Nelle ultime settimane sempre più aziende prendono informazioni chiedendo: ma noi siamo soggetti al nuovo cambiamento di legge? Ma è vero che siamo esclusi perchè abbiamo “solo” l’anagrafica clienti, la contabilità e le mail? Quali sono le “multe minime” se non ci mettiamo a norma?
Da qui l’esigenza di dover inserire alcune FAQ che aiutino la comprensione del nuovo regolamento e dei nuovi adempimenti richiesti dalla legge europea che spero aiutino anche nella comprensione delle necessità aziendali.
Domanda:
- La mia azienda tratta “solo” dati relativi ai clienti, teniamo uno storico e lo utilizziamo per capire come il nostro prodotto possa essere venduto e a quale target, riferendosi a varie fasce di età magari. Direi che non siamo soggetti a particolari adempimenti, giusto?
Risposta: Per niente giusto. Le aziende che devono mettersi in regola con il nuovo regolamento europeo sono tutte quelle che trattano dati relativi a persone fisiche tranne quelle che effettuino solo trattamento manuale e non strutturato dei dati. Nel caso specifico, non è la natura del dato a determinare con certezza gli adempimenti, bensì il trattamento che ne viene fatto: un dato potrebbe essere trattato solo a scopi statistici e anonimizzato, lo stesso dato potrebbe essere trattato a scopi di profilazione, configurando situazioni decisamente differenti.
2. Ho sentito parlare di questo DPO o responsabile della protezione dei dati, posso farne a meno? Posso incaricare qualcuno nella mia azienda? Quanto mi costa e perchè?
Risposta: Il DPO è un incarico di alto livello all’interno dell’organigramma aziendale che prevede l’introduzione del responsabile della protezione dei dati non come una figurina da appiccicare in sede, ma come ruolo di funzione. Il DPO deve essere una figura che per l’art.37 del GDPR deve avere specifiche caratteristiche, sia di skill personali che di conoscenze, molto spesso multidisciplinari. Il DPO può essere obbligatorio nei casi citati dal regolamento o può essere facoltativo. In entrambi i casi, la sola nomina non comporta l’automatica compliance ma deve essere supportata da azioni specifiche nei processi aziendali. In entrambi i casi deve essere supportato dal management con le necessarie risorse e con la necessaria autonomia ed indipendenza. Viene da sé che la nomina di un dipendente di basso livello, senza autonomia e che magari operi nel settore informatico, non potrà non avere dei conflitti nello svolgere la propria funzione in maniera indipendente. I costi inoltre variano in base a: necessità di interventi sui processi aziendali, necessità di formazione del personale aziendale, necessità di sorveglianza, responsabilità conferite dalle aziende. Naturalmente un contratto di consulenza assume valori decisamente inferiori rispetto a nomine formali (e responsabilità) come DPO aziendale.
3. Ho le password ai pc, faccio i backup, che altro dovrei fare? Ho già con quello richiesto dalle misure minime, perché mi viene detto che devo far altro?
Risposta: la nuova legge non prevede misure minime inequivocabili per tutti i trattamenti e tutte le aziende. La nuova legge prevede un concetto di accountability da soddisfare in base ai trattamenti della propria azienda. Prevede concetti di privacy by design e privacy by default che vanno modulati e adattati nello specifico contesto e non con checklist generiche, prevede l’adozione di controlli continuativi dei processi aziendali che non possono esaurirsi con la produzione di una pila di documentazione cartacea una volta all’anno; prevede di avere un sistema attivo e di qualità per ridurre al minimo i rischi sui trattamenti aziendali. Come può una pila di fogli ridurre il rischio su trattamenti che si svolgono in modo informatizzato?
4. Cosa rischio con le sanzioni? Sono “un po’” a norma ma non del tutto.
Risposta: con il GDPR non ci sono sanzioni minime relative a particolari mancanze ma sono sono stati previsti 2 livelli di sanzioni che in base alla gravità possono raggiungere 10 o 20 mln di € e, quando tali misure fossero non sufficienti, possono toccare il 2% o 4% del fatturato mondiale annuo dell’azienda.
5. Devo quindi buttare tutto quello fatto fino ad ora? Quanto ci vuole a mettermi a norma con le nuove prescrizioni?
Risposta: un titolare del trattamento che è attualmente a norma con la legge 196/2003 avrà sicuramente una migrazione molto più semplice nel passaggio al GDPR. Molti degli adempimenti rimangono immutati o verrano semplificati (basti pensare all’informativa), tuttavia, a causa dei principi di privacy by design e privacy by default, potrebbero essere necessari profondi cambiamenti nelle procedure interne. Cosa significa nella pratica: se l’adeguamento era vissuto come l’adempimento burocratico di compilare una documentazione, potrebbe essere necessario agire sui gestionali informatici, sulle banche dati, sui locali dove vengono effettuati determinati trattamenti e così via. Anche la semplice analisi non può essere per forza di cose immediata e richiede tempo. Motivo per il quale il consiglio è sempre quello di muoversi in anticipo sulla scadenza di maggio 2018.
6. Ho sentito dire che il 25 maggio 2018 entra in vigore la nuova legge, ci saranno proroghe? È ufficiale?
Risposta: è ufficiale e non ci saranno proroghe. Il regolamento 2016/679 ha visto la luce il 27 aprile 2016 e ha dato 2 anni di tempo ai titolari del trattamento per rendere conformi al regolamento i trattamenti già in corso (considerando 171). Pertanto, è già ufficialmente in vigore e si applicherà a partire dal 25 Maggio 2018, data in cui potranno essere contestate eventuali non conformità.
7. Un soggetto di cui sono fornitore, mi ha chiesto la conformità per quanto riguarda la normativa sul trattamento dati: per quale motivo? Posso oppormi?
Risposta: Negli ultimi tempi, diverse aziende estere hanno iniziato a richiedere questi attestati di conformità sia dall’europa (proprio per via del GDPR) sia dagli USA in relazione al privacy shield. Con l’andare del tempo, soprattutto per chi lavori con aziende europee, sarà prassi richiedere audit valutativi ai propri fornitori in relazione alle prescrizioni del GDPR. La mancata risposta o la non conformità, potrebbe anche far optare per il cambio del fornitore da parte di un titolare del trattamento che non riceva evidenti garanzie da parte dei propri responsabili.
8. Potete essere il mio DPO? Cosa serve per farlo?
Risposta: Certamente. Il DPO può essere esterno all’azienda e regolato da un contratto di servizi. La scelta di un DPO esterno all’azienda è privilegiabile in quei casi in cui serva un’analisi e un’azione il più oggettiva possibile. Un consulente esterno potrà agire senza vincoli di subordinazione, senza andare a screditare il proprio o l’altrui lavoro (pensiamo ad un sistema informatico carente che non sia stato adeguato per scarse risorse o per propri errori) ma sgrava anche il datore di lavoro dai costi di formazione (il GDPR prevede che i costi di formazione siano totalmente a carico del titolare). A livello formativo il GDPR prevede inoltre che tale funzione sia svolta da chi sia in possesso di caratteristiche specialistiche (art. 38.2), pertanto il possesso di certificazioni personali (come ad esempio la ISO 17024) e l’esperienza maturata nel corso del tempo danno garanzie e motivi di scelta preferenziale rispetto (non ce ne vogliano gli addetti ai lavori) alla nomina fittizia data a chi in azienda ha il compito di tenere gli uffici puliti.
Il regolamento europeo è decisamente complesso ma fornisce alle aziende un motivo concreto per mettere al sicuro le proprie banche dati e fornire alla propria clientela o agli interessati un servizio di qualità purché l’adeguamento venga realmente considerato come un’opportunità e non come un peso, venga valutato correttamente nei tempi (e non in fretta e furia con l’arrivo di maggio) e riesca a far percepire come nei tempi moderni, il vero valore delle aziende non è più il solo comparto strutturale ma anche tutto l’insieme di know-how, database e banche dati che formano il core delle aziende stesse.