Diritto e Fisco | Articoli

Come adeguare un’azienda al GDPR

27 Novembre 2018


Come adeguare un’azienda al GDPR

> Diritto e Fisco Pubblicato il 27 Novembre 2018



Il nuovo regolamento europeo sulla privacy preoccupa le aziende che ancora non si sono adeguate per l’arrivo di pesanti sanzioni.

Il GDPR o Regolamento Europeo sulla privacy [1] è entrato in vigore completamente il 25 maggio 2018. L’obiettivo principale del Regolamento è la tutela delle persone, dei dati sensibili e di tutti i trattamenti che le aziende operano su questi. Grazie al GDPR i cittadini sono liberi di scegliere in modo uniforme su tutto il territorio europeo in che modo far trattare i propri dati. Per attuare questa protezione, però, sono state introdotte una serie di misure nuove che le aziende devono adottare per essere compliance e cioè conformi al regolamento privacy, oltre a principi nuovi tra i quali troviamo quello dell’accountability (responsabilizzazione). In questo articolo vi spiegheremo brevemente e in modo pratico come adeguare un’azienda al GDPR e quali sono gli adempimenti obbligatori da porre in atto se ancora non si è provveduto.

Quali sono gli adempimenti obbligatori?

Il GDPR ha introdotto importanti novità sul trattamento dei dati e, conseguentemente, anche alcuni adempimenti obbligatori per le aziende, sia per una sempre più sentita esigenza di protezione e sicurezza dei dati sia per l’aumento delle minacce informatiche.

Tra le principali ricordiamo la nomina del DPO (data protection officer), gli adempimenti riguardanti le finalità e l’ambito di applicazione dei trattamenti, il Principio di accountability e quello di Privacy by design/by default, il Registro dei trattamenti, la DPIA – Valutazione d’impatto la notifica del Data Breach ed il diritto all’oblio.

Di seguito spiegheremo in modo dettagliato cosa prevede il GDPR.

Chi è il DPO e quando bisogna nominarlo?

Il Data Protection Officer, meglio noto come DPO, è una figura introdotta dal GDPR [2]. Questi deve essere obbligatoriamente nominato da tutte le pubbliche amministrazioni, dalle aziende che effettuano il trattamento di dati sensibili o particolari oppure relativi a condanne penali e, infine, da tutte quelle aziende che effettuano il trattamento dei dati su larga scala.

Sono, ad esempio, obbligate le palestre con un numero elevato di iscritti che prevedono l’autenticazione con le impronte digitali per l’accesso alla struttura perché oltre ad avere i dati anagrafici avranno anche i dati biometrici.

Obbligati sono le aziende che effettuano esami medico/sanitari come i centri analisi o che effettuano visite mediche ed esami diagnostici. E ancora, sono obbligate a nominare un DPO quelle aziende che si occupano di fare marketing e pubblicità per conto di altri inviando e-mail pubblicitarie e telefonando i clienti. Stesso obbligo graverà sui grandi studi legali e associazioni di professionisti che affidano la conservazione delle sentenze penali di condanna ad una persona esterna allo studio, ad esempio.

La nomina del DPO deve essere valutata caso per caso, a seconda della tipologia di azienda, di quanto disposto dal GDPR e dall’attività svolta in concreto. Sopra abbiamo fatto l’esempio della palestra. In questo caso la nomina del DPO dipende anche dalla relazione tra altri fattori e cioè: numero di persone iscritte, numero di palestre presenti su quel territorio e addirittura numero di abitanti di quella città.

Pertanto se in una città di 100.000 abitanti ci sono 10 palestre, considerando che solo il 12% della popolazione fa sport, il numero degli iscritti sarà ritenuto basso e quindi la nomina del DPO non appare necessaria.

Il GDPR prevede che il DPO deve essere esterno all’azienda e deve avere una comprovata esperienza sulla privacy ed una approfondita conoscenza del Regolamento stesso. Quindi, l’incarico di DPO non può essere conferito a un dipendente dell’azienda, anche se questa prassi -totalmente difforme a quanto stabilito dal GDPR- sembra si sia diffusa in alcune scuole e aziende.

Il Data Protection Officer deve essere un soggetto esterno all’azienda in quanto non deve trovarsi in una situazione di conflitto di interessi e deve svolgere il suo lavoro in piena autonomia.

Questi svolge un’attività di consulenza e di informazione per il titolare del trattamento (che spesso è lo stesso proprietario dell’azienda), si occupa della formazione e della sensibilizzazione dei dipendenti sul trattamento dei dati e sulla sicurezza informatica, coopera con il Garante Privacy e sorveglia sulla corretta applicazione del GDPR.

In che modo devono essere trattati i dati in possesso dell’azienda?

Il GDPR stabilisce che i dati vanno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Per tale ragione, le finalità devono essere esplicite, legittime e determinate e devono essere facilmente comprese dagli interessati.

Le aziende per attuare i principi sanciti da tale regolamento devono provvedere alla loro sicurezza e devono informare gli interessati con delle privacy policy (informative privacy) semplici e facilmente comprensibili.

Una novità sulla conservazione dei dati riguarda l’obbligo di conservazione su un cloud europeo. Le aziende non possono, quindi, affidarli a paesi fuori dall’Unione Europea proprio perché gli standard di sicurezza sono diversi e spesso anche di gran lunga inferiori. Rispetto a ciò, va precisato che i dati possono comunque essere trasferiti all’estero dalle aziende qualora vi fosse la necessità di farlo, ma tale trasferimento deve avvenire nel rispetto del GDPR e senza pregiudicare la protezione delle persone fisiche coinvolte.

Prima di raccogliere il consenso, che può essere prestato solo da chi abbia compiuto 16 anni, il titolare deve esplicitare il periodo di conservazione dei dati personali.

Particolare attenzione viene posta anche sui processi automatizzati che in genere riguardano le attività di profilazione. Queste possono essere fatte dall’azienda anche in modo automatizzato, ma il titolare deve sempre accertarsi che sia stato prestato esplicito consenso a tale trattamento.

Facciamo un esempio pratico. Se un negozio di abbigliamento decide di raccogliere i dati dei clienti per fare pubblicità può farlo ma dovrà dare una informazione chiara. Il GDPR ha stabilito che le informative privacy devono essere scritte in modo chiaro e di facile comprensione, pertanto, devono essere anche brevi.

Il GDPR non ammette più le lunghe informative che trovavamo fino a pochi mesi fa che quasi nessuno si fermava a leggere, ma in modo quasi automatizzato si limitava a firmare.

Inoltre, se quel negozio di abbigliamento vuole conservare i nostri dati per inviarci una e-mail prima di una vendita promozionale dovrà spiegarlo nella informativa e se addirittura decide di far svolgere il servizio di informazione pubblicitaria ad una società di marketing e comunicazione, nella informativa dovrà fornire una spiegazione dettagliata anche di questo.

I clienti devono avere la possibilità di scegliere e per questo motivo nella informativa devono essere inserite punto per punto le caselle “sì – no” che il cliente deve barrare.

In ogni caso, tutte le volte che l’azienda si trova di fronte ad un nuovo progetto che prevede un trattamento di dati, si troverà anche costretta a fare una valutazione d’impatto e questo anche in ossequio a due principi importanti nella nuova visione privacy: il principio di privacy by design ed il principio di privacy by default.

Il primo significa che già in fase di progettazione di un software bisogna fare una valutazione sul rischio che deriva dalla raccolta e dall’utilizzo dei dati e quindi nell’ottica della tutela della persona bisogna sempre minimizzare la raccolta dei dati oppure cercare di anonimizzarla.

Secondo il principio di privacy by default, che riguarda le impostazioni predefinite, le aziende dovrebbero svolgere il trattamento solo dei dati strettamente necessari e per un periodo di tempo limitato.

Come devono essere l’informativa privacy e la cookie policy?

L’informativa privacy e la cookie policy sono due documenti da esporre agli utenti e che le aziende devono avere obbligatoriamente. Il primo riguarda la raccolta di dati sia informatica che cartacea, mentre la cookie policy attiene solo alla raccolta informatica di dati e quindi riguarda le aziende dotate di un sito web.

Il GDPR ha espressamente richiesto che le informazioni contenute in questi documenti devono essere di facile comprensione da parte dell’utente e devono necessariamente contenere più tipologie di consenso. Questo significa che tali informative non possono essere lunghe e complesse, né possono avere due caselle per il consenso, una per il sì e un’altra per il no.

Il consenso richiesto all’interessato nelle informative deve essere sempre esplicito e differenziato cioè diverso per ogni trattamento effettuato.

Allo stesso modo anche l’utilizzo dei cookie deve essere esplicitamente autorizzato dall’utente e non basta quindi scorrere la pagina per raccoglierlo, né sono ammesse le caselle che prevedono solo la loro approvazione.

Inoltre, la policy deve distinguere tra cookie funzionali e di profilazione. Se l’utente non accetta i cookie di profilazione, il sito non può raccogliere alcun dato.

Che cos’è il registro dei trattamenti?

Il registro dei trattamenti è un documento di cui devono dotarsi obbligatoriamente le aziende con più di 250 dipendenti. Questo deve essere aggiornato periodicamente e deve contenere e spiegare in modo dettagliato le tipologie di trattamento e le modalità in cui sono effettuati.

Il GDPR [3] stabilisce che il registro è sempre obbligatorio per le aziende con più di 250 dipendenti, per le altre aziende, invece, è obbligatorio quando i trattamenti effettuati non sono occasionali, rappresentano un rischio per i diritti e le libertà degli interessati e quando riguardano dati sensibili o relativi a condanne penali.

Oltre a servire all’azienda per avere sempre una visione aggiornata delle attività svolte sui dati, questo registro è necessario anche nelle attività di controllo e deve essere esibito al Garante quando ne faccia richiesta.

Nel registro dei trattamenti devono essere inseriti tutti i dati raccolti dall’azienda, le finalità, i destinatari, l’eventuale trasferimento fuori dalla Unione Europea, il periodo di conservazione, le misure di conservazione ed i profili di rischio.

Ma facciamo un esempio concreto per capire meglio. Un negozio di scarpe vende i suoi prodotti on-line e raccoglie e conserva numerosi dati (nome, cognome, indirizzo di residenza, numero di telefono, indirizzo e-mail, ecc…) che appartengono ai clienti ed ai dipendenti. Deve compilare il registro dei trattamenti.

Pertanto, dovrà munirsi di un grafico in cui andrà ad inserire: la tipologia di dati in suo possesso (abbiamo visto sopra che sono l’anagrafica e i recapiti telefonici ed e-mail), poi lo scopo (informazione delle campagne promozionali di vendita e spedizione dei beni acquistati), in un’altra casella inserirà i le misure di sicurezza adottate sui computer per proteggere questi dati (ad esempio antivirus, frequenza back-up), in un’altra ancora il periodo di conservazione ed infine indicherà le persone che avranno accesso a questi dati (segretaria, magazzinieri, commercialista).

Questo esempio sulla compilazione del registro dei trattamenti è solo indicativo e non si ritiene esaustivo. Ciascuna azienda dovrà compilarne uno in relazione alle attività svolte e anche sulla base dei suggerimenti del consulente eventualmente nominato.

Chi deve essere nominato responsabile del trattamento?

Il responsabile del trattamento, – o come definito dal GDPR, Data Processor [4] – è una persona oppure una società di consulenza o addirittura un ente pubblico, che si occupa della gestione dei dati per conto dei dati.

Con l’introduzione di questa figura nel GDPR si è creata un pò di confusione tra gli operatori del settore privacy in Italia in quanto, per alcuni il responsabile del trattamento deve essere una figura esterna all’azienda, per altri invece deve essere interno. ad esempio abbiamo l’azienda Alfa che smaltisce rifiuti e l’azienda Beta che gestisce l’attività di videosorveglianza e di geolocalizzazione per l’azienda Alfa. L’azienda Beta che è quella che raccoglie i dati attraverso le telecamere e i geodispositivi, dovrà necessariamente essere nominata responsabile esterno del trattamento.

Cos’è e quando va fatta la valutazione d’impatto?

La DPIA (Data Protection Impact Assesment) o valutazione d’impatto è una procedura finalizzata a descrivere il trattamento, valutarne la necessità e la proporzionalità.

Con questa procedura si riesce a dimostrare la conformità alle norme e per tale ragione è uno strumento importante in tema di accountability, cioè è volta alla responsabilizzazione di coloro che trattano i dati. In pratica possiamo dire che con la DPIA si ragiona sulla necessità di trattare determinati dati.

Nella realizzazione del principio di accountability sopra citato, il responsabile del trattamento ed il titolare dei dati hanno sempre l’obbligo di porre in essere tutte quelle misure, tecniche ed organizzative, che siano adeguate a garantire un livello di sicurezza proporzionato al rischio.

La valutazione d’impatto non è obbligatoria per ogni singolo trattamento ma, è necessaria solo se il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone.

I casi in cui vige l’obbligo di farla sono disciplinati dal GDPR [5] e possono essere racchiusi in cinque ipotesi:

  • introduzione di nuove tecnologie per il trattamento dei dati;
  • trattamento automatizzato di dati che comporta una valutazione sistematica degli individui (un esempio è la profilazione);
  • trattamento su larga scala di dati particolari o sensibili e di dati relativi a condanne penali;
  • sorveglianza continua su larga scala di zone accessibili al pubblico;
  • altri casi stabiliti dal Garante Privacy.

Cos’è il data breach e quando va segnalato?

Il data breach è una fuga di dati e può consistere sia in una vera e propria violazione da parte di terzi che attraverso l’accesso ai sistemi (sia informatici che cartacei) riescono a sottrarre dati in possesso dell’azienda, sia in una perdita pura e semplice da parte di un dipendente (un impiegato dimentica pc aziendale in treno).

Oltre ai dati delle persone quali clienti, dipendenti e fornitori, possono essere sottratti anche dati di natura diversa all’azienda (si pensi ad una ricetta segreta nel caso di un’azienda alimentare o un progetto di un’azienda che produce aerei militari).

In tali casi il GDPR prevede l’obbligo in capo al DPO -se è prevista la sua nomina all’interno dell’azienda- di notificare entro 72 ore la violazione dei dati al Garante. Eventualmente, tale violazione andrà comunicata anche alle persone di cui sono stati persi o clonati i dati. Andranno sempre seguite le direttive impartite dal Garante Privacy.

Che cos’è il diritto all’oblio?

Pur non essendo un adempimento obbligatorio, questo diritto racchiude in sé comunque un’attività che l’azienda dovrà svolgere nel momento in cui la persona si rivolga a questa per chiedere la cancellazione dei suoi dati esercitando appunto il diritto all’oblio [6].

Questo può essere esercitato quando l’interessato revoca semplicemente il consenso dato in passato, quando si oppone e non sussistano motivi per i quali non possa farlo, se ritiene che i dati non sono più necessari per le finalità rispetto alle quali furono raccolti oppure quando i suoi dati vengono trattati illecitamente.

Se sussistono i presupposti, l’azienda dovrà provvedere obbligatoriamente alla cancellazione dei dati come richiesto.

Quali sono le sanzioni previste dal GDPR per la violazione degli obblighi prescritti?

Le sanzioni previste dal GDPR sono davvero molto alte e ciò a dimostrazione del fatto che viene data una rilevanza estrema ai dati delle persone a protezione delle quali è stato introdotto tale Regolamento.

Le sanzioni previste vanno al 2% al 4% del fatturato aziendale oppure un corrispettivo che va dai dieci ai venti milioni di euro. I controlli sono affidati al Garante e al nucleo privacy della Guardia di Finanza.

Di TERESA RULLO

note

[1] GDPR – Regolamento UE 2016/679.

[2] Art. 37 GDPR.

[3] Art. 30 GDPR.

[4] Art. 28 GDPR.

[5] Art. 35 GDPR.

[6] Art. 17 GDPR.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI