GDPR: un'opportunità per i professionisti delle Rp
01/06/2018
Dallo scorso 25 maggio è in vigore il General Data Protection Regulation,il nuovo Regolamento europeo in materia di protezione dei dati personali. Una nuova sfida ma anche un'opportunità per i comunicatori che possono collaborare attivamente per tracciare una rotta sicura e fornire risposte adeguate al menrcato, come sostiene Teresella Consonni.
Il General Data Protection Regulation o GDPR, cioè il nuovo Regolamento europeo in materia di protezione dei dati personali, è legge dal 25 maggio in tutti i Paesi Ue: questo significa cheil Decreto legislativo n. 196/2003 (Codice privacy) non è più applicabile.
Se il governo avesse potuto esercitare la delega a esso conferita con la legge 25 ottobre 2017 n. 163 art. 13 e legiferare per la parte di competenza delle normative nazionali sarebbe certo stato utile. Il legislatore italiano, tuttavia, non ha esercitato per tempo la delega prevista dall’art. 13 della Legge n. 163/2017 e non ha provveduto ancora ad armonizzare le norme europee con quelle italiane. La delega prevedeva, infatti, che il governo adottasse - entro sei mesi dalla pubblicazione della legge di delega - un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.
Tuttavia l’art. 13 comma 3, prevede che il governo eserciti la delega secondo le procedure previste dall’art. 32 della legge 24 dicembre 2012, n. 234. Questa norma, a sua volta, specifica che gli schemi dei decreti delegati siano inviati alle Commissioni parlamentari per il previsto parere e, quando manchino meno di 30 giorni alla scadenza della delega, tale scadenza è automaticamente prorogata per la durata di tre mesi. In virtù di questo richiamo all’art.32 della legge n. 234 del 2012, previsto dallo stesso art. 13 della legge n. 163 del 2017, il termine è prorogato di ulteriori tre mesi.
Due fatti devono essere evidenti.
Il primo:
la delega al governo è prorogata di tre mesi e scade il 22 agosto prossimo. Entro il 22 agosto 2018 la operazione di adeguamento della normativa italiana al GDPR dovrebbe essere realizzata.
Il secondo: il
GDPR è ormai di
applicazione immediata per chiunque e non c’è nessun rinvio.
E, in mancanza del decreto di adeguamento, la soluzione più lineare da seguire - e la sola compatibile con il sistema delle fonti italiano ed europeo - è che l’intero Codice privacy, per la parte in contrasto con il GDPR, non può più essere applicato dopo il 25 maggio, come rileva in un suo commento il professor Federico Pizzetti. Un altro punto che deve essere chiaro è che, a partire dal 25 maggio 2018, il GDPR deve essere pienamente e integralmente attuato, anche se non è ancora stato adottato il decreto delegato di adeguamento. Il Codice privacy, in virtù del rapporto che esiste tra Regolamento Ue e legge italiana secondo il sistema delle fonti ampliato al rapporto tra ordinamento italiano e ordinamento europeo, comporta la disapplicazione ex lege del Codice privacy che è stato in vigore fino al 24 maggio scorso. Non esiste nessun dubbio, infatti, che proprio il rapporto tra Regolamento europeo e legislazione nazionale comporta la disapplicazione della legislazione nazionale in contrasto con il Regolamento europeo. Quale che sia il contenuto dell’art. 13 della legge n. 163 del 2017 (legge di delega relativa al decreto di adeguamento) con la entrata in piena attuazione del GDPR il Codice di protezione dei dati personali, almeno per la parte con questo in contrasto, non può più essere applicato.
Dal 25 maggio 2018 anche in Italia, come in ogni altro Paese della Unione europea, deve trovare piena e integrale attuazione il GDPR e il Codice privacy, come ogni altra legislazione nazionale in contrasto col GDPR anche negli altri Paesi dell’Unione, deve essere disapplicato e cessa di essere in vigore. A partire dal 25 maggio 2018, la legge italiana di protezione dei dati personali è il GDPR, che è esplicitamente e chiaramente integrato anche dalla normativa nazionale nelle materie che la regolazione europea consente agli Stati di regolare.
Al momento pare essere comunque in atto una sorta di corsa a fare il possibile, come testimonia la notevole quantità di e-mail che si ricevono ogni giorno per sollecitare consensi in modalità opt-in e opt-out: procedura sulla quale si possono fare valutazioni non solo in merito alla legittimità ma anche alla reale utilità.
Tutte le organizzazioni di qualsiasi natura e dimensione così come i singoli professionisti hanno dovuto affrontare il tema sotto il profilo legale, organizzativo e tecnologico: cambiamenti significativi sono in atto nei programmi di sicurezza da attivare, nel modo di processare informazioni personali e di gestire le infrastrutture ICT per assicurare la giusta cura, custodia, controllo e protezione dei dati che hanno origine nella Ue, come anche per garantire la protezione del diritto alla privacy per gli individui.
E le attività per il GDPR determinano costi anche importanti. I dati dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano lo confermano: il 75 per cento del campione di aziende intervistate testimonia un aumento del budget per la sicurezza informatica, dovuto in grande misura ai progetti di adeguamento al GDPR. Nel 2017 il 23% delle aziende afferma di avere un budget con previsione pluriennale in materia di sicurezza e il 35% di avere un budget annuale.
I progetti di adeguamento al GDPR sono in corso, anche ora, dopo la piena applicabilità della nuova normativa.
I compiti da affrontare sono molteplici e complessi anche per via della estensione della portata della definizione di “dati personali” con inclusione di nomi, contatti, numeri e luoghi dei documenti d’identità, come anche indirizzi IP, cookies e transazioni digitali.
In particolare alcuni punti richiamano l’attenzione:
- avere posto in essere l’analisi dei rischi e avere valutato l’adeguatezza delle misure di sicurezza;
- avere identificato e precisato ruoli e responsabilità tra chi controlla i dati (individuo/società) e prende decisioni sulle attività con cui si processano i dati, il cosiddetto “titolare del trattamento” o “data controller” e chi processa i dati: individuo/ società che stipula un accordo per gestire e raccogliere i dati, il cosiddetto “responsabile del trattamento” o “data processor";
- avere provveduto alla gestione del registro delle attività di trattamento;
- avere identificato e designato le figure di titolari e responsabili e le procedure operative adottate a salvaguardia dei dati;
- avere aggiornato i contratti (clienti e fornitori) in aderenza al dettato dell’art. 28 del GDPR;
- avere predisposto la nuova modulistica e in particolare le informative e i consensi;
- avere scelto e adottato il nuovo modello organizzativo di data protection;
- avere, per chi obbligato alla scelta, nominato il DPO;
- avere provveduto alla generazione del documento DPIA (Data Protection Impact Assessment). DPIA è il processo (previsto dall’art. 35 del Regolamento europeo 679/2016 – GDPR ) che il titolare del trattamento deve compiere qualora i trattamenti, quando prevedano in particolare l’uso di nuove tecnologie, presentino un rischio elevato per diritti e libertà delle persone fisiche;
- avere adottato procedure per la gestione dei diritti degli interessati;
- avere valutato e stilato procedure da adottare con immediatezza in caso di data breach;
- avere predisposto la formazione delle persone interessate al trattamento e verificato le garanzie di conformità al GDPR dei fornitori esterni, anche tecnici;
- avere predisposto la codifica delle attività annuali di controllo e di verifica
- avere predisposto e tenere aggiornata la documentazione riferita a processi, procedure e informative in modo da avere con immediatezza disponibile, al bisogno, tutto quanto predisposto e realizzato in conformità al nuovo Regolamento-GDPR.
La nuova era digitale porta a una consapevolezza diversa riguardo al trattamento dei dati personali e della privacy e ogni realtà organizzativa e operativa fa uso di Internet e di tecnologie della informazione e comunicazione (ICT) per raccogliere, processare, condividere dati: i rischi di violazione della privacy, di possibili cyber minacce o di altre minacce informatiche non devono essere ignorati, anche perché la perdita dei dati costituisce un danno economico rilevante per l’attività di chiunque, sia singolo professionista sia organizzazione.
Certo le novità portate dal GDPR sono positive per gli utenti in quanto a tutela e controllo dei dati, ma ne derivano varie criticità, in particolare, per le imprese medio-piccole, che ancora non sono del tutto preparate e in grado di applicare significativi cambiamenti, anche per la esiguità delle risorse economiche disponibili per gli interventi di adeguamento al Regolamento. Come accade per esempio nel caso si debba riconoscere il diritto degli utenti di accedere alle proprie informazioni memorizzate o rilasciate in precedenza e di ottenere tali informazioni in un formato scritto in chiaro e facilmente trasferibile per poterle trasferire a un altro soggetto prescelto allo scopo dalla persona protagonista della richiesta di portabilità del dato.
L’aumento delle sanzioni per inadempienza alle prescrizioni del GDPR relative, in particolare, alla protezione dei dati e alla notifica di possibili data breach può porre in significativa difficoltà molte organizzazioni. Tuttavia i rischi cibernetici riguardano tutti i settori e sono una vera e propria minaccia per la sopravvivenza nel mercato, specie per società piccole che dispongono di risorse limitate e hanno costruito il loro business magari su una sola linea di prodotti o servizi.
Anche come risposta all’alto numero di “data breach” degli ultimi anni, la Unione europea ha deciso così di alzare il livello di protezione – e anche le sanzioni – per la privacy. Regolamentazioni più stringenti, come il Regolamento Generale sulla Protezione dei Dati - GDPR sono ormai necessarie per prevenire futuri attacchi, dare agli utenti maggior accesso e controllo sui loro dati e sanzionare tutti coloro che non proteggono adeguatamente i dati che raccolgono e da cui ottengono profitto. La nuova normativa si applica a qualsiasi entità abbia una presenza nella Unione europea e stabilisce regole per chiunque gestisca, raccolga, conservi, trasferisca o faccia uso di dati di cittadini europei.
Le ridotte capacità d’investimento delle Pmi e e delle micro imprese obbligano quindi a scelte faticose in merito al processo di adeguamento al GDPR.
Alcune organizzazioni preferiscono interventi di tipo legale e puntano su un tipo di adeguamento a volte più formale che sostanziale della normativa: revisione delle informative, policies dei dipendenti e fornitori, registro del trattamento, regolamentazione del trasferimento dei dati e così via.
Altre organizzazioni fanno leva piuttosto su scelte tecniche e colgono la opportunità di riorganizzare infrastrutture IT spesso inadeguate anche al rispetto di misure minime già previste dal Codice della privacy. Basta pensare, ad esempio, all’assenza di sistemi di autorizzazione efficaci, alla necessità di creare piani di business continuity e di disaster recovery, all’uso di piattaforme cloud che non gestiscono il dato in modo “compliant" con la normativa europea o alla totale assenza di audit di seconda parte sui fornitori di servizi IT.
Poche appaiono per ora le organizzazioni che prendono in esame in modo complessivo i processi organizzativi e analizzano il percorso del dato dalla acquisizione alla raccolta alla gestione e alla classificazione, con verifiche riguardo i supporti tecnici e di conservazione, le politiche di privacy adottate, la formazione dei collaboratori, le credenziali di adeguamento al GDPR dei fornitori.
La stesura di procedure da mettere in vigore e da adottare in merito ai dettami del Regolamento - in caso di data breach, cioè di violazione del dato - va fatta in funzione di una analisi dettagliata di quanto esistente e dei necessari interventi per risultare “compliant”: la soglia di attenzione preventiva deve essere alta e tutta la comunicazione deve essere trasparente e comprensibile oltre a essere condivisa con tutti i soggetti coinvolti.
Compiti ai quali tutti gli operatori delle relazioni pubbliche possono fornire un supporto adeguato di competenze contribuendo anche a diffondere la consapevolezza della necessità della protezione del dato. Il GDPR può offrire a tutti una opportunità unica non solo per trattare adeguatamente i dati personali dei propri dipendenti o di terzi (clienti, fornitori…) ma anche per attivare un sistema di protezione del proprio know-how: sempre più spesso messo in pericolo da attività illecite commesse da cyber-criminali e a volte anche da collaboratori o dipendenti incauti, negligenti, non formati adeguatamente sui rischi e sulle nuove necessità che il Regolamento impone.
Una nuova sfida si è aperta e possiamo collaborare attivamente per tracciare una rotta sicura e fornire risposte adeguate a un mercato che appare ancora piuttosto disorientato al riguardo.