Perché la DGPR sarà un vantaggio per tutti

0

Perché la DGPR sarà un vantaggio per le aziende e i professionisti? Considerazioni e suggerimenti riguardo il Regolamento (UE) 2016/679
di Carmen Russo

Pubblicato anche sul sito del Fablab Catania


Il presente articolo è soggetto a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo. GDPR è l’acronimo di General Data Protection Regulation e non sostituisce in alcun modo le direttive espresse dal Garante della Privacy.

Le regole del gioco sono cambiate e proteggersi, o tentare di farlo, dalle violazioni dei dati deve essere una priorità per tutte le aziende, professionisti e chiunque operi con i dati altrui.
Diciamo come prima cosa che questo regolamento che entrerà in vigore il 25 maggio non riguarda solo i siti web ma tutte le aziende che trattano dati dei clienti e dei dipendenti secondo l’articolo 2 Ambito di applicazione materiale, in particolare i commi:
1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi
2. Il presente regolamento non si applica ai trattamenti di dati personali: effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico

Sei un parrucchiere che invia gli auguri di Natale via mail o WhatsApp? Invii ai tuoi clienti delle promozioni o li informi delle variazioni di orario di apertura o di un evento speciale? Hai una salumeria e con consegna a domicilio?  Il numero di telefono, l’indirizzo di casa, il nome e cognome della persona sono dati che tu stai trattando e pertanto devi adeguare le informazioni che fornisci ai tuoi clienti prima di raccogliere questi dati, o nel caso in cui tu li abbia avuti in passato comunicando che hai adeguato le norme di trattamento e chiedendo la loro conferma telematica o scritta.


Bada bene che qui sto parlando di informare i tuoi clienti e chiedere il consenso peraltro necessario allo svolgimento del servizio. Cioè esistono dei dati, sul web e non, che tu utente mi devi per forza di cose rilasciare se desideri che io ti fornisca il servizio o ti dia il prodotto.
La mia paura più grande, si fa per dire, ne ho di ben peggiori ma diciamo in ambito GDPR, è che i consumatori, che avranno letto poco e nulla di questo regolamento, inizino fare confusione fra dati necessari e dati aggiuntivi non necessari, per i quali puoi evitare di prestare il consenso.
Peraltro questo era già evidente nella normativa attualmente in vigore. Una delle caselle di spunta che nessuno controlla mai o che il titolare d’impresa segna come “dato necessario” è quello di prestare il consenso alla divulgazione dei dati oltre il mero svolgimento del servizio. Per questo ci ritroviamo con telefonate dai call center e proposte commerciali per mail o cartacee senza che nemmeno sappiamo chi siano queste aziende.
Dal 25 maggio non potranno esserci caselle di spunta rese obbligatorie se non per i dati necessari al trattamento. Questo varrà sia per i siti sia per il cartaceo. La prossima volta che farete una tessera a punti del supermarket fateci caso.

In pratica

qualsiasi attività commerciale deve avviare un processo che esegua una verifica dello stato attuale delle sue pratiche per il trattamento dei dati e porre in atto le modifiche necessarie. Soprattutto va comunicato in maniera chiara per gli utenti cosa andrà a leggere e a quali norme si rifà l’informativa. Raccogliere il consenso è un vantaggio per le aziende perché si cautelano contro possibili azioni fraudolente. Conservando il registro dei dati ed i consensi ricevuti dai clienti possono dimostrare di aver effettivamente ricevuto autorizzazione a registrare ed utilizzare i dati in questione. Il documento emanato dalla CE prevede che il consenso avvenga con mezzi digitali, cartacei o con altri mezzi. Immagino che si intenda anche registrazioni vocali, di cui potete richiedere una copia, o registrazioni video.


Resta inteso che il cliente o utente in generale può fare richiesta di cancellazione in qualsiasi momento senza bisogno di giustificarne il motivo a meno che non rientri in determinate categorie per cui sia necessario conservare i dati. In questo caso l’utente ha diritto di richiederne la cancellazione ma deve giustificarne il motivo. Ad esempio se il trattamento è necessario per l’esercizio del diritto alla libera espressione e informazione, il diritto alla cancellazione dei dati non sarà applicato. La stessa cosa vale quando il trattamento è necessario per motivi di interesse pubblico nel campo della salute pubblica, a scopo di archiviazione nell’interesse pubblico, di ricerca scientifica o storica o per l’accertamento, l’esercizio o la protezione di un diritto in giudizio.

La maggior parte delle aziende non rientra in questa casistica quindi se qualcuna delle persone vi chiede di cancellare i dati che avete registrato dovete eseguire la richiesta.
I dati devono essere cancellati invece se non sono più necessari ai fini del trattamento per i quali sono stati raccolti; se l’interessato revoca l’autorizzazione; se c’è opposizione dell’interessato al trattamento dei dati; se un tribunale ne ordina la cancellazione; e se sono stati trattati illegalmente, cioè se il consumatore non ha prestato il consenso. Mi chiedo che fine faranno le banche dati che ti vendono centinaia di dati di potenziali clienti. 


Cosa vuol dire cancellare il dato? Vuol dire che nei vostri registri, mail, archivi, computer, smartphone, cellulari, dispositivi di archiviazione, copie cartacee, deve essere eliminato, ai sensi dell’Articolo 17 del GDPR, tutto quello che concerne l’utente trattato.
È chiaro che non è possibile eliminare le fatture effettuate verso il cliente anche se questi richiedesse la cancellazione o oblio dei suoi dati. Per cancellare il dato dai vostri archivi potrebbe essere necessario non solo il tasto “Canc” ma anche un software che provveda ad eliminare e ripulire in maniera profonda. Sicuramente la copia cartacea sarà più facile distruggerla con un apposito apparecchio che tritura i fogli di carta.

Se i dati del consumatore li avete passati a terzi per la fornitura di un servizio o per motivi di gestione del cliente dovete informare anche questi responsabili del trattamento dati che il vostro cliente ne ha richiesto la cancellazione ed assicurarvi che essa avvenga.  Per questo motivo il regolamento prevede che voi titolari del trattamento abbiate un rapporto chiaro e regolamentato da un documento scritto, con i vostri fornitori di servizi.
Facciamo un esempio banale. Siete una ditta che effettua lavaggio di tappeti e vi affidate ad un’azienda per il ritiro e consegna. Chiaramente dovrete fornire loro il nome e l’indirizzo e possibilmente anche un recapito telefonico del vostro cliente. Punto primo il trasportatore non potrà utilizzare quei dati per i suoi scopi (cioè non potrà fare proposte commerciali o inviare altra documentazione) ma dovrà semplicemente fornire il servizio per cui l’azienda di lavaggio tappeti lo ha incaricato. Punto secondo se il cliente per un qualsiasi motivo, si trasferisce ad esempio, richiede la cancellazione dei dati all’azienda di lavaggio tappeti che ne richiederà la cancellazione anche al trasportatore.
A favore di una maggior trasparenza la prima azienda terrà copia della richiesta nel registro e manterrà fra la documentazione sia la richiesta del suo cliente, che deve avvenire in forma scritta, sia quella data all’impresa di trasposto.
Tanto lavoro! Anche per questo il regolamento prevede che il titolare del trattamento dei dati possa stabilire e richiedere un compenso per le spese amministrative e di gestione della pratica quando un utente richiede copia dei suoi dati presenti nei registri del titolare. La cancellazione invece è gratuita. 


Cosa accade a chi non è un’attività commerciale ma ha un sito web personale? Anche qui va posta la domanda in modo diverso: invii delle informazioni ai tuoi visitatori? Hai un form di contatto nel sito? Fai delle verifiche statistiche sulle visite e sul gradimento attraverso terze parti che ti dicono in pratica quante visite ha il tuo dominio, l’età dei visitatori, il genere, le fasce orarie preferite? Anche questo va comunicato nella pagina dedicata alle politiche sui cookie ma essendo dati aggregati e quindi non tratti i dati che identificano una persona, non hai bisogno del consenso ma devi indicare per ogni terza parte come il tuo visitatore può eliminare questi cookies.

 

Il registro per il trattamento dei dati
È sufficiente un semplice Excel ben strutturato, per tenere nota dei dati raccolti, della data d’inserimento, della persona o azienda che è responsabile dei dati.
Potete chiedere una copia del registro compilando il modulo di contatto alla pagina www.fababcatania.eu/gdpr

Data Breach
Breach notification Notifica di violazione

Il GDPR introduce un obbligo per tutte le organizzazioni di segnalare alcuni tipi di violazioni dei dati personali il GP e, in alcuni casi, alle persone colpite.  Una violazione dei dati personali significa una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o illegale di dati personali.
Devi informare il GP di una violazione, a meno che non sia improbabile che determini un rischio per i diritti e le libertà delle persone. Laddove una violazione possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, è necessario notificare gli interessati direttamente e senza indebito ritardo.
In tutti i casi è necessario conservare registrazioni di violazioni dei dati personali, indipendentemente dal fatto che siano soggette all’obbligo di notifica al GP.

È necessario segnalare una violazione notificabile al GP senza indebito ritardo, ma non oltre 72 ore dopo esserne a conoscenza. Il GDPR riconosce che non sarà sempre possibile indagare completamente su una violazione entro quel periodo di tempo e ti consentirà di fornire ulteriori informazioni in più fasi, a patto che ciò avvenga senza ulteriore indugio. Dovresti assicurarti che il personale capisca cosa costituisce una violazione dei dati personali, e questo è più che una perdita di dati personali.
È necessario assicurarsi di disporre di una procedura di segnalazione delle violazioni interne. Ciò faciliterà il processo decisionale in merito alla necessità di informare il GP o le persone interessate.
Alla luce dei tempi stretti per la segnalazione di una violazione, è importante disporre di solide procedure di rilevamento delle violazioni, indagini e reporting interno.
Documentare la violazione e comunicare la violazione (entro 72 ore da quando si è scoperta la violazione).
In altre parole se vieni a conoscenza di un evento che ha compromesso i dati in tuo possesso hai l’obbligo di avvertire entro 72 ore il garante per l privacy. Se non lo fai ti assumi in toto eventuali danni. Facciamo un esempio: hai questo file di registrazione dati nel tuo hard disk e questo viene rubato dal sedile della tua auto, devi comunicare al Garante della Privacy cosa è successo, come sei venuto a conoscenza del fatto (nel caso del furto è facile) e la data in cui è avvenuto. Questo processo prende il nome di Data Breach. 

Accountability – Sii responsabile


Ovvero le politiche che la tua azienda adotta, e dimostra di aver adottato, per la gestione dei dati. Il GDPR richiede di mostrare come si rispettano i principi. Una politica di questo genere ti aiuterà ad affrontare la protezione dei dati in modo coerente e a dimostrare la responsabilità ai sensi del GDPR. Questa può essere una dichiarazione politica autonoma o parte di una politica generale del personale.
Il documento dovrebbe definire chiaramente il tuo approccio alla protezione dei dati insieme alle responsabilità per l’attuazione della politica e il monitoraggio della conformità. La direzione dovrebbe approvare la politica e dovresti pubblicarla e comunicarla a tutto il personale. È necessario rivedere e aggiornare la politica aggiornata a intervalli pianificati o quando richiesto per garantire che rimanga pertinente. La tua attività monitora la tua conformità alle politiche di protezione dei dati e rivede regolarmente l’efficacia della gestione dei dati e dei controlli di sicurezza.
Information risks
Dovresti stabilire in che modo tu (e tutti i tuoi elaboratori di dati) gestisci il rischio informativo. È necessario disporre di un membro del personale con responsabilità per la gestione dei rischi informativi, coordinamento delle procedure messe in atto per mitigarli e per la registrazione e la valutazione del rischio delle risorse informative. Laddove sono stati individuati rischi informativi, è necessario disporre di piani di azione appropriati per mitigare eventuali rischi non tollerati o risolti.
Data Protection by Design
Ai sensi del GDPR, l’utente ha l’obbligo generale di attuare misure tecniche e organizzative adeguate a dimostrare di aver preso in considerazione e integrato la protezione dei dati nelle proprie attività di elaborazione. Si parla di protezione dei dati in base alla progettazione e per impostazione predefinita. È necessario adottare politiche interne e attuare misure che consentano di rispettare i principi di protezione dei dati, tra cui la minimizzazione dei dati, la pseudonimizzazione e le misure di trasparenza.
Data Protection Impact Assessments (DPIA)
Le DPIA ti aiutano a identificare il modo più efficace per rispettare i tuoi obblighi di protezione dei dati e soddisfare le aspettative della privacy delle persone. Una DPIA efficace consentirà di identificare e risolvere i problemi in una fase iniziale, riducendo i costi associati e i danni alla reputazione che potrebbero altrimenti verificarsi. È necessario eseguire una DPIA prima di iniziare qualsiasi tipo di elaborazione che “potrebbe comportare un rischio elevato”. Ciò significa che, sebbene non sia stato ancora valutato l’effettivo livello di rischio, è necessario esaminare fattori che indichino il potenziale di un impatto diffuso o grave sugli individui.

In particolare, il GDPR dice che devi fare una DPIA se pensi di:
* utilizzare una profilazione sistematica e approfondita con effetti significativi;
* elaborare una categoria speciale o dati di reato su vasta scala;
* monitorare sistematicamente i luoghi accessibili al pubblico su larga scala.
* utilizzare nuove tecnologie;
* utilizzare i dati di profilazione o categoria speciale per decidere l’accesso ai servizi;
* profilo degli individui su larga scala;
* elaborare dati biometrici;
* elaborare dati genetici;
* abbinare i dati o combinare set di dati provenienti da fonti diverse;
* raccogliere dati personali da una fonte diversa dall’individuo senza fornire loro un avviso sulla privacy (‘elaborazione invisibile’);
* traccia la posizione o il comportamento degli individui;
* profilo bambini o marketing di destinazione o servizi online a loro;
* elaborare dati che potrebbero mettere in pericolo la salute fisica o la sicurezza dell’individuo in caso di violazione della sicurezza. 

La DPIA dovrebbe contenere le seguenti informazioni:

* una descrizione della natura, della portata, del contesto e delle finalità del trattamento e, ove applicabile, degli interessi legittimi perseguiti dalla vostra azienda;
* una valutazione della necessità e proporzionalità del trattamento in relazione allo scopo;
* una valutazione obiettiva dei rischi per gli individui, che considera sia la probabilità che la gravità del possibile danno;
* quali controlli avete identificato per affrontare uno di tali rischi e se tali rischi sono eliminati, ridotti o accettati come risultato (inclusa la sicurezza). 

Se è stata eseguita una DPIA che identifica un rischio elevato e non è possibile adottare misure per ridurre questo rischio, è necessario consultare il GP. Non puoi procedere con l’elaborazione finché non lo hai fatto.
L’attenzione si concentra sul “rischio residuo” dopo che sono state prese tutte le misure di attenuazione. Se la tua DPIA ha identificato un rischio elevato, ma hai preso misure per ridurre questo rischio in modo che non sia più un rischio elevato, non è necessario consultare il garante.

Data Protection Officers (DPO) Responsabile della protezione dei dati. È importante assicurarsi che qualcuno nella propria azienda o un consulente esterno per la protezione dei dati si assuma la responsabilità della conformità alla protezione dei dati.
Potrebbe essere necessario nominare un DPO. Qualsiasi azienda può nominare un DPO ma
è necessario farlo se: 
* sono un’autorità pubblica (ad eccezione dei tribunali che agiscono in qualità di giudice);
* effettuare un monitoraggio regolare e sistematico su larga scala delle persone (es. monitoraggio del comportamento online);
* effettuare elaborazioni su larga scala di categorie speciali di dati o dati relativi a condanne penali e reati. 

Potrebbe risultare utile designare un DPO su base volontaria anche quando il GDPR non richiede di farlo.
Il responsabile della protezione dei dati deve lavorare in modo indipendente, riferire al massimo livello di gestione e disporre di risorse adeguate a consentire all’organizzazione di soddisfare i propri obblighi GDPR.
I compiti minimi del DPO sono:

* informare e consigliare l’organizzazione e i suoi dipendenti circa i loro obblighi di conformità con il GDPR e altre leggi sulla protezione dei dati;
* monitorare la conformità con il GDPR e altre leggi sulla protezione dei dati, compresa la gestione delle attività interne di protezione dei dati, la sensibilizzazione e la formazione del personale e la conduzione di audit interni;
* fornire consulenza e monitorare le valutazioni d’impatto sulla protezione dei dati;
* fungono da punto di contatto e cooperano con il GP e si consultano su qualsiasi questione relativa alla protezione dei dati;
* essere il punto di contatto per le persone i cui dati vengono elaborati (dipendenti, clienti, ecc.)

Management Responsibility

Dovresti assicurarti che i responsabili delle decisioni e le persone chiave nella tua azienda siano a conoscenza dei requisiti del GDPR.
I decisori e le persone chiave dovrebbero dare l’esempio, dimostrando la responsabilità per il rispetto del GDPR e promuovendo una cultura positiva, all’interno della vostra azienda, per la protezione dei dati.
Dovrebbero assumere un ruolo guida nel valutare eventuali impatti sulla tua attività e incoraggiare un approccio basato sulla privacy in base alla progettazione.
Dovrebbero aiutare a stimolare la consapevolezza di tutto il personale sull’importanza di esercitare buone pratiche di protezione dei dati.

Security Policy  

È necessario elaborare i dati personali in modo tale da garantire una sicurezza appropriata. Prima di poter decidere quale livello di sicurezza è giusto per te, è necessario valutare i rischi per i dati personali in tuo possesso e scegliere le misure di sicurezza appropriate alle tue esigenze.
Mantenere i vostri sistemi IT sicuri e protetti può essere un compito complesso e richiede tempo, risorse e (potenzialmente) esperienza specialistica.  Se si stanno elaborando dati personali all’interno dei propri sistemi IT, è necessario riconoscere i rischi associati e adottare le misure tecniche e organizzative appropriate per proteggere i dati.
Le misure che mettete in atto dovrebbero adattarsi alle esigenze della vostra azienda. Non devono necessariamente essere costosi o onerosi. Possono anche essere gratuiti o già disponibili all’interno dei sistemi IT attualmente disponibili.
Un buon punto di partenza è stabilire e attuare una politica di sicurezza delle informazioni che illustri il tuo approccio alla sicurezza delle informazioni, le misure tecniche e organizzative che applicherai e i ruoli e le responsabilità che il personale ha in relazione al mantenimento delle informazioni.

 

Per rispondere alla domanda inziale “Perché la DGPR sarà un vantaggio per le aziende e i professionisti?”

 È chiaro che l’attuazione del regolamento comporterà che aziende e professionisti e chiunque operi nel web avranno da spendere un po’ di tempo per studiare e iniziare questo processo ma alla fine dei conti gli utenti saranno contenti di trovare dei professionisti responsabili ed attenti ai loro dati. Inoltre adottare queste politiche di registrazione dati e chiarezza nel modo in cui li tratteremo ci cautelerà da possibili diatribe legali. Il nostro cliente non potrà dire che abbiamo preso i suoi dati illegalmente quando c’è un documento che comprovi la sua registrazione.
Quindi
armiamoci di pazienza e di buone intenzioni ed iniziamo il processo di verifica dello stato attuale e successivamente la modifica e miglioramento della politica di trattamento dei dati.

Iniziate a chiedervi: la mia attività come reperisce i dati? Ci sono dati di terze parti? Utilizzo sistemi per tracciare il gradimento del mio pubblico? Comunico in modo chiaro come i clienti possono conoscere la politica dei cookie e la politica sulla privacy? Dico loro con chiarezza che possono chiedere la cancellazione e come farlo? Dico loro che alcuni dati sono necessari per navigare il mio sito o per ricevere i miei prodotti\servizi? Li informo di come cancellare i cookie dal loro browser? Ho un registro dei dati? Quali rischi corrono i dati registrati? Quale persona è più indicata per il ruolo di DPO? Ho davvero bisogno di un DPO? Come comunico in caso di data Breach? Ho un documento per affidare a terzi la responsabilità dei dati?

In ultima analisi la collaborazione di tutte le parti e l’implementazione di tutti i sistemi concorrono a dare più sicurezza agli utenti.

Considerando che lo stesso Garante della Privacy aggiorna in continuazione le informazioni e le linee guida che fornisce agli operatori questo articolo potrebbe subire aggiornamenti e rettifiche in egual modo.  questo link potete scaricare il testo integrale del GDPR

CONDIVIDI

Profilo Autore

Dols

Dols è sempre stato uno spazio per dialogare tra donne, ultimamente anche tra uomini e donne. Infatti da qualche anno alla voce delle collaboratrici si è unita anche quella degli omologhi maschi e ciò è servito e non rinchiudere le nostre conoscenze in un recinto chiuso. Quindi sotto la voce dols (la redazione di dols) troverete anche la mano e la voce degli uomini che collaborando con noi ci aiuterà a non essere autoreferenziali e ad aprire la nostra conoscenza di un mondo che è sempre più www, cioè women wide windows. I nomi delle collaboratrici e collaboratori non facenti parte della redazione sono evidenziati a fianco del titolo dell’articolo, così come il nome di colei e colui che ci ha inviato la segnalazione. La Redazione

Lascia un commento


− 7 = uno