Andrea Sut
Il tema della privacy è di particolare attualità nelle ultime settimane, in parte per lo scandalo di Facebook e le interferenze nel voto americano e in parte per l’avvicinarsi della fatidica data del 25 maggio 2018, giorno nel quale entrerà in vigore il GDPR (General Data Protection Regulation) ovvero il Regolamento UE 2016/679 in materia di dati personali.
Per supportare i nostri clienti, abbiamo stipulato una convenzione con QSA, una società genovese con una ventennale esperienza nella gestione nella conformità di processo e nella privacy.
Per iniziare la collaborazione QSA, abbiamo chiesto ai referenti privacy Paolo Barone e Matteo Aragone alcune domande frequente legate alla privacy e al GDPR.
Cosa è un dato personale?
Paolo Barone: Il Garante per la privacy dà una definizione molto chiara a riguarda: “le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”. Si dividono in dati identificativi(nome, cognome…), sensibili (su salute, etnia, religione…) e giudiziari.
Il GDPR è applicabile anche per la mia azienda?
Matteo Aragone: La risposta è si, se lavori in Europa o tratti dati di persone sul suolo europeo. Il GDPR è applicabile a tutte le aziende, non solo ai colossi come Facebook, anche se vi sono significative differenze negli obblighi sia in virtù della dimensione (le Pmi sono esonerate da alcuni obblighi) e dal tipo di trattamento di dati (chi tratta dati sensibili, condanne personali e grandi quantità di dati ha obblighi maggiori).
Cosa devo fare per adeguarmi?
Paolo Barone: L’approccio basato sul rischio suggerito dal garante è molto pragmatico: elenco i dati trattati in azienda, valuto il rischio legato al trattamento, definisco una soluzione che deve essere robusta sin dal design dal punto di vista informatico, procedurale e legale. L’approccio è pienamente condivisibile: appare evidente che se tratto dati sensibili dovrò adottare delle protezioni molto più alte di quanto devo adottare se tratto dati esclusivamente personali legati ai dipendenti e alla gestione delle fatture.
A livello di figure legate alla privacy, oltre a quelle del titolare e del responsabile del trattamento, che seppur diversi erano già presenti nel D.Lgs. 196/203, il GDPR introduce la figura del DPO (Data Protection Officer), un esperto privacy che supporta il Titolare nella supervisione e nelle decisioni, obbligatoria in talune circostanze (per la P.A. e in virtù del trattamento svolto sui dati)
Matteo Aragone: Devo inoltre rispettare alcuni principi che oltre ad essere descritti nell’art. 5 del GDPR sono anche di buon senso: quando raccolgo i dati devo (se possibile) informare in maniera chiara e precisa l’interessato, limitarmi a raccogliere i dati che mi servono per la finalità del trattamento, proteggerli, renderli accessibili all’interessato, aggiornarli e cancellarli se richiesto. Oltre a rispettare i principi, devo poter comprovare che li sto rispettando. Ciò significa che devo preparare la documentazione in maniera adeguata per poter essere pronto a una ispezione del Garante o della Guardia di Finanza.
L’adozione di certificazioni è utile?
Paolo Barone: L’implementazione di modelli gestionali e la loro certificazione (per es. ISO 27001 su security, ISO 29151 su privacy, o ISO 9001 integrata con i requisiti privacy) possono concorrere a testimoniare che l’azienda ha un metodo strutturato nella gestione privacy e possono quindi servire come prove nel momento dell’ispezione.
Cosa rischio se non applico correttamente il GDPR?
Matteo Aragone: La risposta è semplice e, forse, sgradevole: a seconda delle inadempienze che commetto, la pena massima è 10 milioni di euro o 2% fatturato e 20 milioni o 4% fatturato. Inutile dire che le sanzioni sono particolarmente severe (pensate anche sensibilizzare le multinazionali poco riguardose nei riguardi dei dati personali), dal 25 maggio potremo valutare come saranno applicate.