Come adeguare l’azienda alla privacy (GDPR)

Cosa intendiamo per privacy?

Molti consumatori, utenti digitali, hanno paura di essere osservati, spiati… da un certo punto di vista hanno ragione perché, di fatto, succede ma non sempre è un male. Ad esempio il famoso banner “accetta i cookie” che compare durante la navigazione è di grande aiuto perché permette alle aziende di mostrare annunci pubblicitari pertinenti ai nostri interessi e non casuali (e spesso imbarazzanti), pertanto il consiglio che mi sento di dare agli internauti è quello di accettare i cookie dei siti a cui sono realmente interessati.

Poi c’è tutta la faccenda della privacy sui social ma li c’è poco da aver paura… basta stare attenti a cosa si pubblica e dove mettiamo i nostri like

A livello aziendale cosa comporta un adeguamento alla privacy?

Per le aziende si è alzato un polverone nel 2019 (ma già si vociferava di questa rivoluzione da un paio di anni) per via del GDPR una normativa europea che metteva dei limiti e delle sanzioni importanti alle aziende.

Chi faceva il mio lavoro e chi in generale faceva della “profilazione” di clienti e utenti il proprio business entrò nel panico. Questo fu il motivo che mi spinse a certificarmi come DPO (Data Protection Officer) per capire fino a che punto poteva spingersi un’azienda nel fare marketing su liste di clienti profilati senza correre rischi.

Che cambiamenti ha portato il GDPR?

Sicuramente meno di quanto si pensasse. Il GDPR contiene un insieme di norme e adempimenti che un’aziende deve mettere in atto per tutelare la privacy dei clienti. Attenzione, questo non vuol dire che non può guadagnare o fare marketing utilizzando i dati dei clienti ma deve farlo in maniera più accorta.

Ma procediamo per step e cerchiamo di capire chi sono gli attori principali di questa storia con un piccolo glossario che vi aiuterà a comprendere meglio:

  • I dati: sono divisi in dati personali (nome, cognome, indirizzo, data di nascita, ecc…) e dati sensibili, detti anche speciali che sono tutti quei dati da trattare con cura perchè possono indurre pregiudizio (sessualità, stato di salute, condizioni economiche, ecc…)
  • Il trattamento: per trattamento s’intende qualsiasi azione venga fatta con i dati dalla registrazione, alla cancellazione, dall’invio di una comunicazione di servizio all’invio di materiale pubblicitario
  • La finalità del trattamento: è il motivo per cui l’utente, in maniera consapevole ci lascia i suoi dati (finalità contrattuali, marketing, amministrative, ecc…)
  • Titolare del trattamento: è la persone fisica che si assume la responsabilità in caso di illecito solidalmente con tutti i responsabili coinvolti
  • Responsabile del trattamento: persona fisica o società che, autorizzata dal titolare del trattamento di una società  svolge per essa attività di trattamento sui dati

Col senno di poi, posso affermare con certezza che i modi sono rimasti pressoché gli stessi, bisogna “solo” fare molta attenzione all’informazione e la trasparenza, l’utente o il cliente deve poter fornire e revocare il consenso in qualsiasi momento e per specifiche finalità e deve essere perfettamente informato sul percorso e sui metodi con cui i suoi dati vengono trattati. Sembrerebbe banale ma non è così.

Cosa deve fare un’azienda per adeguarsi?

Non esiste una risposta generica per questa domanda. L’adeguamento privacy è più simile ad un vestito fatto su misura che un indumento standard da indossare. Tuttavia ci sono delle azioni molto precise che ognuno può fare per tutelarsi, soprattutto se parliamo di aziende che, come avviene nel 90% dei casi, trattano solo dati personali (quindi non particolari), per un numero di clienti non troppo importante (con non troppo importante intendo meno di 25.000 clienti) e con un numero ridotto di dipendenti. Ovviamente sono escluse da questa generalizzazione la PA e le aziende che trattano dati particolari.

STEP1: analizzare il percorso dei dati dei clienti

Un’azienda per adeguarsi deve analizzare tutto il percorso che il dato del cliente compie da quando viene acquisito fino a quando viene smaltito e per ogni passaggio indicare la persona/reparto che se ne occupa, quali sono gli strumenti che utilizza per trattare il dato (carta, computer, software, ecc…), se ad occuparsene è un responsabile del trattamento vanno allegati la nomina a responsabile con le relative procedure, bisogna indicare in maniera esplicita ogni passaggio quale sia la finalità e quali sono i metodi che l’azienda ha messo in atto per tutelare la sicurezza del dato e per quanto tempo lo conserva (questo tempo salvo adempimenti contrattuali e fiscali non dovrebbe andare oltre i due anni)

STEP2: redigere un registro del trattamento

Sebbene non sia sempre obbligatorio, io lo consiglio sempre – melius abundare quam deficere – è una vera e propria tabella, la si può fare anche con excel o qualsiasi foglio di calcolo, in cui riassumiamo tutte le informazioni raccolte allo step 1 nella fase di analisi. È importante tenerlo sempre aggiornato e periodicamente fare dei check per accertarci che sia sempre coerente alla realtà. Se ad esempio cambio il tool con cui invio le newsletter dovrò andare alla riga “invio newsletter” e aggiornarla inserendo il nome del nuovo tool, la nuova nomina a responsabile della società che lo gestisce, ecc…

Prima di ogni aggiornamento andrebbe salvato e datato il registro vecchio così da poter risalire ad un eventuale storico in caso di richieste.

STEP3: nomine a responsabili esterni – DPA e collaboratori interni

Sono già stati nominati quando parlando della fase di analisi e delle redazione del registro ma banalmente è un addendum contrattuale in cui il responsabile si assume la responsabilità solidalmente col titolare di eventuali illeciti fatti coi dati. È importante sapere che se si sceglie un responsabile che non è in regola col GDPR a risponderne sarà unicamente il titolare dei dati – quindi scegliete con cura i vostri partner!

Per quanto riguarda invece i collaboratori interni (detti incaricati) che si occupano di specifiche mansioni che prevedono il trattamento la loro è solo una nomina organizzativa ma è sempre il titolare a rispondere, a meno che l’incaricato non compia azioni non autorizzate dallo stesso.

STEP4: individuare eventuali trattamenti aggiuntivi

Dopo essersi presi cura dei dati dei clienti bisogna ripetere il tutto per dipendenti, fornitori ecc… Ebbene si, i fornitori, anche se il GDPR tutela solo le persone fisiche e i fornitori sono generalmente persone giuridiche spesso entriamo in contatto con i loro dati personali, e anche questi vanno tutelati. Per questo motivo avremo 3 registri del trattamento clienti, dipendenti e fornitori

STEP5: le informative

A tutta questa documentazione vanno aggiunte poi le informative clienti, dipendenti e fornitori che devono essere tutte firmate dal titolare e dagli interessati.

È importante che le informative contengano tutte queste informazioni:

  1. Chi è l’interessato 
  2. Chi effettua il trattamento 
  3. Se nominato, i recapiti del DPO
  4. Quali sono i trattamenti effettuati e perché
  5. Qual è la base giuridica del trattamento
  6. Quali sono i dati raccolti
  7. Se il trattamento comporta operazioni automatizzate, come la profilazione
  8. Se i dati verranno comunicati a soggetti esterni (responsabili esterni)
  9. Per quanto tempo saranno conservati i dati e in che modo
  10. Se i dati saranno trasferiti in altri Paesi e come
  11. Quali sono i diritti dell’interessato

Caspita quante cose… ma fatto questo un’azienda è a posto?

Oltre a tutto questo aspetto burocratico ci sono degli aspetti molto importanti da tener presente, questi aspetti trasformano un adeguamento standard in un adeguamento personalizzato sulle esigenze dell’azienda a titolo esemplificativo ma non esaustivo:

  • Se l’azienda utilizza dei PC cosa fa per tenerli in sicurezza? Usa un firewall? Usa un antivirus? Cambia la password ogni mese?
  • Se l’azienda ha un archivio cartaceo cosa fa per tenerlo in sicurezza? È in una stanza inaccessibile al pubblico? È tenuto sotto chiave?
  • Quando l’azienda smaltisce i dati li distrugge in maniera sicura? Usa un distruggi documenti che li renda inutilizzabili?
  • Nei passaggi da una scrivania all’altra vengono usati frontespizi che ne tutelano il contenuto?
  • Sul sito dell’azienda sono espressi in maniera chiara tutti gli automatismi e i meccanismi di profilazione? I moduli del sito presentano la spunta di consenso al trattamento? L’informativa è sempre accessibile? Revocare il consenso è semplice come fornirlo?

Ovviamente le domande potrebbero andare avanti per ore per questo motivo è importante affidarsi a esperti in materia per non rischiare di scoprire di non essere adeguati solo in fase di accertamento (che viene fatto dalla Guardia di Finanza)

Tutto questo materiale e soprattutto le informative devono essere a disposizione dell’utente in qualsiasi momento, inoltre avete presente il detto “la legge non ammette ignoranza”? Ecco… nel caso della privacy la ammette e come! Le tue informative devono essere chiare e comprensibili a chiunque!

A cosa serve tutto questo?

Tutto questo potrebbe sembrare una scocciatura ma più che l’utente tutela l’azienda, se tutto è in regola e un utente/cliente decide di procedere legalmente contro l’azienda sarà facile risalire al percorso e dimostrare che non c’è stato illecito, allo stesso tempo, se dovesse esserci stato sarà facile a capire le responsabilità dirette e indirette del caso per fare le giuste rivalse.

Cosa succede se nonostante sia fatto tutto a norma un’azienda perde i dati o gli vengono rubati?

Questa eventualità è molto plausibile ed è definita dalla normativa Data Breach. Con Data Breach si intende una qualsiasi violazione alla sicurezza (informatica) che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati.

Nel caso in cui un’azienda dovesse scoprire di essere vittima di un Data Breach, sempre secondo il GDPR, bisogna notificare tramite pec al garante della Privacy, a mezzo pec all’indirizzo protocollo@pec.gpdp.it, entro 72 ore dal momento in cui si è venuto a conoscenza della violazione un eventuale ritardo dovrà essere motivato. Tuttavia questo non deresponsabilizza il titolare al quale io consiglio di munirsi di un’apposita polizza assicurativa per tutelarsi da situazioni spiacevoli, le sanzioni in questi casi sono molto importanti e rapportate al fatturato dell’azienda.

Cosa consiglio alle aziende?

Considerata la complessità della materia, e tenendo presente che in questa intervista le informazioni sono molto generiche e poco dettagliate per ovvi motivi (ci vorrebbero trattati a  riguardo), il consiglio che mi sento di dare è quello di parlare con un consulente esperto in privacy e stabilire con lui le procedure più idonee per adeguarsi alla normativa, accertarsi di formare ogni singolo collaboratore a rispettare le norme e le precauzioni per tutelare i dati che trattano e, per una maggiore sicurezza, pensare ad una piccola assicurazione per tutelarsi in caso di data breach.