Il nuovo regolamento privacy europeo comporterà una svolta epocale nell’approccio alla compliance privacy. Ma, allo stesso tempo, la privacy potrebbe diventare un vantaggio competitivo sui propri competitor ai tempi della sharing economy. Quali saranno in sintesi i cambiamenti più significativi?
1. Le nuove sanzioni non possono essere più ignorate
La grande novità introdotta dal regolamento è che le sanzioni applicabili in caso di violazioni saranno aumentate fino a 20 milioni di euro o il 4% del fatturato mondiale della società che commette la violazione. Questo cambiamento è significativo se si considera che, nell’attuale regime, una delle più alte sanzioni emesse nell’Unione europea per la violazione della normativa privacy è stata di appena 1 milione di euro.
Con sanzioni amministrative così elevate non si può poi escludere un’azione di responsabilità da parte degli azionisti nei confronti degli amministratori che non abbiano adottato le misure necessarie per conformarsi al regolamento europeo sul trattamento dei dati personali.
E tali misure sarebbero in aggiunta alle possibili azioni da parte dei clienti ed utenti i cui dati sono stati violati e alle sanzioni anche di carattere penale che sono già esistenti, oltre all’ordine di cancellare i dati raccolti illecitamente che potrebbe causare danni operativi ed economici.
2. Bisogna controllare i dati e chi li tratta
Uno degli aspetti che si riscontrano più spesso nell’assistere le società che si devono conformare al GDPR è la mancanza di controllo e di una mappatura dei dati trattati dalla società. Ci sono aziende con milioni di clienti in cui gran parte dei dipendenti (e a volte anche agenti e fornitori esterni) possono accedere ai dati di tutti i clienti attuali e passati. E quando dico “passati”, intendo che nella maggior parte dei casi non si procede mai alla cancellazione dei dati.
Il regolamento privacy europeo obbliga alla redazione di un registro dei trattamenti che illustri in modo molto dettagliato, tra gli altri, la tipologia dei dati trattati, chi vi ha accesso, come vengono utilizzati e per quanto tempo vengono conservati. Evidentemente questo registro deve rappresentare una fotografia fedele di quanto accade nell’azienda.
Allo stesso tempo, in caso di accesso abusivo a dati personali o perdita degli stessi (il cosiddetto data breach), è necessario in alcuni casi una notifica al Garante e perfino ai singoli individui i cui dati sono stati oggetto del data breach. Ed è importante sottolineare che un data breach può avvenire non solo in caso di cyber attacco, ma anche se un agente perde una chiavetta USB sul treno o se il responsabile payroll dimentica le buste paga sulla propria scrivania e le stesse vengono sottratte. Quindi è necessario implementare una policy per la gestione dei data breach e dei cyber attacchi.
3. I controlli devono essere effettivi
Il GDPR richiede all’aziende di adottare un sistema di policy, misure organizzative e tecniche che consentano di avere un controllo continuo sulla conformità dell’azienda con la normativa privacy e che quindi siano sempre “work in progress”.
Questa attività è supportata dalla nomina del Data Protection Officer (o DPO) che è una delle grandi novità del GDPR, ma che non ha molta utilità (e non rappresenta una tutela adeguata) se poi questi non può verificare in concreto il trattamento dei dati effettuato dall’azienda. Il DPO non può essere un solo individuo, ma piuttosto un comitato in realtà di grandi dimensioni.
Inoltre bisogna:
-
adottare delle misure tecniche bloccanti o che quantomeno generino degli “alert” in caso di comportamenti anomali;
-
svolgere dei corsi interni (almeno annuali) per i propri dipendenti, agenti, venditori, ecc. sulle policy interne in materia di privacy e gli obblighi a loro carico;
-
eseguire delle verifiche sia random che in caso di instaurazione e cessazione del rapporto con agenti, fornitori o incaricati al fine di verificare che abbiano le infrastrutture e le procedure adeguate per trattare i dati e che alla di cessazione del rapporto con loro non mantengano i dati dei clienti/dipendenti;
-
assicurarsi che ci sia una collaborazione tra tecnici, legali, marketing, HR e chiunque tratta dati personali all’interno della società e all’esterno della stessa per conto della società. Il GDPR introduce infatti il concetto di privacy by design che obbliga a provare di aver adottato misure volte a preservare la privacy dalla progettazione di qualsiasi prodotto/servizio che tratti dati personali.
4. Bisogna essere pronti a gestire le richieste di portabilità
Il diritto alla portabilità dei dati rappresenta un’altra novità introdotta dal GDPR che consente a utenti, dipendenti o qualunque persona i cui dati siano trattati da un terzo di poter “trasferire” detti dati al proprio nuovo datore di lavoro, fornitore, consulente ecc.
La portata di questo diritto è enorme perché ad esempio nuovi entranti nel mercato potrebbero utilizzare questo diritto al fine di ridurre il gap di dati storici relativi ai propri clienti, offrendo loro degli incentivi in caso di esercizio del diritto alla portabilità dei dati nei confronti del proprio fornitore.
E l’impatto potrebbe essere ancora maggior per società che non sono pronte a ricevere queste richieste. Quindi non hanno provveduto all’organizzazione dei dati nei propri sistemi informatici in modo da evitare che, in caso di richieste di portabilità, i dati trasferiti riguardino unicamente i dati forniti o generati dall’individuo, con l’esclusione di segreti industriali, informazioni riservate e dati su cui l’azienda detiene diritti di proprietà intellettuale.
5. Bisogna “evangelizzare” l’intera azienda
Questo cambiamento è un po’ la sintesi di tutti i principi precedenti. La necessità di garantire la conformità con la normativa privacy non è più un “nice to have”, non può essere più ignorato. E ciò è vero a maggior ragione in un periodo in cui le aziende stanno affrontando un processo di digitalizzazione che comporta l’aumento della profilazione e un trattamento elevato di dati.
La conformità con la normativa privacy e la certificazione della stessa diventerà un requisito obbligatorio per poter stipulare contratti con banche, assicurazioni, tech company, ecc. e per accedere a bandi pubblici. Per tale motivo la conformità con la normativa privacy può diventare un vantaggio competitivo rispetto ai competitor, specialmente in questa fase di transizione verso la prima adozione del GDPR.
Le aziende sono pronte? Io discuterò di questi e altri temi il 16 febbraio in un convegno organizzato in collaborazione con l’AIGI, Associazione Italiana Giuristi d’Impresa.
Facebook Comments