Nelle ultime settimane avrete sicuramente sentito parlare di GDPR. Se siete fortunati rientrate nel gruppo di quelli che sono “semplicemente” stati bersaglio di email di notifica degli aggiornamenti della Privacy Policy effettuati da tutti i fornitori di beni e servizi a cui avete lasciato i vostri dati personali fino ad oggi (e scommettiamo che ad alcuni neanche ve li ricordavate!). Altri, invece, hanno dovuto entrare in contatto col GDPR in maniera decisamente più complessa e diretta: qualunque attività imprenditoriale gestisca dati personali di residenti nell’Unione Europea, infatti, ha dovuto attivarsi per mettersi in regola.
C’è una gran confusione sul GDPR. Molti, ad esempio, sono convinti del fatto che sia un provvedimento relativo ai siti web e al mondo digitale in generale, ma non è così: perfino gli uffici devono essere messi in regola secondo quanto prescritto dal GDPR!
Prima di entrare nel dettaglio, però, vogliamo dedicare due parole a questo mistero chiamato GDPR.
Anche l’ufficio deve essere adeguato – o come dicono gli amanti degli inglesismi, essere reso compliant – con il GDPR!
Cos’è il GDPR
“GDPR” è un acronimo che sta per General Data Protection Regulation (in italiano, Regolamento Generale Sulla Protezione Dei Dati).
Innanzitutto, una precisazione: si tratta – come dice il nome – di un Regolamento e non di una Direttiva: questo significa che viene applicato allo stesso modo, così com’è, in tutti i 28 Stati membri dell’Unione Europea e non richiede un’implementazione nelle varie legislazioni nazionali, ad esclusione di quelle materie per le quali è previsto dal Regolamento stesso una delega ai singoli Stati membri.
Secondariamente, il tema: il GDPR è una normativa relativa alla protezione delle persone fisiche sul tema del trattamento e della libera circolazione dei dati personali. Per farla breve, la Commissione Europea ha ravvisato la necessità di imporre un’armonizzazione ed una maggiore semplicità alle norme riguardanti il trattamento dei dati personali. Lo scopo ultimo del provvedimento è tutelare i cittadini europei nella Società dell’Informazione, quando le informazioni circolano sia all’interno dell’UE sia dall’UE verso le altre parti del mondo; il desiderata, invece, è far sì che Interessati e Titolari del Trattamento dei dati comprendano l’importanza e il valore del “dato personale”, sia nel momento in cui lo forniscono (i primi) sia nel momento in cui lo registrano, lo conservano e lo utilizzano per le proprie attività (i secondi).
In estrema sintesi, attraverso il GDPR vengono:
- introdotte regole uniformi e chiare su informativa e consenso;
- stabiliti dei limiti al trattamento automatizzato dei dati personali;
- poste le basi per l’esercizio di nuovi e specifici diritti per gli Interessati;
- fissati criteri per il trasferimento dei dati al di fuori dei confini del territorio dell’Unione Europea;
- definiti i casi, i provvedimenti e le sanzioni relativi ai casi di violazione dei dati.
Responsabilità, diritti e doveri nel GDPR
Il dato personale è un oggetto di elevato valore; per questo motivo la Commissione Europea ha deciso che chi fornisce i propri dati personali – il cosiddetto Interessato – e chi li raccoglie e li tratta – il cosiddetto Titolare – devono essere resi consapevoli di questo elevato valore e responsabilizzati.
Con il GDPR è stato introdotto il concetto di accountability (che significa appunto “responsabilità”), che a sua volta si basa su sei principi base:
- Liceità, correttezza e trasparenza: i dati raccolti devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- Limitazione delle finalità: i dati raccolti devono essere raccolti per finalità precise, esplicite e legittime e poi trattati in modo compatibile con tali finalità;
- Minimizzazione dei dati: i dati raccolti devono essere adeguati, pertinenti e limitati a quanto strettamente necessario per le finalità stabilite;
- Integrità e riservatezza: i dati raccolti devono essere trattati in maniera tale da garantire adeguata sicurezza;
- Limitazione della conservazione: i dati raccolti devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità stabilite;
- Esattezza: i dati raccolti devono essere esatti e se necessari aggiornati; la conservazione deve essere effettuata in modo tale che sia possibile rettificarli o cancellarli tempestivamente in caso di richiesta da parte dell’interessato.
I diritti degli Interessati
Chi fornisce i propri dati personali, il cosiddetto Interessato, col GDPR ha guadagnato maggiori diritti, che ciascun Titolare del trattamento deve garantirgli sempre e comunque. Sono principalmente quattro:
- Diritto all’oblio: ogni interessato ha il diritto di richiedere la cancellazione immediata dei propri dati personali precedentemente forniti.
- Richiesta di accesso: ogni interessato può richiedere in ogni momento e per qualsiasi motivo l’accesso ai dati che lo riguardano.
- Diritto di portabilità: ogni interessato può richiedere il trasferimento diretto dei propri dati da un’azienda all’altra, variando cioè il Titolare del trattamento dei propri dati.
- Diritto di limitazione: ogni interessato può richiedere il blocco del trattamento dei propri dati personali non solo in caso di violazione dei presupporti di liceità, ma anche quando si è in attesa di rettifica degli stessi o semplicemente ci si oppone al loro trattamento.
I doveri dei Titolari
A maggiori diritti degli Interessati corrispondono maggiori doveri per chi gestisce i loro dati. I Titolari del trattamento dei dati personali hanno precisi obblighi:
- L’introduzione di nuove figure in azienda: è obbligatorio individuare un Responsabile della protezione dei dati (RPD) con qualifiche specifiche, che sia in grado di dimostrare che l’azienda ha adottato tutte le misure necessarie organizzative e di sicurezza efficaci ed adeguate per prevenire i danni;
- La richiesta del consenso esplicito: non sono più consentite clausole di esenzione individuale o il cosiddetto “silenzio-assenso”, perché il consenso deve essere obbligatoriamente fornito tramite processo attivo;
- L’introduzione di un Registro dei Trattamenti: diventa obbligatorio tenere un registro delle operazioni di trattamento dei dati, allo scopo di avere a disposizione in qualsiasi momento un quadro aggiornato per modifiche e cancellazioni tempestive, valutazioni e analisi dei rischi;
- L’obbligo di segnalazione delle violazioni: i Titolari sono obbligati a notificare alle autorità competenti ogni violazione entro 72 ore dalla scoperta della stessa, esplicitando la natura dell’attacco, le conseguenze e i provvedimenti presi.
Le sanzioni
Il GDPR prevede anche delle sanzioni: a seconda delle differenti casistiche si va dalla semplice diffida amministrativa a sanzioni fino a 20 milioni di euro. Noi vi consigliamo di leggere il dettagliato articolo pubblicato da Agenda Digitale sul tema delle sanzioni; qui ci limitiamo a precisare che, al momento di decidere se infliggere una sanzione, verranno presi in considerazione diversi fattori, e cioè:
- la natura, la gravità e la durata della violazione;
- il carattere doloso o colposo della violazione;
- le misure adottate dal Titolare o dal Responsabile del trattamento;
- il grado di responsabilità del Titolare o del Responsabile del trattamento;
- eventuali precedenti violazioni;
- il grado di cooperazione con l’autorità di controllo;
- le tipologie di dati personali interessate dalla violazione;
- l’adesione ai codici di condotta o ai meccanismi di certificazione;
- la presenza di eventuali fattori attenuanti o aggravanti, applicabili alle circostanze del caso.
Insomma, adeguarsi al GDPR e farlo al meglio conviene in ogni caso!
Un appunto su date e tempistiche
Riguardo il GDPR si sente parlare di una precisa data – il 25 maggio 2018 – ma allo stesso tempo anche di proroghe, ritardi, agosto 2018… Facciamo un po’ di chiarezza!
Dal nome ufficiale – Regolamento UE 2016/679 – deduciamo che si tratta di un provvedimento normativo emanato nel 2016 che è entrato in vigore il 25 maggio 2018: coloro i quali subiranno l’impatto del GDPR, quindi, hanno avuto in teoria ben due anni per rendersi compliant alla norma. In realtà, l’ansia da GDPR è scattata solo negli ultimi mesi, anche perché con l’approssimarsi del termine ci si è resi conto che pochi (per essere ottimisti…) avevano davvero capito di cosa si trattasse e cosa si dovesse fare.
“I sondaggi di Idc dicono che il 60% delle imprese italiane sostiene di essere in grado di adeguarsi entro il 25 maggio, mentre il 25% è in ritardo” (dal sito agendadigitale.eu). Cerchiamo di consolarci: anche il Governo è in ritardo, dato che il GDPR è entrato in vigore prima che l’Esecutivo emanasse il decreto legislativo di adeguamento della normativa italiana al GDPR (riguardo alle materie in cui il GDPR stesso prevede una competenza nazionale). Ora il Governo italiano ha tempo fino al 22 agosto per rimediare; nel frattempo, il GDPR in Italia equivale al Regolamento europeo.
L’organismo che si occupa dell’implementazione del GDPR in Italia è il Garante per la Protezione dei Dati Personali, più conosciuto come Garante Privacy; per approfondire la tematica consigliamo quindi di consultare il sito del Garante.
Cosa c’è (c’era) da fare
Chiusa questa piccola parentesi su date e ritardi, torniamo al fulcro del problema: cosa c’è (o meglio, c’era) da fare entro il 25 maggio?
Una premessa è doverosa: lungi da noi sostituirci agli esperti in materia di GDPR. L’unica cosa che possiamo consigliarvi è di scegliere con cura la persona a cui affidarvi per l’adeguamento al Regolamento, perché sono spuntati ovunque fantomatici consulenti improvvisati e affidarsi a figure poco competenti può essere molto rischioso.
In linea di massima, comunque, tutti coloro che per qualche motivo (commerciale, informativo, assistenziale, ludico…) si trovano a trattare i dati personali di persone fisiche, devono mettere in atto tutti gli accorgimenti necessari affinché questi dati personali, ceduti volontariamente dagli Interessati e raccolti a seguito di esplicita ed informata autorizzazione dai Titolari, vengano trattati, conservati e diffusi in maniera conforme alla nuova normativa.
Cosa c’entrano gli uffici?
In Italia esistono attività che sviluppano il proprio business completamente in digitale (attenzione: “in digitale” non vuol dire necessariamente “online”, ma semplicemente presuppone la dematerializzazione); altre – la maggior parte, ad oggi – operano sia in digitale sia in maniera tradizionale.
Gli archivi documentali sono oggetto del GDPR: chi raccoglie i dati deve mettere in atto una serie di procedure – personalizzate in base al proprio specifico caso e alla propria specifica attività – per contenere i rischi e garantire i diritti agli Interessati.
Gli archivi documentali, ovviamente, possono essere sia digitali sia fisici, e questo è il motivo per cui anche un ufficio deve adeguarsi al nuovo Regolamento.
I dati conservati su supporti cartacei devono infatti essere adeguatamente protetti. In base alla nuova normativa, infatti, è necessario che i documenti cartacei siano conservati in maniera agevole – per essere facilmente ritrovati – e sicura; per questo motivo, gli uffici devono essere dotati di armadi, classificatori e cassettiere con chiusura a chiave, strutture ignifughe per minimizzare il rischio di perdita di dati in caso di incendi e casseforti. Inoltre, in ufficio deve essere presente un distruggidocumenti per eliminare fisicamente i documenti contententi i dati personali che non devono essere più trattati.
Rivolgetevi ad Arredo Ufficio LAB per adeguare i vostri spazi professionali al GDPR: progetto e preventivo sono sempre gratuiti! contattateci per maggiori informazioni. I nostri interior design sono a vostra disposizione per rendere il vostro ufficio bello… e compliant!