Assoutenti propone incontri gratuiti per agevolare la comprensione e la messa a norma privacy e garantire il rispetto dei diritti dei consumatori secondo il nuovo Regolamento Europeo GDPR

Messa a norma o messa a requiem?

Imprese, consumatori e delinquenti hanno per anni sottovalutato la messa a norma privacy. Da concetto etico e filosofico legato alla riservatezza e al diritto ad essere lasciati in pace, siamo passati alla tutela del trattamento dei dati personali.

Si tratta di un passaggio sottile ma importante perché l’Europa prima e gli Stati Membri poi, hanno deciso che per tutelare anche i profili etici di cui sopra servisse una regolamentazione sul lato commerciale: sono le imprese a gestire sempre di più aspetti fondamentali della nostra vita.

Dati anagrafici, codici di accesso, preferenze su libri, viaggi, interessi e poi ancora orientamenti politici e sessuali, impronte digitali e dna… tutta la nostra vita è riassumibile in dati di base la cui elaborazione da parte di terzi (Stato o imprese che siano) può condizionare la nostra esistenza in positivo o in negativo.

12 anni di Privacy: un buco nell’acqua.

Ma a distanza di 12 anni dalla prima legge sulla privacy (in Italia recepita con la famosa l. 675/1996) il buco nell’acqua è stato clamoroso sotto tutti gli aspetti.

  • Consumatori, utenti e cittadini sono assaliti da comunicazioni commerciali indesiderate, scambiano i propri dati personali e le informazioni più riservate e intime per banali servizi gratuiti e nonostante i 20 trascorsi concepiscono l’importanza di documenti come le informative privacy come fossero cartacce da firmare senza un perché.
  • Aziende e imprese hanno faticato e speso soldi per la privacy, ma spesso han visto comunque acquisire fette da concorrenti sleali e, come se non bastasse, hanno subito sanzioni per illegittimo trattamento dei dati personali da imputare a violazioni formali non certo figlie di furberie…

Ecco perché siamo giunti a un punto in cui era lecito chiedersi se celebrare la messa a requiem della normativa privacy ovvero giocare al rilancio e prendere sul serio la messa a norma privacy

L’Europa con il Regolamento 679/16/UE ha scelto di rilanciare e riformare, chiarendo che non vi è azienda senza privacy e senza responsabilità (accountability).

messa a norma privacy: bisogna dimostrare di aver fatto tutto quel che serve…

Responsabilizzazione (Accountability) e Onere della prova

Sono due i passaggi fondamentali della nuova normativa. Ce ne sono molti altri ma il concetto di fondo è che il trattamento dei dati personali deve essere al centro dell’attività di impresa e non può essere ridotto a fogli da firmare o meri adempimenti.

Da oggi il titolare dei trattamenti incorre in sanzioni pesantissime (con tetto di 10 e 20 milioni di Euro e applicazione a percentuale sul fatturato!): scopiazzare informative privacy alla bisogna o utilizzare formulari realizzati da modelli di altri siti può implicare gravi ripercussioni.

Il consumatore deve essere informato chiaramente sui propri diritti e su tale base rilasciare il proprio consenso.

Acquisito correttamente il consenso (o la diversa base giuridica) il modello di business deve creare un percorso basato sull’utilizzo strettamente necessario del dato personale e in grado di consentire la massima interazione con l’interessato. Questo è il concetto di privacy by default, che vuole il dato:

  • acquisito per reale necessità, anzi indispensabilità ai fini del trattamento
  • utilizzato per finalità specifiche e non generiche chiaramente descritte nell’informativa al consumatore
  • trattato in forza di una base giuridica ammissibile (ad esempio il consenso raccolto dall’interessato)
  • comunicato o diffuso nel rispetto delle finalità del trattamento
  • fidando sulla possibilità di verificare o accedere ai dati in maniera rapida ed efficace presso il titolare
  • conservato solo per quanto strettamente necessario agli adempimenti richiesti dal contratto o dalla legge

Rispettare queste condizioni e le altre previste dal regolamento è onere del titolare e di chi nominerà al suo fianco come responsabili.

SI tratta del principio della accountability che in quanto tale significa che bisogna gestire in proprio e con autonomia e competenza la privacy in azienda, giorno per giorno e con l’evidente specifica che ogni volta in cui qualcosa cambia (ad esempio si lancia un nuovo prodotto) anche il trattamento dei dati personali deve essere analizzato e posto a fondamento dell’innovazione (privacy by design come dice il regolamento).

Il regolamento europeo aggiunge a questo concetto una generale inversione dell’onere della prova:

dimostrare di essere in regola con la legge privacy è onere del titolare questo significa che non bisogna solo ingegnarsi per adottare misure di sicurezza adeguate o informative corrette; bisogna anche raccogliere le tracce e le prove di quel che ben si è fatto. Anche questo è messa a norma privacy.

Un esempio? poter dimostrare di aver trattato il dato regolarmente nonostante un furto di dati effettuato da parte di pirati informatici sulla nostra rete eviterà sanzioni importanti.

Gli adempimenti per la messa a norma privacy

Volendo schematizzare e fermo restando che la formazione del personale è un passaggio fondamentale di cui si parlerà di seguito, la messa a norma privacy è in realtà un percorso di comprensione del flusso dei dati personali degli interessati e delle finalità e modalità di trattamento. I passaggi minimi da effettuare quindi sono almeno i seguenti:

  • indagine conoscitiva dedicata
  • predisposizione delle informative necessarie
  • redazione dei contratti di nomina delle figure richieste per legge
  • modulo per il registro dei trattamenti ex art. 35 del regolamento 679/16/EU
  • verifica adeguatezza misure di sicurezza
  • eventuale valutazione d’impatto privacy

Formazione e Consulenza qualificata

Anche solo per partecipare alla fase di indagine sul trattamento dei dati, gli interlocutori dei consulenti devono ricevere un minimo di formazione per comprendere le nozioni fondamentali e i passaggi essenziali del trattamento dei dati: si tratta di una vera e propria presa di coscienza di cosa avviene in azienda, che avviene in occasione della messa a norma privacy.

D’altronde il nuovo regolamento privacy pone anche anche la necessità di valutare l’assunzione di consulenti esterni in ruoli chiave come il responsabile per il trattamento dei dati e il responsabile per la protezione dei dati personali (D.P.O., in inglese Data Protection Officer): queste figure infatti si caratterizzano per un’autonomia operativa ed un livello di responsabilità individuale elevati.

Ne consegue che è necessità e bene per il titolare essere affiancato da soggetti in grado non solo di mettere a disposizione preparazione ed esperienza sul tema privacy ma anche in grado di assumere posizioni forti, anche in contrasto con il titolare stesso, in merito alle scelte da fare con riguardo ad aspetti critici del trattamento dei dati.

Come può un dipendente aziendale essere nominato responsabile o d.p.o. se accetta tale incarico in costanza di subordinazione col datore di lavoro e magari senza riconoscimenti in busta paga, il tutto a fronte di responsabilità forti oggetto di apposito atto di incarico contrattuale? E’ necessario e raccomandabile rivolgersi a professionisti indipendenti.

Messa a norma privacy con Assoutenti!

Assoutenti AMB da sempre mette a disposizione dei propri associati formazione di primo livello gratuito: su richiesta di 10 iscritti siamo disponibili ad inviare i nostri volontari per incontri tematici in occasione dei quali possiamo spiegare argomenti di interesse specifico.

Vale anche per la privacy e, nel caso, vale anche per le imprese che vogliano comprendere al meglio la messa a norma privacy che sia in grado di agevolare al meglio il rispetto dei diritti dei cittadini e utenti.

SE VUOI APPROFONDIRE O HAI BISOGNO DI ASSISTENZA CONTATTA ASSOUTENTI

E’ FACILE E PER GLI ISCRITTI I CONSULTI SONO DEL TUTTO GRATUITI!

Tel. 051 0828436 – Whatsapp al 339 7203159 – bologna@assoutenti.emiliaromagna.it

Credit: prima immagine nel testo By EFF-Graphics [CC BY 3.0 us (https://creativecommons.org/licenses/by/3.0/us/deed.en)], from Wikimedia Commons

seconda immagine nel testo BY Notnixon resa disponibile sotto licenza CCommons donazione al pubblico dominio su Pixabay