E’ dal lontanissimo 1996 che in Italia (Europa) si parla di Privacy. Argomento tuttora sconosciuto ai più e di volta in volta utilizzato dai furbetti per coprire informazioni ed evitare la trasparenza, ovvero per far passare, con una ‘firmetta’, delle clamorose porcate a danno delle persone.
Bene, il GDPR, General Data Protection Regulamentary – o, all’italiana RGPD Regolamento Generale sulla Protezione dei Dati – è l’ultima versione della normativa, stavolta direttamente di origine europea, sulla protezione dei dati personali o privacy che dir si voglia, che attiverà i suoi effetti con la data del 25 maggio.
Premesso che il termine Privacy fino al 1996 era totalmente sconosciuto all’ordinamento giuridico italiano, possiamo affermare che attiene, storicamente, a concetti ampiamente sviluppati dai corpi legali di matrice anglosassone. Il significato letterale si rifà prevalentemente ai concetti di ‘diritto all’oblio’ e ‘riservatezza’.
In quanto gelatieri, è bene porsi una fondamentale domanda: nell’ambito della nostra attività trattiamo ‘dati personali’? Per rispondere a tale domanda dobbiamo esaminare la definizione di ‘dato personale’: in sintesi, qualsiasi dato che si riferisce ad una persona fisica identificata o identificabile.
Questa definizione esclude totalmente i dati che si utilizzano nell’ambito dell’impresa riferiti ai soggetti giuridici – i nostri fornitori o i nostri clienti a cui fatturiamo i prodotti.
Per cui, se ci limitiamo a vendere mediante scontrino fiscale o fattura i nostri prodotti, del GDPR non ce ne può interessare di meno.
Diverso è il fatto se possiedo informazioni personali di clienti (persone fisiche) per iniziative promozionali (es.: carte fedeltà nominali, elenchi di numeri di telefono a cui inviamo SMS, ovvero di indirizzi email). Un altro nucleo di informazioni personali generalmente possedute dalle imprese è rappresentato dalle info del personale dipendente. In tal caso la problematica è doppia perché invariabilmente entrano in questi archivi anche le così dette ‘informazioni sensibili’ corrispondenti generalmente alle informazioni di assenza per malattia, maternità, infortuni, l’adesione a sindacati, i permessi per l’esercizio di attività politica, il prelevamento coatto del 5° dello stipendio, etc.
Cosa devo fare per adempiere correttamente al GDPR?
- All’atto della raccolta, fornire un’informativa dove specifico le ragioni per cui raccolgo i dati personali, il loro utilizzo e le modalità e necessità di comunicazione a soggetti terzi (es.: il consulente del lavoro per l’elaborazione dei cedolini paga – la società di comunicazione che prepara una newsletter periodica…)
- Se del caso, raccolgo il consenso al trattamento in forma specifica (es.: trattamenti di profilazione del cliente, promozione marketing, …)
- Nomino come ‘Responsabile del trattamento’ coloro a cui affido i dati (es.: consulente del lavoro)
- Compilo il Registro dei Trattamenti dove elenco, nel dettaglio, i trattamenti di dati personali effettuati e valuto se sono congrui con il principio di utilizzo ‘minimo’ e ‘lecito’, il processo manuale o automatico e gli strumenti coinvolti nel trattamento.
- Mediante il principio dell’accountability (responsabilità oggettiva del titolare del trattamento in ogni scelta del processo di protezione) raggiungo gli obiettivi di sicurezza rappresentati dai canonici parametri di ‘Riservatezza’ ‘Integrità’ e ‘Disponibilità’ scelti strategicamente dal Titolare.
- Pianifico, attuo e controllo il mio personale processo di sicurezza. A questo proposito, risulta di fondamentale aiuto lo Standard Internazionale ISO/IEC 27000.
- Se del caso, nomino la figura del DPO (Data Protection Officier) per essere coadiuvato nel processo d’adeguamento e gestione
Sembra facile? Vi assicuro che in verità non lo è… come non è affatto facile fare un sunto di un Regolamento di oltre 200 pagine.
La sicurezza è un processo che necessita di un dimensionamento sartoriale sulle oggettive esigenze evidenziate da un’analisi dei rischi, sulla natura dei trattamenti, sulla modalità di trattamento, sulla cultura aziendale e sulle risorse economiche che si possono rendere disponibili. Chiaramente, il rischio esposto da una grande azienda è decisamente superiore a quello di una delle nostre gelaterie, nel nostro caso il processo di sicurezza sarà dimensionato al minimo.
Nelle precedenti normative, il legislatore si era prodigato alla formulazione di una serie di misure di sicurezza obbligatorie per chiunque, evidenziando una sostanziale ignoranza su questi temi, per cui gli obiettivi ‘legali’ di sicurezza erano facilmente raggiunti con la sola applicazione di dette misure.
Il quadro disegnato dal legislatore europeo risulta decisamente più focalizzato sia sulle reali esigenze poste dalle dimensioni dei trattamenti, che dalla loro natura e scopo, e comunque le scelte ricadono, nel bene e nel male, sotto la responsabilità del titolare del trattamento.
Quali possono essere le misure di sicurezza alla nostra portata:
- Creazione di un modello d’informativa e raccolta del consenso
- Creazione di un modello di nomina di eventuali responsabili esterni
- Redazione del Registro dei trattamenti
- Protezione dei sistemi di trattamento (computer, archivi cartacei) mediante sistemi tecnologici (password o altri sistemi di autenticazione, software di protezione, backup, …) ed organizzativi (politiche d’accesso e gestione dei dati, formazione e aggiornamento del titolare e del personale…)
- Processo di verifica dell’efficacia del piano di protezione
Rimango a disposizione…
Pierluigi D’Ambrosio
