i.e. devono sapere che i loro contatti andranno impacchettati in un contenitore e venduti a terzi per finalità commerciali).

Ovviamente, in ogni mail deve essere presenta la possibilità di rimuovere la propria iscrizione per le diverse comunicazioni o cancellare tutti i dati relativi a quel contatto accumulati nel tempo.

Va da sé che i servizi che fungono da data processor (es. mailchimp, getresponse, activecampaign e via dicendo), offriranno un valido supporto per adeguare la customer journey complessiva rendendo più agevole l’adempimento al GDPR da parte del data controller (i.e. l’azienda).

In quest’ambito, purtroppo, i risvolti potrebbero essere drammatici (se non ben gestiti): chi acconsentirà al c.d. permission marketing (e.g. flag sul checkbox relativo), inteso qui come consenso all’invio di email mirate e targetizzate, rappresenterà una minima parte del già ben limitato traffico che si iscrive alla mailing list.

Saranno quindi necessari ulteriori sforzi atti a far estendere il consenso dell’utente in fasi successive al primo contatto.

Form di contatto e CTA

Va da sé che ogni form di contatto e relative CTA (i.e. Call-To-Action) devono riportare in modo chiaro, trasparente ed esplicito il check box per la dichiarazione di presa visione e accettazione della normativa privacy.

Anche in questo caso, ogni adesione dovrà essere registrata, data e ora comprese.

Non solo.

L’utilizzo da parte dell’utente del form di contatto non può più rappresentare una tecnica di raccolta lead (se non diversamente specificato).

Ciò significa che i siti che prima integravano le proprie mailing list con i contatti che avevano usato un form per scrivere al sito stesso, non possono più persistere in tale operazione, in quanto in netto contrasto con i principi cardine della GDPR.

Analytics e remarketing

I tool di Analytics sono strumenti cruciali per guidare il business online e per offrire la migliore esperienza utente possibile.

Capire che cliente si ha di fronte e mostrargli ciò che può essergli più gradevole è un sistema commerciale che soddisfa pienamente i requisiti economici di efficacia ed efficienza. È come se entrando nel supermarket i prodotti fossero in grado di sistemarsi automaticamente a seconda di chi guarda lo scaffale, in base ai propri gusti, tutto ciò anche con più persone che guardano lo stesso scaffale nello stesso identico momento.

Fantastico.

Non tanto fantastico agli occhi del Garante UE che cambia e irrigidisce le regole del gioco.

I sistemi di Analytics sono fatti in modo da conoscere pian piano il cliente (come se il commesso osservasse ogni volta i vostri acquisti), gli associano una stringa per capire da dove si è connesso quel cookie e gli assegnano un genere, un’età, un luogo ecc. così da permettere una precisa profilazione, il remarketing o gli A/B test.

Google e Bing (per citare le più famose lato SEO) si sono già adeguate in tal senso, in quanto faranno da data processor nei confronti dell’azienda che ha uno o più siti web.

Anche se anonimizzati, il GDPR considera dati online anche gli identificatori generici e i dati di luogo e devono essere protetti come tutti gli altri dati. Anche i cookie fanno parte di questa categoria.

Qualora, infatti,  si collezionino dati anonimizzati ma riconducibili in un secondo momento all’utente (i c.d. pseudonymous identifiers), occorre necessariamente richiedere il consenso esplicito all’utente a monte dell’operazione. Pensiamo in primis all’indirizzo IP dinamico dell’utente: nella recente sentenza Breyer (C-582/14), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha sancito che un indirizzo IP “dinamico” costituisce a tutti gli effetti un dato personale.

Si tenga però presente l’istituto del legittimo interesse: tale istituto consente il trattamento di dati (ivi compreso indirizzo IP) qualora sussistano certe condizioni, in particolare l’art. 6 recita che “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”

[icon icon=”fa fa-thumbs-up” title=”Retargeting” __fw_editor_shortcodes_id=”f95f56c7e78b0a60ea77af279ee14414″ _fw_coder=”aggressive”][/icon]
 
Menzione particolare merita il Pixel di Facebook: in base all’art. 26, emerge che i principi di protezione dati non si applicano a informazioni anonime, anche per finalità statistiche o di ricerca. Dal momento che il data controller (azienda) non è materialmente in grado di collegare l’UID generato via pixel alla persona fisica è possibile continuare ad utilizzarlo a patto che l’utente venga debitamente informato.

A sua volta, il data processor (Facebook in questo caso, ma si applica a tutti gli strumenti di tracking equiparabili al pixel), ha chiesto preventivamente il consenso all’utente circa l’utilizzo del pixel, e qualora non ci fosse il consenso, il tracking su quell’utente non si attiva.

Altre tecnologie: CMS, API, browser ecc.

Infine, possiamo osservare quasi come tutti gli attori si sono ormai adeguati al GDPR:

  • WordPress e gli altri CMS: sono state rilasciate specifiche release in linea con il Regolamento europeo n. 679 del 2016;
  • API: le integrazioni spesso adoperate nei siti web e nelle app sono state quasi tutte aggiornate per adempiere alle disposizioni in materia di privacy;
  • Chrome, Firefox, Safari e gli altri browser: sono in arrivo numerosi aggiornamenti per consentire una maggiore aderenza alla normativa lato utente;
  • IoT e AI: le migliori tecnologie intelligenti che si interfacciano con indirizzi web nascono già “privacy-friendly”, ma con il GDPR anch’esse stanno affrontando le variazioni necessarie per essere conformi alla legge pur mantenendo un’esperienza utente ottimale.

Questo significa che le varie tecnologie utilizzate in ambito aziendale faranno spesso, come già detto, da data processor ma al contempo offriranno un valido supporto per l’adeguamento.

I registri, la modulistica e i documenti della GDPR per la PMI

Spesso la “porta” principale dalla quale entrano dati personali in una PMI nell’era digital è il sito web.

Ma il GDPR non è una legge rivolta ai siti web.

O per lo meno, non solo, anzi, la portata è molto più ampia come abbiamo visto in precedenza.

Per terminare l’excursus semplificato sull’adeguamento della PMI, ribadiamo che anche i dipendenti devono essere parte attiva del processo di change management.

Dovranno pertanto favorire la compliance e contribuire alla documentazione richiesta dal Regolamento europeo n. 679 del 2016: registro dei trattamenti, documento di valutazione dei rischi e vulnerability assessment in primis.

La formalità ed il rigore nella tenuta dei precedenti documenti deve essere equiparata a quella dei libri contabili. Non a caso, l’Autorità Garante si può avvalere della GdF (reparto amministrativo) per meglio esplicare i suoi poteri di controllo, vigilanza e sanzionatori a livello territoriale.

La documentazione deve essere inoltre di facile accesso, modificabile e dettagliata ma soprattutto deve essere custodita correttamente. Per i registri in particolare, consigliamo la crittografia e la protezione all’accesso accompagnata con backup periodico.

Finanziamenti per adeguarsi al GDPR

Un’ottima opportunità da tenere in conto per le aziende che vogliono alleggerire gli investimenti per adeguarsi al GDPR sono i finanziamenti pubblici, in particolare quelli a connotazione digitale.

Un esempio calzante per le PMI è il c.d. Voucher Digitalizzazione: una misura agevolativa per le micro, piccole e medie imprese che prevede un contributo, tramite concessione di un “voucher”, di importo non superiore a 10 mila euro, finalizzato all’adozione di interventi di digitalizzazione dei processi aziendali e di ammodernamento tecnologico (come ben riportato sul sito del Ministero dello Sviluppo Economico).

Il voucher è attivabile anche per quest’anno 2018.

Conclusioni

Nella presente trattazione, si è cercato di esaminare tutti gli aspetti cruciali per la GDPR compliance dal punto di vista delle PMI. Si tratta ovviamente di un’analisi non esaustiva ma che terremo costantemente aggiornata (si v. a fine articolo l’ultima data di update).

In ogni caso, tutte le informazioni qui fornite sono da considerarsi meramente delle linee-guida standard non indirizzate ad hoc verso l’azienda. Spetta pertanto ad essa verificare la rispondenza dei contenuti di tali informazioni rispetto alla legge di riferimento e a completarli nonché adattarli sulla base delle sue esigenze specifiche. Ove ciò non fosse possibile, l’azienda dovrà desistere dall’utilizzo delle informazioni.

Il presente articolo, seppur tecnico, non sostituisce in alcun modo la nostra consulenza in materia o quella di terzi.


Commenti

Lascia un commento