Partiamo dall’acronimo. GDPR vuol dire “General Data Protection Regulation” tradotto, Regolamento Generale sulla Protezione dei Dati. Come lascia intuire il titolo, il regolamento europeo, che entrerà in vigore il prossimo 25 maggio, riguarda la protezione dei dati personali.
L’unione europea non è nuova emanare regolamenti riguardanti la protezione dei dati personali. Quindi cos’ha questa GDPR di particolare per destare così tanto scompiglio tra associazioni di categoria e aziende?
Multe. Salatissime. Per i trasgressori. Le aziende pizzicate nel violare le garanzie sul trattamento dei dati personali del regolamento possono essere sanzionate per la cifra più alta tra il 4% del fatturato annuo o 20 milioni di euro.
Considerando le cifre in gioco, il pensiero va inevitabilmente ai giganti del web d’oltreoceano che, finché gestiranno dati di cittadini europei, dovranno seguire i dettami del regolamento, pena le multe astronomiche di qui sopra. Ovviamente la GDPR non vale — e non colpisce — solo i colossi multimiliardari. Anche piccole e medie aziende dovranno adattare le proprie procedure secondo il regolamento. Ma mentre grandi aziende e multinazionali possono permettersi esperti del settore che curino l’adattamento delle proprie procedure, cosa devono fare le PMI?
DISCLAIMER: prima di passare ai consigli, tengo a sottolineare che la lettura di qualche articolo sul tema non equivale ad una consulenza da parte di un esperto legale. Malgrado faccia solo bene informarsi e farsi un’idea del regolamento, per evitare spiacevoli sorprese dovute al “fai-da-te”, meglio chiedere la consulenza a professionisti qualificati. Messi i dovuti puntini sulle “i”, torniamo all’articolo.
Va detto. Il regolamento europeo impone l’adozione di procedure ben precise, pena le salate multe di sopra, ma la sua applicazione è tutt’altro che oscura o inaudita. Le procedure del regolamento riguardano la raccolta di dati di cittadini europei, a cui va garantito il diritto di sapere 1) quali dati vengono conservati, 2) per quale scopo e 3) per quanto tempo. Inoltre, chi colleziona tali dati deve permettere ai relativi proprietari di accedere, esportare, modificare e cancellare definitivamente tutti i dati raccolti.
Nella pratica, i punti salienti su cui le aziende dovranno lavorare prima dell’entrata in vigore del regolamento riguardano:
-
aggiornamento della tradizionale Informativa sulla Privacy (la famosa 196 del 2003) indicando quali informazioni vengono archiviate sui clienti e come verranno utilizzati;
-
aggiornamento (o al creazione) di un processo di acquisizione dei dati che garantisca il consenso esplicito alla raccolta;
-
disposizione di procedure per attuare le richieste di esportazione o eliminazione dei dati;
-
documentazione e applicazione di appropriate misure di sicurezza per impedire l’accesso non autorizzato ai dati. La documentazione include anche l’individuazione di responsabilità e procedure nel caso di violazione dei dati.
Continua leggendo la seconda parte dell’articolo.