Attenzione ai sedicenti esperti. Chi parla di “privacy” non ha ancora compreso il contenuto della disciplina della riservatezza dei dati. Il concetto di privacy deriva dal diritto anglosassone e riguarda il diritto di essere lasciati soli, non quello di tenere sotto controllo le informazioni riferibili alla persona. In Italia la vera privacy è disciplinata, ad esempio, dall’art. 615 bis del Codice Penale, che tutela le persone dalle interferenze illecite nella loro vita privata. Il diritto alla tutela dei dati personali, invece, riguarda il trattamento operato da terzi e l’impatto negativo che potrebbe avere sulla vita professionale e di relazione.

Giusto prestare attenzione ai pericoli. Nel mondo digitale, il rischio di perdere il controllo dei dati, anche per chi li gestisce con le migliori intenzioni, è molto elevato. L’interesse a sfruttare un archivio contenente informazioni dettagliate di un rilevante numero di individui è molto elevato, soprattutto se contiene informazioni delle quali l’interessato non consentirebbe a chiunque il trattamento (preferenze di consumo, politiche, religiose, sessuali, ecc.).

Sbagliato considerare il controllo dei dati personali un elemento negativo per le aziende. Una corretta analisi del trattamento, dei flussi documentali, dei sistemi informativi, degli archivi, consente di effettuare una valutazione del funzionamento dell’azienda e di porre in essere le azioni correttive necessarie a rispettare la normativa ma, soprattutto, le azioni di miglioramento dalle quali gli affari potrebbero trarre giovamento. Da costo a risorsa è l’approccio giusto.

Centrale la formazione. La tutela della riservatezza non è un “pacchetto” ma un “processo” di miglioramento continuo, che ha come elemento cardine la formazione del personale. Qualsiasi sistema di sicurezza o di gestione ha il suo punto debole nel personale non idoneo alle mansioni affidate.

Sistema di gestione del trattamento dei dati. Occorre adottare una procedura analoga ai sistemi di gestione della qualità e della sicurezza sul lavoro. Il nuovo regolamento europeo, non a caso, fa espresso riferimento a sistemi di certificazione del trattamento e ai codici etici.

Le novità, in sintesi. La nuova disciplina del consenso al trattamento riguarda l’obbligo di formulazione espressa e non preconfezionata o basata sul silenzio assenso. Le informative dovranno esser più dettagliate e redatte in linguaggio comprensibile a persone comuni. Potrà essere utilizzato un sistema di acquisizione della scelta dell’interessato tramite selezione di una casella in un sito web, ma sono vietate la preselezioni. L’interessato deve operare una scelta, non subirla.

Quando gli effetti del trattamento possono comportare rischi rilevanti per l’interessato, per la natura o la quantità dei dati gestiti dal titolare, dovrà procedersi ad una valutazione d’impatto analoga a quella utilizzata nel settore ambientale, basata, cioè, sull’analisi dei rischi connessi al trattamento, sulla valutazione delle conseguenze di un incidente e sull’indicazione delle misure di contenimento di detti rischi.

Il registro dei trattamenti che ogni titolare dovrà istituire in azienda, costituirà la base da cui partire per l’analisi dei rischi e per la valutazione delle misure di sicurezza da adottare. Dovrà indicare le caratteristiche, le modalità e le finalità dei trattamenti, anche per consentire alle autorità di eseguire i controlli.

Data Protection by design. Sistemi informatici e applicativi dovranno essere progettati (e se già esistenti, aggiornati) per minimizzare il rischio di sottrazione o perdita, anche accidentale, dei dati trattati, rispettando il criterio dell’uso minimo ed indispensabile rispetto alle finalità del trattamento. Dovranno essere altresì progettati per l’uso di sistemi di anonimizzazione e pseudonimizzazione. Data protection by default. Le misure di sicurezza logiche e organizzative dovranno garantire la raccolta e l’uso dei soli dati necessari alla finalità dichiarata dal titolare. Non potranno essere raccolti dati da utilizzare per finalità generiche, né potranno essere destinati ad altre finalità senza un consenso esplicito.

La sicurezza dei dati dovrà essere ulteriormente curata sia sotto il profilo fisico che logico ed organizzativo. Le misure di tutela dovranno essere adeguate ai rischi da prevenire. Sebbene non per tutti sia obbligatoria la valutazione d’impatto del trattamento, è consigliabile comunque farvi ricorso e adottare sistemi di certificazione e codici di condotta.Data breach. La violazione degli archivi dovrà essere immediatamente notificata all’interessato e all’Autorità Garante, per consentire ad entrambi di intervenire e porre in essere, di concerto con il Titolare del trattamento, le misure utili a contenerne gli effetti.

Responsabile del trattamento e Responsabile della protezione dei dati. Sono le due figure (una preesistente, l’altra di nuova introduzione) sulle quali è incentrata la gestione dei dati e l’adozione delle misure di sicurezza. La prima ha compiti esecutivi e viene delegata dal titolare all’espletamento di determinati compiti connessi al trattamento. La seconda – obbligatoria per le Pubbliche Amministrazioni e necessaria per i privati che effettuano trattamenti su larga scala o profilazione degli utenti – svolge attività di consulenza (interna o esterna) e deve caratterizzarsi come esperta ed indipendente, per eseguire valutazioni periodiche (audit), individuare non conformità e possibili miglioramenti, redigere relazioni in cui suggerire azioni correttive e possibili evoluzioni del sistema di gestione del trattamento.

Tra i diritti dell’interessato di nuova codificazione spiccano quello alla portabilità dei dati, su supporto informatico standard, ai fini del conferimento ad altro operatore, il diritto all’oblio, cioè alla cancellazione da siti web e motori di ricerca, il diritto a non subire profilazioni (ad esempio per la rilevazione di gusti e preferenze) non autorizzate espressamente dall’interessato.

Lo Sportello Unico per segnalare eventuali violazioni del trattamento consentirà di rivolgersi all’autorità garante nazionale per ottenere la tutela dei dati dell’interessato in qualsiasi paese dell’Unione Europea. Le autorità vigilano sul rispetto del Regolamento 679/2016 per garantirne la concreta applicazione, fornendo consulenza alle istituzioni, rispondendo ai quesiti e rilasciando linee guida per la gestione dei trattamenti in settori specifici o in situazioni particolari. Hanno poteri di indagine, per acquisire le informazioni necessarie a svolgere i controlli, poteri correttivi per imporre il rispetto delle norme anche attraverso l’irrogazione di sanzioni, e poteri autorizzativi e consultivi, per consentire lo svolgimento di trattamenti specifici che richiedono maggiore attenzione o per suggerire soluzioni agli addetti ai lavori.

Le opportunità. Le nuove figure e i nuovi adempimenti richiesti dal Regolamento Europeo determineranno la necessità di oltre 50.000 nuovi profili professionali solo sul territorio italiano. Costituiranno quindi un’ottima opportunità di crescita per molti professionisti e dipendenti, di reinserimento nel mondo del lavoro per chi ne è stato escluso e di inserimento per i giovani.

Le aziende, dal canto loro, avranno l’occasione di ridefinire mansioni e procedure, ottimizzando i sistemi di gestione delle informazioni, e di sfruttare i nuovi mercati e le nuove occasioni di business che si manifesteranno. Ad esempio, la scelta dei futuri mercati da aggredire consentirà di sviluppare nuovi modelli di informative adatti a raccogliere e gestire i dati necessari a profilare i nuovi utenti, per comprenderne gusti e preferenze, ad ottimizzare le scorte sulla base dei consumi, a potenziare e personalizzare la azioni di marketing, a studiare le reazioni e gli eventi successivi all’acquisto, per orientare le future offerte e, conseguentemente, le future scelte aziendali.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *