GDPR: esame di maturità per le imprese nella gestione della privacy
Si è svolto pochi giorni fa il terzo Colin Focus Day del 2016, dedicato al confronto delle aziende con il nuovo Regolamento Europeo sulla protezione dei dati. Un’interazione partecipata con i relatori ha coinvolto i prestigiosi invitati, in maggioranza ICT Manager, in rappresentanza di Gruppi multinazionali afferenti al settori assicurativo, servizi informativi, GDO, PA e Luxury.
In attesa del testo definitivo, il primo obiettivo è stato quello di far comprendere alle aziende il cambiamento di approccio al tema privacy: la GDPR (General Data Prtection Regulation), o Regolamento europeo sulla tutela dei dati personali, obbliga ad una razionalizzazione dei flussi di dati interni all’azienda, rispetto ai dipendenti, ed esterni rispetto ai fornitori.
Le premesse
Si tratta di una manovra economica messa in atto dall’Europa, come piace ricordare all’Avv. Valentina Frediani, Founder e CEO di Colin, non solo in termini di protezione del know how, ma anche nel guidare le scelte aziendali in merito ai fornitori, soprattutto per accordi su prodotti o servizi che incidono su investimenti pluriennali.
Nel periodo di passaggio, si ricorda che sono due gli anni concessi alle imprese per allinearsi al nuovo assetto dalla sua pubblicazione, i Provvedimenti del Garante restano punto di riferimento, non derogabile, per la corretta gestione della materi, oltre a rappresentare un’utile guida per prepararsi all’evoluzione in atto. Anche successivamente all’approvazione della GDPR non perderanno il loro valore dato che ne completano l’interpretazione e avranno il compito di specificare e calare nel contesto locale, alcuni temi affrontati dalla GDPR. Si pensi, ad esempio, ai provvedimenti che riguardano lo smaltimento della “spazzatura” elettronica o la regolamentazione in tema di Ads (Amministratori di Sistema).
Non solo l’Autorità Garante completerà il nuovo assetto con i propri interventi, vi sono altri documenti, si pensi alle Circolari di Banca d’Italia, che trattano temi non specificati nel regolamento europeo, che tuttavia, salvo integrazioni del testo definitivo, colmeranno i vari gap andando a comporre un quadro integrato.
Come nei precedenti incontri, si è iniziato con il delimitare l’ambito di applicazione della GDPR. Esso riguarda il territorio europeo ma travalica i confini quando si parla di oneri di gestione del rapporto con fornitori. I soggetti che esternalizzano delle attività al di fuori dell’UE, trattando dati di cittadini europei, comunque dovranno garantire gli standard previsti dalla normativa comunitaria.
Rispetto all’ambito sostanziale, il regolamento si applicherà sempre dove sarà realizzato un trattamento di dato personale. In tal senso devono essere considerarati anche Nick name e dati di business intelligence che diventano funzionali alle attività aziendali.
Tema interessante, dunque, quello della pseudonomizzazione: se il dato è codificato ma è riconducibile ad un soggetto interessato, significa che i dati isolati possono essere assemblati e assegnati velocemente all’identità di una persona. Quindi solo il dato puramente anonimo è escluso dal Regolamento ma occorre tenere ben presente che è tecnicamente molto difficile ottenerlo.
I principi cardine
I principi cardine della GDPR riguardano: trasparenza, finalità, minimizzazione, conservazione e le misure tecniche ed organizzative adeguate. Tuttavia, a riprova che un adeguamento corretto alle attuali normative comporta un avvantaggiarsi sul futiro, è bene ricordare che dare visibilità agli interessati dei dati raccolti e delle finalità del trattamento, è una regola già presente nei principi del Codice Privacy; essa viene solamente rafforzata in ambito europeo. Per quanto riguarda invece il già noto Data Breach, viene sottolineato come attualmente riguardi soprattutto Telco e biometria, con il GDPR esso viene esteso a qualsiasi caso in cui vi sia violazione dei dati.
Per rispondere in modo efficace alle misure di sicurezza richieste, dove possibile, i dati vanno razionalizzati. Questo processo, che tenga conto dei citati cardini del Regolamento, è occasione di riorganizzazione e ottimizzazione interna.
Razionalizzazione che, come accennato, dovrà coinvolgere anche i rapporti con tutti i soggetti esterni che, a vario titolo, sono coinvolti in attività aziendali che abbiano ricadute sul trattamento dei dati. La centralità dei Principi Privacy By Design e Default, introdotti nella riforma europea, sono fondamentali per regolare contratti ed accordi con terze parti. Dato che spesso tali accordi sono sanciti a medio o lungo termine, anche prima della formale entrata in vigore della GDPR, sarà più che opportuno per le imprese considerarli revisionando i contratti in essere o realizzandoli ex novo rispettando tali dettami.
Sempre riferendosi alla materia contrattuale, è necessario approcciare consapevolmente anche il Privacy Impact Assessment (PIA), uno strumento atto a tener conto degli impatti del trattamento sui diritti dell’interessato e a valutare i possibili rischi collegati. Implicazioni che, ancora una volta, coinvolgeranno l’intera filiera dei fornitori.
Concludendo poi con aspetti inerenti il nuovo assetto per il ricordo alle autorità, il trasferimento dei dati all’estero e la figura del DPO, il Colin Focus Day è stato occasione di scambio di esperienze e spunto di riflessione sul percorso che le aziende affronteranno per la razionalizzazione dei flussi informativi. Il GDPR obbliga le aziende a presentarsi a un ‘esame di maturità’ preparate, nel loro complesso, ad accettare e provuovere una prospettiva di tutela del patrimonio informativo che abbraccerà, in modo integrato, la totalità delle attività di business per esser efficace.