GDPR: 10 cose da fare per cominciare ad adeguarti

A ridosso del 25 maggio 2018 se ne sono viste di tutti i colori: chi si è affannato per arrivare a quella fatidica data con le Policy aggiornate, chi ha tempestato di E-mail le proprie liste per informarle della modifica delle policy, chi addirittura ha inviato un'E-mail alle proprie liste, nella quale spiegava che la Privacy Policy era mutata, a seguito dell'entrata in vigore del GDPR, e che se il destinatario non avesse risposto alla E-mail dichiarando di voler rimanere iscritto alla lista, sarebbe stato cancellato d'ufficio!

Quest'ultima scelta si è rivelata un'opzione prudenziale veramente dannosa: liste di migliaia di indirizzi E-mail, faticosamente costruite nel tempo e con importanti investimenti di denaro, si sono ridotte drasticamente solo a poche centinaia. Una follia tanto enorme quanto inutile (sul punto ci sarebbe molto da dire, ma non è questa la sede adatta per affrontare l'argomento).

Moltissime persone vagavano nel web (e nella vita reale) alla disperata ricerca di indicazioni, consigli, template, check list per adeguarsi in fretta e furia, come se cercassero l'arca di Noè per proteggersi dall'imminente diluvio universale che si sarebbe abbattuto di lì a poco sull'Europa e su tutti gli operatori extra UE che malauguratamente si trovavano ad avere rapporti commerciali con persone fisiche appartenenti all'UE.

Quindi la domanda sorge spontanea: perché on-line non si trovano delle check list, delle linee guida o dei template utili per adeguarsi al GDPR?

La risposta a questa domanda risiede nel concetto di "Accountability" di cui ho trattato in questo VIDEO.

In estrema sintesi, il nuovo Regolamento Europeo, rivolgendosi a tutte le realtà (dalle più piccole alle più grandi) propone 88 pagine di regole, nelle quali sono spiegati quali sono gli obiettivi cui bisogna ambire ma, dal punto di vista concreto ed operativo, lascia a ciascun operatore economico il compito di decidere da sè quali misure concrete adottare.

E fin qui, nessun problema in apparenza!

Il problema sorge nel momento in cui, in presenza di un controllo di routine o su segnalazione, l'Autorità esamina il nostro sistema di gestione della Privacy e lo giudica inadeguato, in riferimento ai principi dettati dal GDPR. Allora lì sono dolori ed è necessario saper dimostrare di avere preso in considerazione ogni aspetto richiesto dal GDPR e di aver effettuato una valutazione ed una scelta che si riveli, anche a posteriori, la migliore possibile in base alle dimensioni della realtà economica, al tipo di dati trattati e ai rischi specifici presenti in quel settore.

Pensa che nei primi 4 mesi di vigenza del GDPR, sono aumentati di ben il 42% i reclami al Garante (rispetto allo stesso periodo nel 2017).

Sarà complice il fatto che, ora rispetto a prima, i reclami non comportano l’esborso di denaro, bastando semplicemente scrivere una E-mail; sarà complice il fatto che l’elevata risonanza che ha avuto l’entrata in vigore del GDPR nel web ha reso più coscienti le persone, per non parlare dello scandalo Facebook-Cambridge Analityca … Ma sta di fatto che il numero di segnalazioni sta aumentano a dismisura.

Ciò significa che chiunque abbia un’esposizione on-line, potrebbe subire una segnalazione da un utente: chi con ragione, chi magari anche a torto, solo perché svolge il fastidioso mestiere dell’Hater, che si alza la mattina con l’unico scopo di rovinare la giornata a qualcun altro che ha voglia di mettersi in gioco e di mettere la faccia in qualcosa in cui crede.

Quindi ciascun imprenditore o blogger deve costruire da sè il proprio impianto di protezione dei dati personali, nel modo migliore possibile, tenuto conto della sua realtà.

Ecco perché non ci possono essere delle Check-list ufficiali da seguire per mettersi in regola!

Certo non tarderanno dei provvedimenti del Garante che possano stabilire delle procedure un pò più snelle e semplici per le micro, piccole e medie imprese, come ha stabilito il D. lgs. 101/2018, ovvero la legge italiana di coordinamento e armonizzazione del nostro Codice per il trattamento dei dati personali con il GDPR.

Ma purtroppo non è concesso attendere che l’Authority si pronunci e, comunque, tali provvedimenti non potranno risolvere tutti i problemi.

L'unica strada possibile è, quindi, quella di bloccare un pò di tempo in calendario per svolgere un'attenta analisi della propria realtà. Solo una volta fatta questa analisi saprai cosa scrivere nelle Policy ed avrai un quadro chiaro dell'assetto Privacy della tua impresa o presenza on-line.

Ma come si fa questa analisi? Ho preparato per te un percorso fatto di 10 punti fondamentali, che devi necessariamente affrontare per scattare una prima fotografia della tua situazione di partenza, per poi capire dove devi dirigerti.

E' come quando si programma un viaggio a più tappe: voglio fare il giro del mondo, bene! Però prima devo per forza sapere da dove parto, verso quale direzione dirigermi alla partenza, stabilire tutte le varie tappe intermedie sino a tornare al punto di partenza. 

Fatto questo primo schema, potrò poi procedere a stabilire nel dettaglio le varie tappe, i tempi di permanenza, ciò che voglio visitare, i mezzi di trasporto e gli alloggi che voglio prenotare in anticipo e quelli che, invece, mi riservo di prenotare in loco e così via!

Anche l'adeguamento al GDPR richiede un processo, che non può assolutamente risolversi soltanto nel rinfrescare le Privacy Policy; se hai un biglietto aereo in mano, non significa avere programmato l’intero viaggio!

Pertanto ecco le 10 cose che puoi subito fare per cominciare ad adeguarti a questa nuova e complessa normativa:

  1. Riflettere su quali dati tratti: la prima cosa da fare è una bella lista di tutti i dati altrui che tratti. Credimi, molto spesso trattiamo dati personali quasi senza rendercene conto. Perciò anche se ti sembra di avere le idee chiare e tutto sotto controllo, prenditi un pò di tempo e, con carta e penna o sul computer, prepara un elenco dettagliato di tutti i dati personali altrui che tratti.

  2. Non puoi trattare lecitamente dati personali altrui se tale trattamento non è accompagnato da una (o più) finalità specifiche. La domanda alla quale devi rispondere è: “Perchè tratto questi dati personali?” Se non hai una risposta a questa domanda, allora abbiamo un problema e ciò significa che, il prima possibile, devi interrompere il trattamento di questi dati.

  3. Il GDPR impone di fare una riflessione anche sulla durata temporale del trattamento dei dati personali. In linea di massima dovresti chiederti sempre, per ciascuna finalità, quale può essere il tempo massimo di conservazione dei dati. Trascorso questo periodo dovrai avere impostato un sistema che ne assicuri la definitiva cancellazione.

  4. I dati particolari sono i c.d dati sensibili, i dati genetici e i dati biometrici. Controlla e verifica se puoi escludere di trattare questi dati. Altrimenti, se devi trattarli, occorre prestare a questi dati un’attenzione e protezione particolari.

  5. Rifletti su chi sono le categorie degli interessati per i quali tratti i dati personali: clienti, utenti, followers, dipendenti, collaboratori freelance etc. etc.

  6. Fai un’analisi di tutti i supporti sui quali gestisci e conservi i dati personali altrui: computer, server (in locale, in cloud), servizi vari, piattaforme on-line, chiavette usb, cellulare, tablet, archivi cartacei e così via.

  7. Se oltre a te, ci sono altre persone che, a vario titolo, gestiscono i dati personali altrui che hai raccolto, individuale tutte, perché dovranno essere adeguatamente da te istruite e formate per trattare i dati nei limiti consentiti dalla legge.

  8. Non sottovalutare mai l’importanza delle misure di sicurezza! Spesso è un argomento che si cerca di risolvere velocemente con l’installazione di un antivirus (magari il meno costoso presente sul mercato) e di un firewall! Però la sicurezza non è solo quella! A tal proposito ti segnalo un paio di video di approfondimento dove parlo di 3 misure di sicurezza da adottare subito e del fenomeno del phishing!

  9. Se, nonostante tutte le attenzioni e le cure approntate per mantenere i sistemi di gestione dei dati personali altrui in sicurezza, dovesse malauguratamente accadere di subire un Data Breach (cioè una violazione dei dati personali da te custoditi, sia per un’intrusione informatica non autorizzata, sia per furto del PC) occorre preparare in anticipo un piano di emergenza, che deve contenere tutti i passi da fare per limitare i danni e per ripristinare il prima possibile la funzionalità del sistema e la disponibilità dei dati. A tal proposito ricorda che il GDPR impone di comunicare l’accaduto all’Autorithy entro 72 ore dalla scoperta e, in taluni casi, anche a tutti gli interessati coinvolti (guarda cosa è successo ad agosto 2018 alla British Airways).

  10. La figura del DPO (Responsabile per la protezione dei dati personali) è una figura molto conosciuta e diffusa in altri Paesi europei ed extra europei, mentre per noi italiani rappresenta una completa novità. In linea di massima questa figura dovrebbe essere obbligatoria solo per realtà strutturate e di una certa dimensione e, quindi, non dovrebbe riguardare le micro, piccole e medie imprese. Tuttavia ho voluto comunque fartene un breve cenno, per saperne qualcosa in più e perché, nel caso tu avessi dei dubbi, che possono sorgere solo avendone una pur minima conoscenza, tu sia nelle condizioni di poter consultarti con un professionista e valutare la tua situazione.

    Il DPO va nominato quando:

    a)  il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

    b)  le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

    c)  le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

    E’ altamente probabile che una micro, piccola e media impresa non abbia la necessità di nominare questa figura, ma è comunque opportuno sapere che esiste e che un domani, con la crescita del business, potrebbe divenire necessaria.

Di seguito ti lascio una colorata infografica che riassume in poche righe tutto ciò che abbiamo visto fino ad ora.

Non mi resta, quindi, che augurarti buon lavoro!

gdpr_ checklist.png