A circa 3 mesi dall’entrata in vigore della nuova disciplina sulla protezione dei dati personali, il Reg. UE 2016/679, obbligatorio dal 25 Maggio prossimo, vogliamo mettervi in guardia circa 3 miti da sfatare sul GDPR che stanno insistentemente girando sul web. Fate attenzione, perché, sottovalutare la conformità al GDPR e credere a false notizie pubblicate da sedicenti esperti, potrebbe costarvi molto caro.
Vi invitiamo a leggere anche i due articoli precedenti da noi pubblicati sull’argomento, che potete trovare qui e qui.
Ricapitolando
Tutte le aziende, di qualunque natura, ordine, genere e grado —sì certo, anche le ditte individuali senza dipendenti— devono poter dimostrare la conformità al Reg. UE 2016/679 GDPR entro il 25 Maggio 2018. La condizione base è che la vostra azienda tratti dati di persone fisiche residenti nella UE. Non importa se non avete un sito Internet, fintanto che elaborate dati di persone fisiche siete tenuti al rispetto del GDPR. Perfino gli archivi cartacei rientrano nella disciplina del regolamento. Perché mai non dovrebbero dal momento che vi sono tenuti dati di persone fisiche?
Il GDPR non riguarda solo le nazioni dell’UE, ma tutte le imprese che trattano dati personali di cittadini dell’UE, anche se queste imprese non hanno uffici e server all’interno dell’Unione.
Fate attenzione! Se la vostra azienda Italiana alloggia i dati personali su servizi (server, cloud, siti, etc.) fuori della Unione Europea, dovete accertarvi che il provider del servizio sia conforme al GDPR. Se i vostri dati risiedono su server negli USA, allora assicuratevi che il fornitore aderisca all’accordo EU-U.S. Privacy Shield e che la sua conformità al GDPR sia certificata. Se utilizzate servizi quali Google e Amazon, allora potete stare tranquilli che loro sono conformi ai requisiti del GDPR.
Fate molta attenzione al trattamento di tutti i dati delle persone fisiche e in particolare:
- Informazioni razziali ed etniche [sic! queste parole sono ancora usate nei testi normativi, forse non tanto a caso, ndr], nonché orientamento sessuale
- Identificazione di informazioni, come nomi, indirizzi e numeri di identificazione
- Dati sanitari, biometrici e genetici
- Indirizzi IP, dati dei cookie, posizione e tag RFID
- Preferenze politiche
Ecco i 3 miti assolutamente da sfatare
1. Esistono prodotti in commercio che possono rendere la mia azienda conforme al GDPR
Non ci sono prodotti sul mercato che possano rendere la tua organizzazione conforme con il GDPR. Esistono prodotti che semplificano l’implementazione del GDPR ma non che ti rendono conforme.
Ad esempio, registrare tutti i dati personali in un singolo database aiuta certamente la gestione di tutte le procedure da mettere in atto.
Il GDPR stabilisce che il consenso del consumatore deve essere ottenuto in modo valido, e che la raccolta di dati e lo spazio di archiviazione devono essere trasparenti. I clienti nell’UE saranno in grado di chiedere il diritto all’oblio, il che significa che possono richiedere alle organizzazioni di cancellare tutti i dati che li riguardano. Avere queste informazioni in un’unica base dati aiuterà la tua azienda a rendere più semplici le pratiche di conformità.
Tuttavia, altri aspetti importanti del GDPR includono che i consumatori devono essere informati entro 72 ore dalla violazione dei dati e che devono essere messe in atto misure di protezione dei dati di tutti i soggetti interessati, per cui si rende necessaria una valutazione d’impatto sul rischio di protezione dei dati.
Pertanto, non esiste alcun prodotto che vi renda questo servizio. Inoltre, dovete tenere presente che il vostro personale, collaboratori inclusi, devono conoscere bene le procedure e i diritti degli interessati e devono perciò essere adeguatamente formati. Le competenze necessarie devono poi essere aggiornate in caso di mutamenti legali o dell’impiego di nuovi sistemi e tecnologie nella vostra organizzazione.
Sicuramente, affidarvi a servizi di protezione e sicurezza informatica vi aiuterà a scongiurare incidenti e violazioni, a seguito delle quali potreste compromettere la vostra attività per sempre, ma non risolve il problema dei processi che dovete mettere in atto e della formazione vostra e del vostro personale.
A tutte le organizzazioni sarà richiesto di nominare le posizioni chiave per garantire il rispetto della conformità GDPR tra cui il Titolare del trattamento, il Responsabile del trattamento, il Responsabile della protezione dei dati (DPO) ove richiesto.
2. Il GDPR non mi riguarda
Purtroppo alcuni pensano che essendo piccole realtà e trattando pochi dati personali non sono tenuti al rispetto del regolamento. Questa convinzione si fa strada anche sulla scorta del fatto che si crede che i controlli e le sanzioni non arriveranno mai. Vi ricordate quando fino ad alcuni anni fa, si diceva che tanto il fisco non operava controlli? Bene, fate la stessa analogia! Non correte il rischio di farvi trovare impreparati perché non solo le multe sono molto salate ma la reputazione della vostra azienda può risentirne in maniera fatale.
Un sito Americano propone un paragone molto simpatico e interessante riguardo il pericolo delle sanzioni del GDPR. Immaginate un autovelox. Se non vi accorgete della sua presenza e superate il limite di velocità, verrete sicuramente sanzionati, eppure non lo avevate visto!
Questa errata convinzione è anche rafforzata dalla cattiva interpretazione dell’articolo 30 del regolamento (Registri delle attività di trattamento). I male informati infatti dicono che il GDPR riguarda solo le aziende con oltre 250 dipendenti. Niente di più sbagliato! Il limite dei 250 dipendenti è stato introdotto per tener conto della specifica situazione delle micro, piccole e medie imprese, per le quali il regolamento prevede una deroga —appunto per le organizzazioni che hanno meno di 250 dipendenti— per quanto riguarda la conservazione delle registrazioni. Quindi, chi ha meno di 250 dipendenti è obbligato al rispetto del GDPR ma è esentato dal tenere i registri del trattamento. Tuttavia, vi consigliamo vivamente invece di produrre e mantenere i registri del trattamento. Dove altro annotereste e dareste quindi evidenza del fatto che avete correttamente eseguito uno degli obblighi imposti dal regolamento, ad esempio una richiesta di cancellazione inviata da un soggetto interessato, se non in un registro che attesta appunto la regolare esecuzione e conformità della vostra organizzazione?
Fra l’altro, attenzione perché il paragrafo 5 dell’articolo 30 recita testualmente, “Gli obblighi di cui ai paragrafi 1 e 2 [obbligo di registrazione e responsabilità, ndr] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Insomma, a buon intenditore poche parole.
Se ciò non bastasse, pensate a questa (infausta) possibilità. Uno dei vostri archivi, non sufficientemente protetto, viene violato e i dati resi pubblici sul web. A parte le sanzioni del GDPR, come affrontereste una causa da parte dei vostri clienti e terzi registrati in quell’archivio, che richiedono i danni per i più svariati e legittimi motivi?
3. Il GDPR non sarà preso sul serio
Come detto sopra, non date credito a certe voci. Se pensate che il GDPR non verrà applicato, allora siete sulla strada sbagliata.
Nei casi in cui aziende sono state sanzionate per fatti di violazione dei dati personali con multe nell’ordine dei 20 milioni di Euro, con il GDPR quelle stesse multe salirebbero oltre i 100 milioni di Euro.
Ora, non siate superficiali e non confondetevi con i limiti fino a 10 e 20 milioni di Euro, leggete bene gli articoli 83 e 84, e vedrete che il valore delle sanzioni può essere veramente molto alto. E non dimenticate di consultare l’articolo 82 sul risarcimento del danno!