di Giulio Coraggio*
Il nuovo Regolamento Ue sulla privacy è da oggi obbligo per aziende, associazioni, individui e chiunque tratta dati personali di residenti in Europa. È una normativa molto onerosa, ma se applicata correttamente la privacy può diventare un vantaggio competitivo nell’era della sharing economy. I principi del Gdpr sono simili a quelli del Codice Privacy, ma ci sono cinque cambiamenti che è impossibile ignorare.
Il primo, l’importanza delle sanzioni. La novità introdotta dal Gdpr è che le sanzioni applicabili sono aumentate fino a 20 milioni di euro o il 4% del fatturato globale della società che commette la violazione. Se nell’attuale regime una delle più alte sanzioni emesse nell’Ue per violazione delle norme sulla privacy è stata quella adottata dal Garante nei confronti di Google, appena 1 milione, successivamente battuta dalla sanzione di 11 milioni contro 5 società del Money Transfer, con il Gdpr società delle dimensioni di Google rischiano sanzioni superiori a 4 miliardi di dollari, capaci di stendere qualsiasi gigante. Oltre a possibili azioni di responsabilità da parte degli azionisti nei confronti degli amministratori che non abbiano adottato le misure necessarie a conformarsi al Gdpr, ed eventuali responsabilità penali per gli stessi, qualora la sopravvivenza delle stesse fosse confermata nel decreto italiano di integrazione del Gdpr. Misure che si aggiungono alle possibili azioni di clienti e utenti i cui dati sono stati violati, che avrebbero a disposizione uno strumento simile alla class action, oltre all’ordine di cancellare i dati raccolti illecitamente che potrebbe causare danni economici enormi.
Secondo, vanno controllati i dati e chi li tratta. Ci sono aziende con milioni di clienti in cui dipendenti (a volte anche agenti e fornitori esterni) possono accedere a dati di clienti attuali e passati, che magari non vengono cancellati. Non si tratta solo di redigere il registro che illustri la natura dei dati trattati (accesso, utilizzo, tempi di conservazione), ma ci vuole il supporto di applicazioni in grado di identificare dove si trovano i dati nell’azienda e verificare se sono trattati correttamente. In caso di accesso abusivo a dati personali o perdita degli stessi (data breach), è talvolta richiesta una notifica al Garante e a coloro i cui dati sono stati violati. Un data breach può avvenire non solo a causa di hacker che penetrano i sistemi, ma anche perché un agente perde sul treno una chiavetta Usb non criptata con i dati dei clienti dell’ultimo anno, o se si dimentica la busta paga su una scrivania e la stessa viene sottratta.
Terzo, i controlli devono essere effettivi. Il Gdpr richiede alle aziende di adottare misure organizzative e tecniche che consentano un controllo continuo sulla conformità dell’azienda con la normativa privacy e che quindi siano un work in progress. Questa attività è supportata dal data protection officer (Dpo) che è una delle grandi novità del Gdpr, ma non è molta utile (e non offre tutela adeguata) se poi il Dpo non può verificare in concreto come l’azienda tratta i dati. Il Dpo nelle grandi imprese può essere aiutato da un comitato, ma gli investimenti non bastano se non sostenuti da adeguate misure organizzative e tecniche.
Bisogna tra l’altro adottare misure tecniche di blocco o che generino alert in caso di comportamenti anomali; svolgere corsi interni (annuali) per dipendenti, agenti e venditori sulle policy interne in materia di privacy e gli obblighi a loro carico; eseguire verifiche in fase di instaurazione del rapporto, con cadenza periodica e in caso di sospetto per verificare che agenti e fornitori abbiano le infrastrutture e le procedure adeguate a trattare i dati e che alla cessazione del rapporto non mantengano i dati dei clienti/dipendenti; assicurarsi che ci sia collaborazione tra tecnici, legali, marketing, HR e chiunque tratta dati personali dentro e fuori azienda. Il Gdpr introduce il privacy by design che obbliga a provare l’adozione di misure a tutela della riservatezza fin dalla progettazione dei prodotti/servizi.
Quarto, bisogna essere pronti a gestire le richieste di portabilità, che consente a utenti, dipendenti o persona i cui dati sono trattati da terzi di trasferire i propri dati al nuovo fornitore di servizi, datore di lavoro, consulente. La portata di tale diritto è enorme perché nuovi entranti nel mercato potrebbero utilizzarlo per ridurre il gap di dati storici relativi ai clienti, offrendo loro incentivi in caso di esercizio del diritto alla portabilità dei dati nei confronti del fornitore. L’impatto potrebbe essere maggiore in società che non sono pronte a ricevere queste richieste.
Infine, vanno evangelizzate le aziende sulla privacy: la necessità di garantire la conformità alla normativa è fondamentale ora che le aziende affrontano il processo di digitalizzazione che comporta un intenso trattamento di dati personali.
La conformità alla normativa privacy e la certificazione della stessa diventeranno obbligatorie per stipulare contratti con banche, assicurazioni, tech companies e accesso a bandi pubblici e possono essere un vantaggio competitivo specialmente in questa fase di transizione. Se il Garante francese, che ha dichiarato di non voler emettere sanzioni per violazione del Gdpr nei primi mesi dopo il maggio 2018, quello italiano non ha espresso una posizione simile. Ma ha dichiarato che bisogna almeno dimostrare di avere in corso la messa in conformità. Ciò non vuol dire che bisogna correre ad adottare informative sul trattamento dei dati personali che non rispecchiano la realtà delle società, perché si dichiarerebbe il falso agli individui cui fanno capo i dati trattati. Il 25 maggio 2018 sarà ricordato come il Millennium bug degli esperti di privacy: da oggi il Gdpr accompagnerà le aziende in ogni loro attività e quelle che non cambieranno approccio rischiano di non sopravvivere. (riproduzione riservata)
*partner, studio Dla Piper
Fonte: logo_mf