Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

compliance

GDPR e imprese: ecco tutti gli errori fatali e come evitarli

Il Gdpr non va subito come semplice adempimento: le imprese devono governare l’innovazione attraverso i principi e gli strumenti del Regolamento, con un dialogo costante delle funzioni aziendali (Ict, personale, marketing), per potere competere ed essere protagonisti sul mercato globale

31 Ott 2019
Mauro Alovisio

Università degli Studi di Torino, fellow del Centro di ricerca su internet e società Nexa del Politecnico di Torino e direttore del Centro Studi di Informatica Giuridica di Ivrea Torino

Cinzia Grimaldi

avvocato del foro di Torino, socia del Centro Studi Informatica Giuridica di Ivrea, Segretario dell’Associazione “Dpo Lab” di Firenze


Rispettare il Gdpr non è mero costo, ma diventa pre-requisito per la sopravvivenza di un’azienda su un mercato sempre più globale e competitivo e fondato sulla credibilità, anche in materia di sicurezza dei trattamenti. 

Nell’ottica di questa nuova realtà le imprese non devono vivere nel terrore delle sanzioni e neanche limitarsi ad aggiornare le policy, ma anche interrogarsi sul grado di penetrazione della protezione dei dati personali nella attività quotidiana ed effettuare audit, chiavi di volta dello stesso regolamento, così lontane dalla cultura italiana, troppo spesso in passato autoreferenziale.

Proviamo allora a comprendere quali sono gli errori fatali che le imprese possono commettere nell’approccio e nell’adeguamento al GDPR.

La sfida del Gdpr per le aziende

Il regolamento privacy 679 del 2016 costituisce una notevole sfida per le organizzazioni e un’occasione per rafforzare la fiducia dei propri clienti, fornitori e stakeholders, dipendenti e collaboratori, in un’ottica di trasparenza.

Il regolamento rispecchia il cambio di paradigma imposto dalle nuove tecnologie e ha un impatto sotto il profilo culturale, organizzativo, giuridico e informatico.

Un’azienda moderna che vuole competere in un mondo sempre più interconnesso e veloce non può più prescindere dalla applicazione proattiva del regolamento privacy europeo.

Il regolamento disciplina la libera circolazione dei dati personali nell’Unione, che non può essere limitata, né vietata, per motivi attinenti alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nell’ottica dello sviluppo dei servizi e dell’economia digitale.

Pertanto, non sono i dati ad essere al centro del regolamento, ma sono protagonisti i trattamenti, che devono essere resi sicuri. I trattamenti e i relativi processi non devono mettere a rischio le persone i cui dati sono trattati; pertanto l’analisi del rischio è il cuore del regolamento privacy europeo.

In quest’ottica le imprese devono mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (art. 24 paragrafo 1 del GDPR).

La nuova normativa quindi porta con sé un cambio di paradigma rispetto all’impianto precedente; come è noto la protezione dati personali si eleva a diritto sociale europeo con la finalità, da un lato, di tutelare i trattamenti, e dall’altro di favorire la libera circolazione dei dati all’interno dell’Unione Europea.

A differenza del vecchio impianto normativo, inoltre, il GDPR mette al centro l’attenzione ai costi, e alle misure adottate, che devono essere parametrati al contesto, alla tipologia e alla quantità di dati trattati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Nell’applicazione del regolamento privacy europeo le istituzioni e gli organi dell’Unione, gli Stati membri e le loro autorità di controllo, sono invitati a considerare le esigenze della specifica situazione delle micro, piccole e medie imprese[1] .

Il regolamento stesso contiene la definizione di impresa: “la persona fisica o giuridica, indipendentemente dalla forma giuridicarivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica” (art. 4, capoverso 18 e 19 del GDPR).

Il Decreto di armonizzazione D.Lgs. 101 del 2018, poi, conferma l’attenzione per le imprese, in quanto prevede che il Garante per la protezione dei dati personali, nel rispetto delle disposizioni del Regolamento privacy europeo e del Codice Privacy: “In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione2003/361/CE, promuove, nelle linee guida adottate a norma del comma 1, lettera a), modalità semplificate di adempimento degli obblighi del titolare del Trattamento” (art. 14 DLgs 101, art. 154 bis quarto comma del Codice della Privacy).

Il registro delle attività di trattamento

Sulla scia della semplificazione, l’Autorità Garante Italiana suggerisce alle PMI un modello semplificato di registro delle attività di trattamento per i Titolari e Responsabili.

In sintesi, il regolamento privacy europeo richiede alle imprese:

  • di costruire un sistema di gestione e governo dei dati;
  • definire in modo chiaro le responsabilità in materia di protezione dei dati personali (chi fa che cosa);
  • diffondere la conoscenza dei principi privacy all’interno dell’impresa attraverso momenti informativi e sessioni di formazione obbligatoria;
  • incidere sui comportamenti per allinearli alle regole;
  • definire specifiche policy in materia sicurezza informatica, analisi del rischio, gestione dei diritti degli interessati.

Cardine dell’impianto è il cosiddetto principio di “responsabilizzazione”, secondo il quale è il titolare del trattamento a calibrare strumenti e mezzi di tutela, in base alle caratteristiche specifiche, alla natura dell’attività e dei trattamenti.

Gli errori “fatali” da non commettere

Il primo errore che possono commettere le imprese è di visione e di strategia: consiste nel considerare la protezione dei dati personali esclusivamente come una voce di costo; a ben vedere i veri costi sono costituiti dal mancato adeguamento e dal danno reputazionale all’ organizzazione, nonché dalle conseguenze sulla competitività; inoltre, nel caso di violazione, le conseguenze possono ricaderesul rapporto con i propri clienti e fornitori.

Quel che è certo è che, lo abbiamo compreso ormai tutti, non tanto l’adeguamento quanto la mancata compliance costituisce un costo che le imprese, anche di piccola-media dimensione, non possono permettersi.

Ma quali sono gli errori fatali che le imprese possono commettere nell’approccio e nell’adeguamento al GDPR?

Ecco un primo elenco non esaustivo ma indicativo:

  • non investire nella formazione (occorre redarre un piano formativo comprensivo di sessioni applicative ed esercitazioni e con prove di apprendimento);
  • trascurare le definizioni e i principi del regolamento:
  • sottovalutare l’impatto organizzativo del GDPR e non coinvolgere la governance;
  • non costituire un team interdisciplinare e non creare sinergia con ICT;
  • trascurare l’analisi del rischio (cuore del regolamento) e la DPIA;
  • non dotarsi di una metodologia in tema di valutazione del rischio;
  • non produrre e aggiornare le procedure/policies (data breach, posta elettronica ed internet, conservazione e cancellazione dei dati, ispezioni e comunicazioni al Garante, riscontro degli interessati);
  • considerare l’asset privacy solo dal punto di vista della sicurezza e non anche calarlo nell’organizzazione aziendale;
  • tenere un approccio burocratico e non centrato nella realtà concreta in cui opera l’azienda.

I rischi di un approccio “burocratico”

Vi sono alcuni pericoli che sono tipici del nostro paese: l’approccio burocratico anzidetto. Molti autori richiamano l’attenzione sul proliferare dei “Lucas” (uffici complicazioni affari semplici); produrre montagne di carta senza conoscere il contesto aziendale, i processi, i trattamenti e i flussi dati.

Uno degli esempi più lampanti è costituito dalla produzione di informative bizantine e chilometriche, molto lontane da quanto richiesto dal regolamento, in materia specifica che “la forma deve essere concisa, trasparente, intellegibile e facilmente accessibile con linguaggio semplice e chiaro “formato multistrato”.

A ben vedere è importante al contrario svestirsi dell’approccio burocratico, e avere bene in mente che errori nei trattamenti avranno come conseguenza violazioni dei diritti e delle libertà degli interessati.

Altro esempio è prevedere formule di consenso[2] al trattamento, nell’illusione di tutelare l’impresa, senza comprendere che il trattamento può esser basati su altre condizioni di liceità.

Nell’ottica della nuova normativa il titolare potrà fondare il trattamento (e la fiducia che gli interessati vi ripongono) sempre meno sul consenso, ma dovrà farlo sul controllo: l’interessato dovrà avere la sensazione di controllare le sue scelte: da qui il senso e l’importanza dell’informativa, finalizzata a far capire in cosa consiste il trattamento e quali sono le finalità.

Altri errori frequenti

Ci sono poi altri errori frequenti:

  • pensare che l’impresa possa adeguarsi al regolamento privacy esclusivamente con il supporto di legali (occorre una visione interdisciplinare e sinergica):
  • non progettare servizi e applicazioni nel rispetto dei principi privacy by design e privacy by default;
  • pensare che basti conoscere il GDPR senza conoscere il regolamento sui dati non personali o il regolamento sul cyber crime;
  • non curare l’aspetto comunicativo delle azioni, programmi in materia di politica di governo dei dati e non esaminare le buone prassi e le sanzioni delle autorità Garanti degli altri paesi.
  • Nei processi aziendali nelle interviste, nelle riunioni, occorre un cambiamento culturale con un approccio proattivo, occorre quindi porsi delle semplici domande:
  • Perché l’azienda tratta questi dati? Quale è la base giuridica per trattare i dati? Dove sono i dati? Quale è il ruolo dei soggetti nel trattamento di dati? Per quanto tempo conservo i dati? Quali sono i rischi che corrono le persone di cui tratto i dati a seguito dei miei trattamenti?

Occorre anche documentare le scelte in materia di protezione dei dati, in coerenza del principio di accountability, al fine anche di aumentare la consapevolezza dell’organizzazione e per dimostrare di avere adottato misure tecniche e organizzative.

Conclusioni

Non si devono terrorizzare le imprese attraverso il richiamo a provvedimenti sanzionatori delle autorità Garanti privacy europee, ma anche evitare di fornire false illusioni: il regolamento privacy europeo è pietra angolare del sistema e richiede un percorso complesso di adeguamento, nell’ottica di miglioramento continuo, che non può limitarsi alla mera produzione di documenti, ma deve pervadere i processi aziendali già nel momento della progettazione dei servizi, applicazioni, prodotti, interscambio e interconnessione di dati con altre organizzazioni.

E, aspetto rilevante e imprescindibile, dovrà esser chiaro anche che la normativa privacy non va subita come semplice adempimento, ma che le imprese devono governare l’innovazione attraverso i principi e gli strumenti del Gdpr, con un dialogo costante delle funzioni aziendali (Ict, personale, marketing), al fine di potere competere ed essere protagonisti nelle nuove imminenti e quotidiane sfide.

_______________________________________________________________________________________________

  1. La nozione di micro, piccola e media impresa dovrebbe ispirarsi, secondo il regolamento, all’articolo 2 dell’allegato della raccomandazione 2003/361/CE della Commissione”. Racc 6 maggio 2003, n. 2003/361/CE, Commissione relativa alla definizione delle microimprese, piccole e medie imprese (considerando n.13) ; le Microimprese con meno di 10 addetti e bilancio annuo fino 2 milioni euro; Piccole imprese, da10 a 49 dipendenti, bilancio annuo fino 10 milioni euro; Medie Imprese da 50 a 249 addetti e bilancio annuo non superiore 43 milioni euro; Grandi Imprese con 250 addetti e oltre.
  2. Si segnala in materia di consenso il recentissimo provvedimento n. 26 del 2019 dell’autorità Garante per la protezione dei dati della Grecia che ha sanzionato una società a pagare 150.000 euro per violazione dei principi del GDPR (art. 5) ; la società aveva suscitato nei dipendenti la falsa impressione del trattamento dei loro dati basata sul consenso senza informare della vera base giuridica

@RIPRODUZIONE RISERVATA

Articolo 1 di 3