A dicembre dello scorso anno annunciai la storica sottoscrizione del testo definitivo del GDPR, General Data Protection Regulation, scrivendo che “a differenza del pensiero comune, il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali avrà un forte impatto sul mercato globale digitale e detterà nuove regole soprattutto per il web e per le comunicazioni elettroniche”.
Quale sarà la portata di questo impatto per le imprese?
Epocale per molti, ma al tempo stesso “travolgente come un fiume in piena”, oserei dire, per tutti coloro che tratteranno dati personali.
Sono molte le imprese che hanno già adottato modelli organizzativi compliant in materia di protezione dei dati personali recependo, soprattutto dopo l’annuncio nel 2012 della prima bozza del nuovo GDPR, quelle che sono le norme nazionali privacy, ma qualora non sia ancora ben chiaro, il nuovo GDPR introdurrà nuove garanzie e più stringenti di tutela per i soggetti interessati e relativi dati personali, nonché salatissime multe e sanzioni per i Data Controller (Titolari del Trattamento) e relativi Data Processor significativi (Responsabili del Trattamento).
Con i nuovi obblighi in materia di consenso, anonimizzazione dei dati, DPO (Data Protection Officer), trasferimenti di dati transfrontalieri, notifica delle violazioni, solo per citarne alcuni, il GDPR impone alle imprese che trattano dati personali dei cittadini dell’Unione di intraprendere un grande processo di revisione, se non di riforma nel senso più stretto, dei propri modelli organizzativi e di riflesso anche dei rispettivi modelli di business.
Questo è il primo di una serie di articoli che cercheranno di far meglio comprendere, attraverso approfondimenti e casi reali o ipotizzabili, quali impatti soprattutto da un punto di vista operativo e quindi organizzativo il GDPR, che ci piaccia o meno, sarà portatore, ma soprattutto impositore.
Maggiore sicurezza dei dati e standard di notifica delle violazioni
La sicurezza dei dati gioca un ruolo di primo piano nel nuovo GDPR e rispetto alla Direttiva UE 95/46, ormai prossima alla pensione, impone obblighi più rigorosi sui Data Controller e Data Processor in materia di data protection offrendo maggiori indicazioni sull’adeguatezza delle misure di sicurezza che si rendono necessarie adottare.
Il GDPR introduce anche per la prima volta l’obbligo della Data Breach Notification, notifica in caso di violazioni di dati. Scopriremo di seguito come queste due novità saranno indissolubilmente legate tra loro in un rapporto a dir poco simbiotico.
Elevati standard di sicurezza per il trattamento dei dati
Il GDPR separa la responsabilità e gli obblighi dei Data Controller dai relativi Data Processor, soprattutto se esterni, obbligando di fatto i primi a delegare trattamenti di dati o processi aziendali che comportino comunque un trattamento anche indiretto di dati personali (Clouder ad esempio) solo a soggetti che siano in grado di offrire “sufficienti”, ma andando oltre alla traduzione dall’inglese, aggiungerei anche, adeguate garanzie nell’adozione di idonee misure tecniche e organizzative volte alla protezione dei dati personali proprio nel pieno soddisfacimento del nuovo Regolamento. I Data Processor, inoltre, devono adottare tutte le misure di sicurezza nel rispetto degli standard previsti.
Entrambi, Data Controller e Data Processor, sono tenuti ad “attuare misure tecniche e organizzative” adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, così cita il GDPR che continua indicando alcune ulteriori misure di sicurezza al fine della mitigazione del rischio quali “la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Al fine della dimostrazione di un adeguato standard di sicurezza in conformità con le prescrizioni del GDPR i Data Controller e Data Processor possono aderire sia ad un approvato codice di condotta o ad un riconosciuto meccanismo di certificazione.
Data Breach Notification
In caso di violazione dei dati personali si rende necessaria la comunicazione all’autorità di vigilanza. Nuovo obbligo introdotto dal GDPR, non previsto dalla Direttiva UE 95/46, che ne definisce anche i requisiti e l’eventuale ulteriore comunicazione ai soggetti interessati.
Per Data Breach si intende la violazione degli standard di sicurezza adottati per la protezione dei dati personali che può comportare “accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque trattati”.
Nel caso di Data Breach, le imprese sono tenute a informare adeguatamente le autorità di controllo “senza indebito ritardo e, ove possibile, entro e non oltre 72 ore dopo esserne venuti a conoscenza”. Qualora la notifica non venga effettuata entro tale termine, si rende necessario fornire una “giustificazione motivata” per tale ritardo. E’ prevista anche un’eccezione all’obbligo di notificazione, difficile da valutare e dimostrare, con pressoché certe discussioni tra il Data Controller e il DPO.
Tale nuovo obbligo è letteralmente “straripante” e ha un impatto significativo a livello organizzativo e tecnico per qualunque impresa che dovrà adottare tutte quelle misure di sicurezza adeguate al fine di ridurre al minimo tale rischio. E qui entra di prepotenza la crittografia, che se considerata quale ulteriore misura di sicurezza, nel caso di Data Breach diventa necessaria. Perché “obbligatoria”? Per evitare anche la comunicazione ai soggetti interessati.
Ma con le tecnologie disponibili non sarà mica un problema informare tutti i soggetti interessati? Vero, a patto e condizione che il database contenente gli indirizzi mail sia accessibile, e che il sistema di posta sia in funzione, altrimenti gli Incaricati al trattamento da Data Controller si occuperanno di Data Entry compreso il Data Controller. E poi forse è il caso di chiarire che i soggetti interessati sono i fornitori, poi i lavoratori dipendenti e poi ancora … i clienti. Ebbene sì, sarà necessario darne comunicazione anche ai propri clienti. Inimmaginabile il danno reputazionale, con tutte le conseguenze che ne derivano in termini di fatturato, economiche, sanzionatorie e di risarcimento del danno in sede civile.
Il termine Nuovo Regolamento è stato usato solo nel titolo e solo occasionalmente in questo articolo non a caso. “Le cose e le persone vanno chiamate con il proprio nome” è un detto comune, ma in questo caso mai così appropriato: GDPR. Doverosa questa precisazione, e sarebbe proprio il caso di iniziare a prendere una certa confidenza con questo nuovo Regolamento e non solo, sarebbe anche doveroso iniziare a conoscerlo sempre meglio, poiché da qui ai prossimi anni “stravolgerà” imprese e relativi modelli organizzativi e di business, l’intera economia dell’Unione e non solo, mai come prima.
Il GDPR sarà posto al voto del Parlamento UE in primavera ed entrerà in vigore dopo 24 mesi dalla sua pubblicazione in Gazzetta Ufficiale UE. Meditate imprese, meditate, ma il tempo è tiranno. Pensate ancora che non sia giunto davvero il momento di preoccuparsene? Forse conoscere il proprio “nemico” aiuta a “combatterlo” oppure è il caso di farselo “amico” e far sì che la tutela e la protezione dei dati diventi una leva di competitività: garantire la privacy dei propri clienti e fornire adeguate garanzie di trasparenza può aiutare a rafforzare la reputazione del proprio brand e fidelizzare il cliente.
GDPR, nemico o meglio amico?
Facebook Comments