Dati personali, privacy, trattamento dei dati: tante parole per tutelare un bene prezioso, la persona

Dati personali, privacy, trattamento dei dati: tante parole per tutelare un bene prezioso, la persona

Nome, cognome, indirizzo e-mail. Chi avrebbe mai detto che potessero diventare «il nuovo petrolio»? Eppure sono in molti a scriverlo.
Se state pensando «cosa potranno mai c’entrare le informazioni che mi identificano con una merce di scambio», siamo d’accordo con voi: petrolio è infatti un termine che non ci piace molto, preferiamo pensare a queste informazioni come a un bene di valore, a un tesoro da custodire e da proteggere. E sulle modalità per farlo al meglio è diventato sempre più importante riflettere, anche con una certa urgenza, considerate le notizie di attualità che riguardano Facebook e Cambridge Analytica e soprattutto considerata l’imminente entrata in vigore (dal 25 maggio) del nuovo regolamento europeo sul trattamento dei dati personali: il GDPR (dall’inglese General Data Protection Regulation).

Noi in agenzia abbiamo iniziato a rifletterci da un bel po’ di tempo, da due anni per l’esattezza: un lungo lavoro – di studio, valutazione e verifica – che ci ha portato a esaminare tutte le procedure interne (già in linea con la legge 196/2003) e a rivederle nell’ottica del GDPR 679/2016. Un lungo lavoro che ora ci permette di condividere con voi i punti essenziali del nuovo regolamento e … alcuni piccoli consigli!

Prima di iniziare, però, ci e vi chiediamo: sappiamo davvero che cosa si intende per “dati”? E perché è così importante essere (ben) informati in materia?

I dati e il loro trattamento: perché è un tema che ci deve stare a cuore

La prima domanda che sorge spontanea e che tutti ci poniamo nel momento in cui ci avviciniamo a un argomento tanto ostico è: perché mai mi dovrebbe interessare o addirittura stare a cuore?
La verità è che i dati, e il modo in cui vengono trattati, ci devono stare a cuore, perché tutti, in un modo o nell’altro, ci abbiamo a che fare: come interessati, quando li cediamo per avere un servizio; come incaricati, responsabili o titolari, quando entriamo in ambito lavorativo e ci occupiamo del loro trattamento, ossia di raccoglierli e utilizzarli.

Per rifarci anche solo al nostro ambito lavorativo, quello del non profit, non ci ripetiamo forse in continuazione che per una onp non c’è nulla di più importante dei donatori? Pensiamo allora a come cerchiamo di tenere sempre vivo il rapporto con loro: ad esempio, inviamo newsletter cartacee e digitali, per tenerli informati su come portiamo avanti i nostri progetti e sulle novità a cui stiamo lavorando; o ancora, inviamo una lettera di ringraziamento, per comunicare la nostra gratitudine davanti a una donazione che per noi ha un grande valore. Per fare questo, sappiamo tutti di che cosa abbiamo bisogno: dei dati dei nostri sostenitori.

Quali sono allora i dati che possiamo raccogliere e come è bene utilizzarli per svolgere la nostra attività professionale? Per prima cosa, occorre tenere presente che di norma possiamo raccogliere dati personali oppure dati sensibili. Nel nostro lavoro, di enti non profit, ci concentriamo sulla raccolta dei primi, perché i secondi, rivelando la sfera privata dell’interessato (orientamento politico, religioso, sessuale e stato di salute), non possono essere trattati in formato automatizzato (art. 9 GDPR). E allora: i dati personali sono quelli che rendono immediatamente identificabile una persona fisica o giuridica in contesti specifici – nome, cognome, codice fiscale, ma anche ad esempio il numero identificativo all’interno di un database, il colore della maglia in una foto che ritrae un gruppo di persone, la targa dell’auto che immediatamente permette di identificarne il proprietario e così via…
Se con il Codice Privacy l’attenzione è sempre stata posta sul far conoscere all’interessato – che concede l’utilizzo dei dati – le modalità di comunicazione e diffusione delle informazioni raccolte, il fulcro del GDPR diventa ora quello di occuparsi di come questi dati vengano protetti.

Non ci resta che capirlo insieme, punto per punto.

Il GDPR, ossia responsabilità, trasparenza ed efficienza

Prima di iniziare a commentare le singole novità introdotte dal GDPR, occorre tenere presente una fondamentale premessa: il nuovo regolamento significa uniformità a livello europeo nell’applicazione delle norme e delle sanzioni. Per la prima volta infatti le stesse regole e le stesse procedure per la gestione dei dati saranno valide in tutti i Paesi dell’UE, in tutti quei Paesi terzi che vorranno collaborare con l’UE e per tutti i soggetti che, non stabiliti in UE, vorranno offrire beni o servizi, anche gratuitamente, a persone fisiche all’interno dell’UE. Lo stesso dicasi per le sanzioni, che, in una sorta di climax ascendente, a seconda della gravità e del perdurare dell’inadempienza, potranno passare da un primo e semplice avviso a controlli periodici fino alle vere e proprie multe.

Senza dilungarci troppo sulle sanzioni, perché in fondo noi ci preoccupiamo di fare le cose per bene indipendentemente dalla minaccia di una multa, vediamo insieme come il GDPR vuole aiutarci a meritare la fiducia e il rispetto dei nostri interlocutori riguardo all’operato della nostra organizzazione in materia di trattamento dei dati.

Il punto di partenza è il concetto di Accountability (Responsabilizzazione), che ci chiama a documentare tutti i passaggi che ci hanno permesso di entrare in possesso dei dati che utilizziamo. Per l’interessato ciò significa poter verificare in qualunque momento perché e come abbia ceduto i propri dati; per il responsabile, cioè noi che li abbiamo raccolti, significa non dimenticare mai che le informazioni fornite dovranno essere utilizzate nel pieno rispetto del diritto alla privacy dell’interessato, unicamente per la finalità dichiarata e allo stesso tempo con la premura di ridurre al minimo il livello di rischio (concetti di privacy by design e privacy by default).

Se il concetto di Accountability è davvero importante e merita la massima attenzione, dobbiamo però essere onesti e chiederci: quante volte ci è capitato di dare (o ricevere) il consenso senza che l’informativa venisse letta, per fretta o per non affrontare pagine e pagine di norme incomprensibili? Ecco quindi che il GDPR cerca di porre rimedio a questa situazione e ci viene incontro raccomandando una semplificazione dell’informativa e della raccolta del consenso. In particolare, per quanto riguarda la prima, i testi dovranno indicare, con chiarezza e semplicità, le finalità del trattamento, il tempo di conservazione delle informazioni e i diritti dell’interessato: ad esempio, il diritto di modificare, limitare o cancellare l’utilizzo dei dati, ma anche di trasferirli da un’azienda a un’altra (diritto alla portabilità) o di essere “dimenticati dal database” (diritto all’oblio). Per quanto riguarda la seconda, invece, il consenso dovrà essere espresso in modo inequivocabile attraverso azioni positive dell’interessato, siano esse un documento firmato a mano, una registrazione telefonica (debitamente ed esplicitamente annunciata) o – udite, udite – un clic a un flag o a un link presente in una mail. A questo proposito siamo sicuri che in questi mesi avete iniziato a ricevere mail come questa della Macmillan:

Oppure come la nostra: se siete iscritti alla newsletter di Aragorn, infatti, nel mese di marzo 2018 dovreste aver ricevuto una comunicazione per verificare il vostro interesse a rinnovare il consenso … insomma, il nostro modo semplice e veloce per iniziare ad adeguarci al nuovo regolamento!
Se fino a qui abbiamo parlato di come il nuovo regolamento possa aiutarci a rendere l’interessato più consapevole dei suoi (e dei nostri) comportamenti, è arrivato il momento di parlare di come il GDPR possa offrire un’opportunità in più proprio alla nostra organizzazione, permettendoci di renderne più efficiente la struttura interna, di valutare il grado di rischio delle informazioni che custodiamo e di prevenire così un eventuale Data Breach.

È in quest’ottica che è stata introdotta la figura delData Privacy Officer (DPO), obbligatoria per la pubblica amministrazione, per le organizzazioni con più di 250 dipendenti e per le realtà che trattano in modo sistematico una rilevante mole di dati personali. Il compito del DPO è infatti di assicurare la corretta gestione dei dati personali, con particolare attenzione alla stesura di due documenti, da sottoporre a verifica ogni anno entro il 31 marzo:

  • il documento di valutazione d’impatto del trattamento dei dati, ossia l’analisi del fattore di rischio dei dati trattati e delle misure di sicurezza da seguire per prevenire e risolverne la modifica involontaria, l’accesso non autorizzato o la diffusione;
  • il registro dei trattamenti, e cioè il censimento dei database presenti sul server, con il dettaglio dei dati trattati e le finalità di utilizzo e con le categorie di incaricati e responsabili del trattamento.

L’utilità dei due documenti sopra descritti è evidente: mappare lo stato dei dati a disposizione e definire delle procedure interne per il loro corretto trattamento. Sappiamo tuttavia che la prudenza non è mai abbastanza e che gli imprevisti (volontari o meno) possono sempre capitare: una modifica involontaria, e non più recuperabile, dei dati; l’accesso a essi da parte di utenti non autorizzati; la loro improvvisa disponibilità per guasti tecnici o errori involontari. È il cosiddetto Data Breach e anche in questo caso la figura del DPO ha un importante ruolo: essere il referente per il Garante della Privacy (da avvisare entro 72 ore dalla violazione) e per i soggetti i cui dati, inseriti nel database, siano stati violati.

Una, anzi due ricompense: una sintesi del GDPR e alcuni consigli!

Prima di concludere il nostro articolo, come ricompensa (e ringraziamento!) per averci seguito fino a qui, vi lasciamo con un riepilogo, semplice, schematico e colorato, delle novità introdotte dal GDPR …

… e con alcuni consigli, che secondo noi potranno esservi utili per adeguare la struttura interna della vostra organizzazione al regolamento.

  1. Identificate i dati personali in azienda, localizzate dove sono archiviati e come vengono trasferiti, controllate la modalità di accesso a essi, definite i profili di autorizzazione. Con una avvertenza, e cioè che i rischi sono molteplici: diventare dei provetti “Indiana Jones” alla scoperta di file inutilizzati da tempo immemore, perdervi in organigrammi lasciati a metà nel corso degli anni oppure restare sommersi dalla mole di informazioni e tentare la fuga per creare una nuova organizzazione da zero! 😉
  2. All’interno del già complesso sistema procedurale dell’organizzazione, prevedete la gestione di archivi cloud, dispostivi mobili, backup e cache. In altre parole: se non possiamo evitare il Data Breach, appoggiamoci a dei “supereroi” che ci permettano di limitare i danni.
  3. Gestite il fattore umano. Sì, lo sappiamo, è la cosa più brutta, difficile e antipatica, ma purtroppo necessaria: se ci sono delle regole, non significa che tutti le rispettino, quindi fate dei controlli random periodici.
  4. Pulite i dati dei test, oscurando le informazioni o usando degli pseudonimi laddove possibile. È davvero necessario conoscere il nome di “occhioniblu” o del record “1752”? Non basta semplicemente sapere che il maggior numero di clic per una campagna adv è stato registrato nella provincia di Milano o Roma?
  5. Siate pronti a qualsiasi possibilità, anche alla peggiore, quella di violazione dei dati, e impostate quindi un piano di emergenza.

E nella vostra organizzazione, come vi state adeguando all’arrivo del GDPR? Siete pronti o con il nostro post avete scoperto qualcosa in più?

Condividi questo post

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *