Privacy, cosa fare: immediatamente?! oh, anche no!
Ci siamo, da 6 mesi è entrato il vigore il nuovo regolamento europeo, ma… in pochi si sono adeguati!
Tranquilli, non c’è più tempo, ma alla fine ci adegueremo tutti, chi spontaneamente e chi “spintaneamente” dopo aver ricevuto una salata multa.
Eh, già… questo è il vero problema, quando ci toccano i soldi siamo immediatamente pro-attivi a fare le azioni che “avremmo dovuto fare 6 mesi fa!”.
Da 2 anni oramai il garante per la protezione dei dati personali sta provando a dare indicazioni utili, ma è lo stesso legislatore italiano a non brillare per pro-attività e rispetto di tempistiche utili. E allora è inevitabile che si insinuino tra le pieghe della confusione collettiva, falsi miti e proposte miracolose che invece poco risolvono.
Proviamo allora a fare chiarezza prima di affidare in mani sbagliate il futuro dei nostri dati.
La premessa è: niente panico. Il 25 maggio non c’è stato un terremoto, ma è stato solo l’inizio di un cammino verso una nuova consapevolezza relativa alla società che stiamo vivendo dove i dati personali ormai sono una merce di scambio. Dobbiamo, quindi, avviare piano piano un percorso necessario, perché viviamo in una società che ha nuove esigenze e richiede un nuovo approccio.
1. La privacy, nel senso di riservatezza o “diritto ad essere lasciato in pace”, non esiste più (o quasi). Il legislatore europeo si preoccupa della protezione dei dati personali e della loro libera circolazione per favorire il mercato digitale in modo da renderlo più sicuro e affidabile per i cittadini.
2. Non bisogna buttare tutto all’aria e ricominciare da capo. Diffidate da coloro che vi annunciano rivoluzioni e cambiamenti epocali. “Il regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’Ue, non dovrà introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” (lo ha riferito la Commissione europea in una Comunicazione al Parlamento del 24/01/2018).
3. Non ci saranno proroghe e diffidate da queste fake news alimentate comunque da interpretazioni possibili, ma troppo entusiastiche di giusti provvedimenti del garante nei quali si prende atto della confusione in cui versiamo nel nostro ordinamento. Quindi inizialmente in sede di ispezione si procederà con verifiche più morbide e che mireranno soprattutto a controllare che si sia avviato con serietà un percorso. Nessuno può oggi e potrà il 25 maggio definirsi completamente “Gdpr compliant” come si sente riferire in giro.
Per avere un preventivo, inserisci la tua mail per essere contattato.
4. Non esistono soluzioni “chiavi in mano” che con pochi spiccioli possano risolvere il terribile problema privacy (chi vi dice che con 100 euro sarete tranquilli, beh… non lo siete affatto!). La protezione dei dati personali è un percorso che va sviluppato su misura, come se fosse un vestito sartoriale e quindi varia da struttura a struttura, secondo il principio generale di accountability, già presente nel nostro Codice per la protezione dei dati personali.
5. Il Data protection officer (Dpo) o Responsabile della protezione dei dati, figura indipendente e imparziale a tutela dei dati personali prevista nel Gdpr, non è sempre obbligatorio e soprattutto non deve essere un “consulente certificato”. Lasciamo le certificazioni e i bollini di qualità a prodotti e sistemi e cerchiamo invece di verificare prima di tutto se si è obbligati alla nomina, poi se è opportuno comunque dotarsi di questa figura (interna o esterna alla propria struttura) e quindi scegliamola con attenzione e guardando la reale esperienza in materia. Mai come in questi giorni non è tutto oro ciò che luccica.
6. Il diritto alla protezione dei dati personali non è un diritto assoluto, ma va bilanciato con gli altri diritti dell’ordinamento e con le altre attività. Chi vi dice che dovete rifare tutto, altrimenti dovrete bloccare attività di marketing e di impresa, vi sta vendendo solo fumo.
Per avere un preventivo, inserisci la tua mail per essere contattato.
7. Le informative e i consensi acquisiti sino ad oggi, se sviluppati con attenzione, tenuti aggiornati e in linea con quanto previsto dalla normativa italiana, rimangono validi. Vanno aggiornati (solo in parte) con quanto previsto dal Gdpr. E anche i vari diritti degli interessati sono rimasti sostanzialmente immutati, ma vanno solo aggiornati alle nuove esigenze della società digitale in cui viviamo.
8. Non vanno cambiati tutti i contratti. Dipende da come li abbiamo redatti in questi anni e, se li abbiamo sviluppati con attenzione alla materia, andranno solo leggermente rivisti.
9. Non vanno per forza portati avanti ingenti investimenti in termini di sicurezza informatica. La spesa da pianificare dipende sempre da ciò che vogliamo proteggere e dai costi che possiamo sostenere.
10. È utilissimo dotarsi (e formare) un proprio team privacy competente e in grado di avviare un cammino che è complesso e lungo.
Prima di aprire con leggerezza il portafogli in preda al panico da adeguamento, occorrerebbe sviluppare un’accurata radiografia della nostra struttura dal punto di vista del trattamento dei dati personali e quindi analizzati i reali rischi ad esso legati. Del resto, l’accountability di cui si parla tanto non è (solo) questione di hardware, software, o information security, ma è prima di tutto questione di organizzazione delle risorse umane che devono essere adeguatamente formate e rese consapevoli in modo che sia documentato con attenzione un viaggio alla scoperta dei dati che trattiamo e che molto spesso ci sfuggono del tutto. In realtà il problema più grande per la protezione dei nostri dati siamo noi stessi.
Allora, in buona sostanza, che fare?
Affidarsi a mani esperte che possano aiutarvi a fare un’attenta analisi della vostra azienda e a proporvi la soluzione più adatta alle vostre esigenze.
Per avere un preventivo, inserisci la tua mail per essere contattato.