GDPR - General Data Protection Regulation - Privacy e Data Protection
25 maggio 2018 - il GDPR è entrato pienamente in vigore (General Data Protection Regulation - Regolamento Generale sulla Protezione dei Dati - UE 2016/679)
E' il regolamento emanato dalla Commissione Europea nato con il presupposto di armonizzare le leggi vigenti estendendole e rendendole omogenee in tutta l'Unione Europea. Lo scopo è di rafforzare la protezione dei dati personali dei cittadini nell'ambito dei paesi dell'Unione e anche all'esterno dei propri confini, tutelando gli interessati sia che si tratti di persone che di imprese.
Nata sulla base di specifiche crescenti richieste di garantire integrità, legalità e sicurezza dei dati, esprime i principi di liceità del trattamento e la limitazione delle finalità, il diritto ad accettare o a revocare il consenso del trattamento dei data, il diritto ad una informazione trasparente e chiara in merito al trattamento, all'eventuale trasferimento e alla conservazione dei dati personali e/o sensibili, avendo la possibilità di richiedere la modifica, la cancellazione in qualsiasi momento, oppure di essere informati sulla provenienza degli stessi e chiederne la verifica.
La normativa entrata in vigore già nel 2016 è stata applicata dal 25 maggio 2018 ed è peraltro molto complessa rivoluzionando tutto il sistema imprese e di relazione con i privati e anche tra le aziende stesse.
Il regolamento viene applicato a tutte le imprese anche estere che si occupano della raccolta e della gestione dei dati dei cittadini residenti nell'Unione Europea, indipendentemente dalla ubicazione della sede legale e dalla sede operativa dove sono svolte tali attività ed indipendentemente dal fine del trattamento.
Il regolamento è di una tale portata che richiede la massima attenzione da parte di tutte le imprese ed organizzazioni ai fini di ottemperare alle richieste del Garante in tutti gli aspetti e nelle aree nelle quali sono coinvolte. Il regolamento infatti comporta l'implementazione di un processo organizzativo denominato "Process by-Design" (Privacy by-Design) e l'implementazione di un altro denominato "Process by-Default" (Privacy by-Default). Ciò significa che tutta l'organizzazione interna dell'impresa deve essere costruita secondo la logica di tutela e sicurezza dei dati, in base al consenso o al rifiuto del trattamento dei dati, la possibilità di verifica, modifica, cancellazione degli stessi da parte dei Fruitori del servizio. Ciò significa dover implementare dei modelli di progettazione dei flussi dei dati valutando l'impatto tutti i rischi di default dei sistemi in ogni passaggio, ovvero di perdita dei dati, gli eventi accidentali o naturali, la modifica, la distruzione nonché l'accesso ai dati da parte di intrusi o di terzi non aventi incarico e la divulgazione di dati non autorizzata. Specifiche modifiche o la perdita di dati e data-breach specifici che potrebbero avere un certo tipo di impatto (dopo attenta valutazione da parte dell'impresa) vanno notificati entro 72 ore al Garante, informando i danneggiati con conseguente perdita economica e danno di immagine per l'impresa.
Il Garante pertanto ha introdotto in primis il Registro del Consenso del Trattamento dei dati che consente la mappatura del processo del trattamento dei dati e oltre ai modelli di progettazione Process by-Design e Process by-Default un altro documento denominato "Private Assessment Register" (PIA), un registro che deve essere necessariamente dinamico aggiornato quotidianamente, un Registro di Audit interno che riguarda i rischi di data-breach.
Il regolamento impatta in misura significativa su tutte le attività digital, sulle attività di marketing tradizionale e digitale, pertanto tutta l'area digital a partire dalla costruzione del sito web, della piattaforma/portale, dell'e-commerce è da progettare secondo il regolamento; così pure tutte le attività di marketing sia tradizionale che digitale devono essere attentamente valutate ed elaborate secondo la logica del GDPR. Il nuovo Regolamento, ai fini della Consapevolezza e delle proprie Responsabilità (Principio di Accountability) in merito al trattamento dei dati personali e alla Sicurezza dei dati, riguarda tuttavia tutte le imprese. Si tratta quindi di dover ripensare alla propria organizzazione, ridisegnando i processi, le responsabilità interne e/o anche esterne. Per le imprese che hanno oltre 250 dipendenti, per le grandi imprese, la Pubblica Amministrazione e imprese con particolari tipologie di attività è obbligatoria la figura professionale del Data Protection Officer (D.P.O.), che è nominata quale Persona Referente tra l'Impresa ed il Garante.
Il 25 maggio 2018 tutte le imprese hanno avuto l'obbligo di essere pronte per evitare pesantissime sanzioni: le sanzioni possono arrivare anche a Euro 20.000.000,00 o al 4% del PIL mondiale. Proroga di adeguamento estesa fino a gennaio 2019 e poi fino a maggio del 2019.
Le sanzioni saranno valutate comunque anche sulla base della tipologia giuridica adottata, dalle dimensioni dell'impresa e dalla gravità delle irregolarità commesse.
La normativa deve essere compresa bene in tutta la sua ampiezza e in considerazione della valutazione e progettazione di processi, funzioni, attività e responsabilità con l'opportunità di maggiore efficienza ed efficacia dell'impresa. Ciò crea un vantaggio competitivo ed un valore aggiunto riconosciuto da cittadini e imprese che apprezzano coloro che operano nella trasparenza, in sicurezza, costruendo le basi per un rapporto destinato a perdurare nel tempo basato sulla fiducia.
E' inoltre opportuno ricordare che a luglio 2018 anche le imprese che non operano con la pubblica amministrazione ed i Professionisti avrebbero dovuto adottare la fatturazione elettronica, che è entrata completamente in vigore a gennaio 2019; inoltre le imprese che non hanno un sito web/portale/piattaforma certificata saranno ampiamente penalizzate dai motori di ricerca. In una fase di grandi cambiamenti e di importanti regolamentazioni è opportuno valutare anche questi due aspetti al fine di armonizzare investimenti con una visione che possa dare risultati positivi in futuro.
Da menzionare che l'Educazione alla Sicurezza Informatica e ad Internet è necessaria per tutte le Imprese, i Dipendenti ed anche i Cittadini.