Le piccole e medie imprese europee ed italiane sono in fibrillazione per l’entrata in vigore del General Data Protection Regulation (GDPR) vale a dire il Regolamento UE n.679/2016 che introduce nuove e severe normative in tema di elaborazione dei dati dei cittadini del Vecchio Continente.

Il giorno ics è fissato per dopodomani, venerdì 25 maggio, quando – dopo oltre due anni dall’ok del Parlamento europeo dell’aprile 2016 – entrerà finalmente in vigore in tutti gli stati membri della comunità europea il GDPR (per consultare il testo integrale del provvedimento in lingua italiana cliccare qui).

Cos’è?

Il GDPR è un regolamento generale che vuole rafforzare e rendere maggiormente omogenea la protezione dei dati dei cittadini europei e di coloro che risiedono all’interno dei confini UE. Per questo tale regolamento, a differenza della Direttiva 95/46/EC che andrà a sostituire, impone l’osservanza di alcune normative anche a quelle imprese non europee che trattano dati personali di residenti nell’UE a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati, pena l’attivazione di una serie di sanzioni che possono arrivare a raggiungere il 4% del turn over complessivo aziendale e fino ad un massimo di venti milioni di euro.

Ma di quali dati stiamo parlando? E’ la stessa direttiva a fare chiarezza in materia specificando che l’attività di tutela è estesa a “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“. Queste informazioni quindi possono essere suddivise in quattro tipologie di dati: personali, genetici, biometrici e sulla salute.

Si evidenzia quindi che il GDPR nasce dall’esigenza di integrare i principi fondamentali in tema di privacy e protezione dei dati personali prendendo in considerazione tutti quei cambiamenti portati dall’incredibile sviluppo del settore digital degli ultimi anni.

Gli obblighi delle imprese

Per evitare di essere sanzionate le imprese che raccolgono o trattano dati dei cittadini UE hanno l’obbligo di spiegare – utilizzando un linguaggio semplice e comprensibile a tutti gli utenti – quali sono le condizioni che regolano la raccolta ed il trattamento dei dati. Per questo il consiglio per le PMI europee è quello di rivedere nel dettaglio le informative sulla privacy facendo attenzione a fornire agli utenti una serie di informazioni aggiuntive fra cui: i contatti per chiedere modifiche o cancellazioni dei propri dati, le indicazioni sulle tempistiche di conservazione degli stessi e l’eventuale avviso circa il trasferimento dei dati verso Paesi extraeuropei.

Inoltre fra le cose più importanti da fare c’è quella di verificare quali sono i dati trattati e con chi sono condivisi; ad esempio se non si possiede una regolare licenza del programma attraverso il quale si raccolgono o gestiscono dati come e-mail o newsletter potrebbero insorgere numerosi problemi perché nel caso in cui si verificasse una fuga di dati non si avrebbe alcun tipo di copertura.

Altro elemento a cui le aziende dovranno prestare estrema attenzione è quello relativo al consenso al trattamento dei propri dati (che va separato dai Termini e Condizioni del Servizio) che oggi, in moltissimi casi, è accordato in modo implicito o addirittura ambiguo senza fornire agli utenti una reale possibilità di scelta.

Infine è fondamentale dotarsi di strumenti adeguati che possano gestire eventuali fughe di dati perché, nel caso in cui si mettano a rischio i diritti e la libertà degli individui, vige l’obbligo di notificare l’accaduto, entro 72 ore dall’avvenuta violazione, sia al Garante sia al soggetto interessato.

Valutare la possibilità di assumere un Data Protection Officer (DPO)

In più la normativa in esame prescrive alle aziende di dotarsi di un DPO ovvero una figura che rappresenti il riferimento aziendale per tutte le questioni connesse alla sicurezza dei dati personali e che si assuma il compito di garantire un flusso di comunicazione efficace con gli interessati e con l’autorità Garante della Privacy.

La nomina del DPO è obbligatoria in tre casi:

a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali;

b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;

c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Nominare un Dpo, quindi, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.

Infatti secondo le indicazioni del Garante non si deve nominare un Dpo nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.

In particolare il DPO deve avere le competenze idonee per assistere il management aziendale per quel che riguarda i contenuti del GDPR e vigilare sulla corretta implementazione della Direttiva UE ma non ci sono al momento titoli o certificazioni formali che è necessario possedere per poter ricoprire tale carica.

La scelta delle aziende è dunque libera da ogni vincolo anche se sarebbe preferibile che essa non ricada su una figura del top management già presente in azienda, proprio per scongiurare l’insorgere di qualsiasi tipo di conflitto d’interesse.

Le criticità

Il GDPR in definitiva spaventa le imprese europee perché introduce una serie di nuovi obblighi che inevitabilmente porteranno ad un significativo incremento degli oneri finanziari che potrebbe mettere in seria difficoltà soprattutto le PMI (in Italia si stima un +15,3% nel periodo 2017-2021) che saranno costrette a dedicare più risorse alla loro spesa in sicurezza informatica.

Molte di queste quindi potrebbero non riuscire a stare al passo con la normativa (e in alcuni casi addirittura essere spinte alla chiusura) come dimostrato da un’indagine dell’Osservatorio Information Security & Privacy del Politecnico di Milano dalla quale si apprende che, su un campione di 160 imprese italiane, solo il 51% si è già adeguato al GDPR mentre la restante metà deve ancora farlo.

Fonte: a cura di Exportiamo, di Marco Sabatini, redazione@exportiamo.it

© RIPRODUZIONE RISERVATA