Il 25 maggio entra in vigore il GDPR, General Data Protection Regulation: questo l'acronimo del Regolamento generale dell'Unione Europea sulla protezione dei dati.
Si tratta di una norma che disciplina il trattamento dei dati personali e la privacy di tutti i cittadini europei: di fatto obbliga aziende e organizzazioni che operano sul territorio europeo o che offrono servizi o prodotti all’ interno del mercato Ue ad assumersi maggiori responsabilità sui dati degli utenti.
In caso di inadempienza o di palese violazione sono previste sanzioni pecuniarie anche molto pesanti e come già accadeva per la vecchia normativa anche sanzioni penali con pene che vanno da 6 a 18 mesi di reclusione e, in determinate condizioni, fino a 3 anni.
L' adozione del nuovo codice risale in effetti al 27 aprile 2016 ma l'Italia sembra averne preso coscienza solo una settimana prima della sua entrata in vigore e la confusione è palpabile.
Intanto negli account di posta elettronica di tutti noi quasi ogni giorno, piccoli o grande compagnie, ci inviano mail dai testi identici che ci informano della novità ma al contempo ci invitano a non fare niente per continuare a ricevere aggiornamenti, newsletter, promozioni e chi ne ha più ne metta.
Ma è davvero così?
Abbiamo intervistato Matteo Pucci , Responsabile Sicurezza sul lavoro presso Confcommercio Firenze per cercare di capire qualcosa di più.
Dottor Pucci a due giorni dall'entrata in vigore del nuovo regolamento sulla Privacy ci sembra di rilevare una certa confusione. Conferma?
Decisamente si, il mio telefono sta squillando ininterrottamente in questi ultimi giorni. Sembra un regolamento piovuto dal cielo: in realtà è stato emanato nel 2016 ma come Paese lo stiamo recependo solo adesso e mancano ancora i decreti attuativi.
La domanda più frequente che le viene rivolta?
Cosa devo fare per la Privacy?
Vista l'attuale situazione politica con un Governo ancora da formare è possibile confidare in un rinvio?
Questo posso escluderlo: una proroga è impossibile.
A quali aziende si applica il nuovo Gdpr?
A tutte le aziende che manipolano dati personali.
Quindi non solo quelle che fanno commercio o attività online?
Anche ma non solo quelle: questo è un equivoco diffuso. Banalmente anche un negozio di vicinato che invia una promozione tramite Whatsapp o Sms è chiamata ad adeguarsi al nuovo regolamento.
Molte aziende e compagnie in queste ore stanno inviando via mail un'informativa che sostanzaialmente recita: se vuoi continuare ad utilizzare i nostri servizi non devi fare niente. In pratica di adotta il sistema del consenso assenso. E' una via praticabile?
Dire di no, l'assenso già dato è stato concesso sulla base di un vecchio regolamento che deve appunto essere rivisto. Bisogna quindi richiedere il consenso all'utente/cliente da zero, in modo chiaro ed esplicito; inoltre la nuova norma europea obbliga il depositario dei dati a comunicare in anticipo come li utilizzerà e per quanto tempo. L'utente poi deve in qualunque momento poter accedere ai propri dati che l'azienda custodisce ed eventualemente anche richiederne una modifica, se non addirittura l'eliminazione.
Esistono procedure o documenti Standard a cui un'azienda può rifarsi?
No, la parola standardizzazione deve essere proprio dimenticata. Bisogna che ciascuno faccia un'analisi specifica delle proprie attività. Certo potranno esserci tipologie aziendali simili ma ogni impresa deve rivedere il modo con cui processa il dato dall'atto dell'acquisizione fino alla sua uscita, ivi comprese ovviamente la sua conservazione e manipolazione.
Tra le nuove figure introdotte dal Ggpr c'è il DPO (Data Processor Officer). Ci spiega meglio chi è e di cosa si occupa?
Il DPO, Responsabile della Protezione dei Dati, è colui che autorizza a mettere in essere tutte le procedure atte a proteggere i dati. Il 25 maggio è anche il termine ultimo per nominare questa nuova figura da oggi fondamentale. Ma attenzione: se è vero che può essere reperita sia all'interno dell'azienda che esternamente, in nessun caso la nomina deve essere una pura formalità. Si pensi ad esempio ai dati sensibili custoditi dalle pubbliche Amministrazioni oppure dalle strutture sanitarie: chi da oggi li gestirà deve avere un nome e cognome che andrà comunicato all'Autorità di controllo.
Il regolamento non specifica quali competenze debbano essere in capo al Responsabile della Protezione dei dati ma è altamente consigliabile che possieda abilità tecnico-informatiche.
(N.d.r. per chi volesse approfondire: http://www.garanteprivacy.it/web/guest/home/docwe... )
Quale ente si occuperà di elevare eventuali sanzioni?
La Guardia di Finanza, ma su questo argomento attenderei l'approvazione dei decreti attuativi.
In che modo Confcommercio si sta adoperando per venire in aiuto alle aziende che richiedono una consulenza o supporto?
Siamo attivi già da inizio anno con attività specifiche e su misura in base all'azienda: ci siamo occupati di pubblici esercizi, attività ricettive, piccole e medie imprese di varie tipologie. Cerchiamo di rispondere a tutte le richieste dei nostri associati.
In conclusione ci pare evidente che inviare mail fotocopia a milioni di utenti invitandoli a non fare nulla non risponda alla ratio del nuovo regolamento che al contrario ha come scopo una maggiore responsabilizzazione. Le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo. Ma molto dipenderà dalle scelte delle autorità nazionali.
Se è vero infatti che l'indirizzo è comune e quindi che le linee guide sono le stesse per tutti i Paesi coinvolti, è altrettanto vero che la sua applicazione è gestita dai singoli organismi nazionali. L'Italia, complice anche la vacatio governativa, non ha ancora approvato i decreti attuativi, motivo per cui il passaggio dalla teoria alla pratica resta ancora il vero nodo cruciale.