GDPR: 10 cose da fare per cominciare ad adeguarti

A ridosso del 25 maggio 2018 se ne sono viste di tutti i colori: chi si è affannato per arrivare a quella fatidica data con le Policy aggiornate, chi ha tempestato di E-mail le proprie liste per informarle della modifica delle policy, chi addirittura ha inviato un'E-mail alle proprie liste, nella quale spiegava che la Privacy Policy era mutata, a seguito dell'entrata in vigore del GDPR, e che se il destinatario non avesse risposto alla E-mail dichiarando di voler rimanere iscritto alla lista, sarebbe stato cancellato d'ufficio!

Quest'ultima scelta si è rivelata un'opzione prudenziale veramente dannosa: liste di migliaia di indirizzi E-mail, faticosamente costruite nel tempo e con importanti investimenti di denaro, si sono ridotte drasticamente solo a poche centinaia. Una follia tanto enorme quanto inutile.

Moltissime persone vagavano nel web (e nella vita reale) alla disperata ricerca di indicazioni, consigli, template, check list per adeguarsi in fretta e furia, come se cercassero l'arca di Noè per proteggersi dall'imminente diluvio universale che si sarebbe abbattuto di lì a poco sull'Europa e su tutti gli operatori extra UE che malauguratamente si trovavano ad avere rapporti commerciali con persone fisiche appartenenti all'UE.

Quindi la domanda sorge spontanea: perché on-line non si trovano delle check list, delle linee guida o dei template utili per adeguarsi al GDPR?

La risposta a questa domanda risiede nel concetto di "Accountability" di cui ho trattato in questo VIDEO.

In estrema sintesi, il nuovo Regolamento Europeo, rivolgendosi a tutte le realtà (dalle più piccole alle più grandi) propone 172 premesse e 99 articoli, dove sono spiegati quali sono gli obiettivi cui bisogna ambire ma, dal punto di vista concreto ed operativo, lascia a ciascun operatore economico il compito di decidere da sè quali misure concrete adottare.

E fin qui, nessun problema in apparenza!

Il problema sorge nel momento in cui, in presenza di un controllo di routine o su segnalazione, l'Autorità esamina il nostro sistema di gestione della Privacy e lo giudica inadeguato, in riferimento ai principi dettati dal GDPR. Allora lì sono dolori ed è necessario saper dimostrare di avere preso in considerazione ogni aspetto richiesto dal GDPR e di aver effettuato una valutazione ed una scelta che si riveli, anche a posteriori, la migliore possibile in base alle dimensioni della realtà economica, al tipo di dati trattati e ai rischi specifici presenti in quel settore.

Pensa che nei primi 4 mesi di vigenza del GDPR, sono aumentati di ben il 42% i reclami al Garante (rispetto allo stesso periodo nel 2017).

Sarà complice il fatto che, ora rispetto a prima, i reclami non comportano l’esborso di denaro, bastando semplicemente scrivere una E-mail; sarà complice il fatto che l’elevata risonanza che ha avuto l’entrata in vigore del GDPR nel web ha reso più coscienti le persone, per non parlare dello scandalo Facebook-Cambridge Analityca … Ma sta di fatto che il numero di segnalazioni sta aumentano a dismisura.

Ciò significa che chiunque abbia un’esposizione on-line, potrebbe subire una segnalazione da un utente: chi con ragione, chi magari anche a torto, solo perché svolge il fastidioso mestiere dell’hater, che si alza la mattina con l’unico scopo di rovinare la giornata a qualcun altro che ha voglia di mettersi in gioco e di mettere la faccia in qualcosa in cui crede oppure un competitor scorretto, che vuole utilizzare questo pretesto perché sta constatando, con invidia, che tu stai crescendo e prosperando.

Quindi ciascun imprenditore o blogger deve costruire da sè il proprio impianto di protezione dei dati personali, nel modo migliore possibile, tenuto conto della sua realtà, in proporzione a quello che fa o non fa con i dati degli utenti e followers.

Ecco perché non ci possono essere delle Check-list ufficiali da seguire per mettersi in regola!

L'unica strada possibile è, quindi, quella di bloccare un pò di tempo in calendario per svolgere un'attenta analisi della propria realtà. Solo una volta fatta questa analisi saprai cosa scrivere nelle Policy ed avrai un quadro chiaro dell'assetto Privacy della tua impresa o presenza on-line.

Ma come si fa questa analisi? Ho preparato per te un percorso fatto di 10 punti fondamentali, che devi necessariamente affrontare per scattare una prima fotografia della tua situazione di partenza, per poi capire dove devi dirigerti.

E' come quando si programma un viaggio a più tappe: voglio fare il giro del mondo, bene! Però prima devo per forza sapere da dove parto, verso quale direzione dirigermi alla partenza, stabilire tutte le varie tappe intermedie sino a tornare al punto di partenza. 

Fatto questo primo schema, potrai poi procedere a stabilire nel dettaglio le varie tappe, i tempi di permanenza, ciò che vuoi visitare, i mezzi di trasporto e gli alloggi che vuoi prenotare in anticipo e quelli che, invece, ti riservi di prenotare in loco e così via!

Anche l'adeguamento al GDPR richiede un processo, che non può assolutamente risolversi soltanto nel rinfrescare le Privacy Policy; se hai un biglietto aereo in mano, non significa avere programmato l’intero viaggio e, con molta probabilità, la mancanza di pianificazione porterà il risultato di avere un biglietto per una destinazione qualsiasi e non di quella desiderata!

Pertanto ecco le 10 cose che puoi subito fare per cominciare ad adeguarti a questa nuova e complessa normativa:

  1. Riflettere su quali dati tratti: la prima cosa da fare è una bella lista di tutti i dati altrui che tratti. Credimi, molto spesso trattiamo dati personali quasi senza rendercene conto. Perciò anche se ti sembra di avere le idee chiare e tutto sotto controllo, prenditi un pò di tempo e, con carta e penna o sul computer, prepara un elenco dettagliato di tutti i dati personali altrui che tratti.

  2. Non puoi trattare lecitamente dati personali altrui se tale trattamento non è accompagnato da una (o più) finalità specifiche. La domanda alla quale devi rispondere è: “Perchè tratto questi dati personali?” Se non hai una risposta a questa domanda, allora abbiamo un problema e ciò significa che, il prima possibile, devi interrompere il trattamento di questi dati.

  3. Il GDPR impone di fare una riflessione anche sulla durata temporale del trattamento dei dati personali. In linea di massima dovresti chiederti sempre, per ciascuna finalità, quale può essere il tempo massimo di conservazione dei dati. Trascorso questo periodo dovrai avere impostato un sistema che ne assicuri la definitiva cancellazione.

  4. I dati particolari sono i c.d dati sensibili, i dati genetici e i dati biometrici. Controlla e verifica se puoi escludere di trattare questi dati. Altrimenti, se devi trattarli, occorre prestare a questi dati un’attenzione e protezione particolari.

  5. Rifletti su chi sono le categorie degli interessati per i quali tratti i dati personali: clienti, utenti, followers, dipendenti, collaboratori freelance etc. etc.

  6. Fai un’analisi di tutti i supporti sui quali gestisci e conservi i dati personali altrui: computer, server (in locale, in cloud), servizi vari, piattaforme on-line, chiavette usb, cellulare, tablet, archivi cartacei e così via.

  7. Se oltre a te, ci sono altre persone che, a vario titolo, gestiscono i dati personali altrui che hai raccolto, individuale tutte, perché dovranno essere adeguatamente da te istruite e formate per trattare i dati nei limiti consentiti dalla legge.

  8. Non sottovalutare mai l’importanza delle misure di sicurezza! Spesso è un argomento che si cerca di risolvere velocemente con l’installazione di un antivirus (magari il meno costoso presente sul mercato) e di un firewall! Però la sicurezza non è solo quella! A tal proposito ti segnalo un paio di video di approfondimento dove parlo di 3 misure di sicurezza da adottare subito e del fenomeno del phishing!

  9. Se, nonostante tutte le attenzioni e le cure approntate per mantenere i sistemi di gestione dei dati personali altrui in sicurezza, dovesse malauguratamente accadere di subire un Data Breach (cioè una violazione dei dati personali da te custoditi, sia per un’intrusione informatica non autorizzata, sia per furto del PC) occorre preparare in anticipo un piano di emergenza, che deve contenere tutti i passi da fare per limitare i danni e per ripristinare il prima possibile la funzionalità del sistema e la disponibilità dei dati. A tal proposito ricorda che il GDPR impone di comunicare l’accaduto all’Autorithy entro 72 ore dalla scoperta e, in taluni casi, anche a tutti gli interessati coinvolti (guarda cosa è successo ad agosto 2018 alla British Airways).

  10. Ultimo, ma non per importanza, è la necessità di raccogliere il consenso dell’interessato, consenso che deve tradursi in un’azione positiva, cosciente, consapevole e, soprattutto, che devi essere in grado di provare in qualsiasi momento. Quindi massima attenzione su come strutturare i moduli online e come tenere traccia dei consensi prestati (e delle revoche dei medesimi), perché è un obbligo fondamentale. Senza un consenso valido, tutto il lavoro fatto prima e le policy preparate saranno completamente vane.

Questi sono i primi 10 passi da compiere per adeguarti in modo corretto. Solo facendo questo percorso, potrai scrivere Privacy Policy davvero trasparenti, corrette e giuridicamente inattaccabili!

Di seguito ti lascio una colorata infografica che riassume in poche righe tutto ciò che abbiamo visto fino ad ora.

Non mi resta, quindi, che augurarti buon lavoro!

P.S. Ancora con le idee confuse?

Periodicamente, in occasione dei lanci del mio percorso “GDPR Step Tutorial”, organizzo dei minicorsi online gratuiti, specifici per business digitali, per imparare a gestire correttamente la Privacy e a prova di Garante.

Se hai piacere di sapere quando si tengono questi corsi, puoi iscriverti nella lista d’attesa, compilando il modulo qui sotto.

gdpr_ checklist.jpg