Punti chiave
Diciamoci la verità: le aziende hanno sempre dato al trattamento dei dati e alla “protezione” dei dati una priorità molto bassa, perché si accorgono molto bene dei costi ma non percepiscono subito i vantaggi. Ma a cambiare la situazione sono giunti i regolamenti europei (il GDPR) che hanno promesso delle multe salatissime contro il responsabile del trattamento dei dati.
Le imprese, stavolta attente, per non dire spaventate, come non mai, vogliono sapere come gestire, trattare e proteggere i dati personali per evitare pesantissime punizioni. La nostra guida sul trattamento dei dati e sulla loro protezione in ambito aziendale ha esattamente questo scopo: insegnarvi, rapidamente e anche se non siete esperti, a mettervi in regola per evitare multe.
Anche se sono insegnamenti teorici è importantissimo che partiate con il piede giusto capendo che cos’è un dato personale.
Si tratta di una informazione relativa ad una persona.
Un tempo, nel 1995, agli albori di questo tipo di regolamenti, il dato personale era considerato il nome e il cognome, l’indirizzo di residenza o l’indirizzo mail. Dal 2016 in poi si considerano dati personali anche elementi tecnici come l’indirizzo IP del proprio computer o il MAC address che identifica uno smartphone.
Come salvarti dalle multe del GDPR: impara come si classificano i dati personali
Il dato personale quindi è qualsiasi cosa, anche un numero digitale, che permette di identificare una persona.
Esistono quattro tipi di dati personali, che il GDPR considera nel trattamento dei dati. I dati Provided, Observed, Derived e Inferred.
I dati Provided – E’ la forma più semplice. Si tratta di dati forniti consapevolmente dall’utente. Un cliente nel vostro e-commerce compra un prodotto e scrive i suoi dati personali per completare l’ordine. E’ un esempio di dato “Provided“.
I dati “Observed” – Si tratta di una situazione in cui il titolare di una attività utilizza degli strumenti, come Google Analytics, Piwik o altri software simili, per raccogliere dati degli utenti sul suo sito. Per esempio l’indirizzo Ip, la loro provenienza geografica, le pagine che hanno visto, che browser hanno usato.
E’ una raccolta di dati personali fatta autonomamente dal titolare che l’utente in un certo senso “subisce”. Per questo è stato inventato il foglio del trattamento dati, che tutti i siti devono inserire all’interno delle loro pagine legali. Questi sono i dati “Observed”.
I dati “Derived” – In questo caso si prendono dei dati appartenenti a degli utenti, si analizzano, e da questa analisi si deducono o calcolano altri dati. Ad esempio, se in un sito di e-commerce vediamo le abitudini di acquisto dei nostri utenti, i prodotti che comprano e i prezzi che pagano, ne deriviamo delle ragionevoli fasce di reddito. Capiamo quindi che il 20% dei nostri utenti ha un reddito medio alto. Questo è un esempio di dato derivato.
I dati “Inferred”- Qui abbiamo dei dati aggregati che vengono analizzati e sui quali si fanno delle previsioni statistiche.
Ad esempio studiamo l’età, il numero di incidenti e di multe prese da un guidatore per stabilire il suo rischio stradale, sulla base del quale fargli una polizza assicurativa. Questo è un esempio di dato “Inferred”. Questi dati sono quelli più aleatori, perché si tratta di informazioni calcolate.
Una considerazione originale, è che di tutti questi dati, quelli che potrebbero sembrare più importanti sono quelli economici, come per esempio il PIN di una carta di credito, il numero di conto corrente, o un IBAN.
In realtà è vero che sono legati al denaro, ma sono dati modificabili. Invece i nostri gusti, le nostre abitudini di navigazione e addirittura i dati biometrici di uno Smartwatch o di un’applicazione per la ginnastica, sono molto più preziosi perché completamente o molto difficilmente modificabili.
I soggetti e i responsabili del trattamento dati
Le persone che devono trattare i dati vengono definite in maniera precisa dalla normativa GDPR.
Il primo è il titolare del trattamento. E’ la persona che deve decidere come si trattano i dati, che ha il compito di controllare che le norme vengano rispettate e vigilare che sulla protezione dei dati. Non è necessariamente un esperto che deve entrare nel merito tecnico della questione, ma è quello che decide la politica aziendale sul trattamento dei dati.
Il titolare, attraverso una nomina scritta, un contratto o un altro atto con valore giuridico, deve nominare un responsabile del trattamento dei dati. Questa seconda persona di norma è quella che ha le competenze tecniche per gestire le informazioni e sceglie anche i programmi o i servizi da usare.
Una novità introdotta dal GDPR europeo, la nuova normativa che aggiorna in maniera importante le regole UE, introduce per la prima volta la figura di uno o più sub-responsabili al trattamento, nominati dal responsabile, anche in questo caso tramite un documento ufficiale.
Come organizzare un trattamento dei dati che piaccia alla legge
Ora che abbiamo capito cosa sono i dati personali e chi li deve gestire, impariamo come definire una procedura di trattamento delle informazioni.
Il primo elemento da cui partire è un’analisi della natura dei dati e del contesto aziendale, assieme alle finalità di questo trattamento.
Ad esempio un’azienda che conserva i dati dei clienti da richiamare per vendere dei mobili, avrà dei dati di una natura e con una finalità diversa rispetto ad un portale di affiliazione che vuole rivendere i dati ad aziende terze o che fa pubblicità mirata.
Quindi dovete stabilire quali dati avete, e a cosa vi servono.
Stabilito questo, potrete definire nel concreto la procedura del trattamento dei dati.
Questo trattamento consta di una serie di fasi identificabili che sono:
- la raccolta
- la registrazione
- l’organizzazione
- la strutturazione
- la conservazione
- la modifica
- l’estrazione
- l’uso
- la comunicazione a terzi
- il raffronto
- la limitazione
- la cancellazione.
Dovrete quindi fare un lavoro interno all’azienda, per arrivare a stabilire esattamente ognuno di questi punti, come viene fatto, da chi e con quali servizi. Quando avrete chiaro come si svolge questo processo, con quali strumenti tecnici lo farete, con quali software e con quali tempi, avrete definito la vostra modalità di trattamento dei dati.
Non possiamo dirvi a priori qual è la procedura migliore, ma se volete essere il più certi possibile che la vostra modalità di trattamento dei dati sia gradita dal regolamento, potete seguire quattro principi sulla protezione dei dati che vi mettono al sicuro.
Minimizzazione – Per minimizzazione si intende la raccolta dei dati strettamente necessari allo scopo che avete. Evitate di raccogliere più dati di quelli che vi servono: già questo è un buon punto di partenza.
Pseudonimizzazione – Si tratta di un processo in cui i dati strettamente personali di un utente vengono separati da quelli utili a comprendere il suo comportamento.
Per esempio, se degli utenti del vostro e-commerce ignorate le vie dove abitano o il loro indirizzo IP, ma guardate semplicemente che cosa hanno acquistato nel tempo, state pseudonimizzando i dati.
La legge del GDPR non considera questi dati come “anonimi” perché mettendoci un po’ di buona volontà si possono “ricollegare” i dati all’identità. Però più tempo ci vuole per riunire e ricostruire i dati, e più i dati sono pseudonimizzati. E tanto più riuscite ad operare questa pseudonimizzazione, tanto più vi avvicinate alle norme.
Cifratura – La cifratura dei dati, operazione che rende i dati personali illeggibili al di fuori della vostra azienda, è una soluzione fantastica. Perché secondo la legge, in caso di violazione o furto dei dati, se questi sono cifrati, l’azienda non è tenuta ad informare gli interessati. E questo può risparmiarvi un grande lavoro e un danno di immagine notevole.
Anonimizzazione – Anonimizzare i dati significa prelevare degli elementi a voi utili ma scollegarli completamente e in maniera definitiva dalle informazioni personali.
In questo caso non è più possibile risalire, in nessun modo alla identità. E il bello è che se i vostri dati sono anonimi, e le persone non sono più identificabili, le norme in materia di protezione dei dati non sono più applicabili.
Riassumendo, quanto più prelevate i dati strettamente necessari a quello che vi serve, quanto più questi sono separati dalle identità, cifrati o addirittura anonimi, tanto meno come responsabili del trattamento dei dati, correrete rischi di violare la normativa.
Un punto importante: la gestione del rischio
Fino a questo punto, abbiamo spiegato come elaborare un trattamento dei dati quanto più sicuro dalle multe.
Ma il legislatore del GDPR ha scritto la normativa con una finalità ben precisa.
Vuole che le aziende si rendano conto che trattare i dati comporta dei rischi e che i titolari siano attivi nella protezione dei dati. Per questo motivo, ad un trattamento adeguato dovete aggiungere la consapevolezza del rischio e dei metodi per prevenirli.
L’azienda normalmente considera rischioso tutto quello che blocca la sua attività e il suo guadagno, ma la legge, in un senso più ampio, considera il rischio qualcosa di più attinente alla violazione del diritto e della libertà del cittadino.
I rischi principali relativi ai dati sono:
- la distruzione
- la perdita
- la divulgazione non autorizzata
- l’accesso accidentale o illegale da parte di persone non previste
Se volete essere sicuri di considerare i rischi in maniera adeguata potete fare riferimento ad un elenco che viene fuori spulciando la legge.
Il registro dei trattamenti – Innanzitutto dovete tenere un registro dei trattamenti, cioè dovete tenere traccia di come i dati sono stati trattati e gestiti nell’azienda.
Il DPO – Dovete nominare un DPO, Data Protection Officer, una persona specifica che si occupa solo della protezione dei dati, anche questa va nominata con un atto scritto.
Formazione del personale – E’ inutile che in azienda ci sia un solo esperto di questo argomento, e una pletora di dipendenti completamente ignari delle regole di sicurezza. Quindi investite qualche ora per formare il personale e soprattutto rendetelo dimostrabile con un attestato, o una certificazione di qualche azienda esterna.
All’interno di una legge collegata con il GDPR c’è anche un interessante elenco di adempimenti per la gestione del rischio che dovreste seguire per essere ragionevolmente sicuri di non poter essere multati.
- Vietare alle persone non autorizzate l’accesso alle attrezzature utilizzate per il trattamento
- Impedire che i supporti di dati possono essere letti, copiati, modificati o asportati da persone non autorizzate
- Impedire che i dati personali siano inseriti senza autorizzazione
- Impedire che i dati personali conservati siano visionati, modificati o cancellati senza autorizzazione
- Impedire che persone non autorizzate utilizzino sistemi di trattamento automatizzato mediante attrezzature per la trasmissione di dati
- Garantire che le persone autorizzate a usare un sistema di trattamento automatizzato abbiano accesso solo ai dati personali cui si riferisce la loro autorizzazione
- Garantire la possibilità di verificare quali dati personali sono stati introdotti nei sistemi, il momento della loro introduzione e la persona che l’ha effettuata
- Impedire che i dati personali possono essere letti, copiati, modificati o cancellati in modo non autorizzato durante i trasferimenti di dati personali
- Garantire che in caso di interruzione, i sistemi utilizzati possano essere ripristinati
- Garantire che eventuali errori di funzionamento siano segnalati e che i dati personali conservati non possano essere falsati da un errore di funzionamento
Mettete alla prova il vostro trattamento dati
Come fate a sapere che il trattamento dei dati che avete organizzato e che le misure per la protezione dei dati siano adeguate? Dovete controllare che il risultato del vostro lavoro rispetti una serie di ideali che la legge considera importanti.
Riservatezza – I dati devono essere protetti. Avete delle soluzioni, dei programmi, dei software, anche online, che proteggano i dati?
Integrità – Durante il trattamento, i dati rimangono integri? si perde qualcosa? è possibile che nel trasferire un file Excel con i dati, magari cambiando nel formato, si perdano degli elementi?
Disponibilità – La possibilità di accedere ai dati. Quanto è facile accedere ai dati? Se solamente il responsabile del trattamento dei dati è in grado di accedere alle informazioni, questi non sono molto disponibili. Se sono registrati su una pennetta USB e solo il titolare conosce la password, questi non sono ragionevolmente disponibili. Verificate che sia possibile raggiungere le informazioni in maniera abbastanza veloce.
Resilienza– La resilienza è la capacità di reagire ad eventi imprevisti. Immaginate un attacco hacker, un imprevisto in azienda o una richiesta massiccia di modifica dei dati. Sapete chi chiamare? siete organizzati? Quanto tempo ci mettete per rispondere ad un evento imprevisto?
Ripristino – Immaginate che per qualche motivo i vostri dati vengano perduti. Avete una copia di backup? Esiste un modo di recuperarli? Se il computer su cui sono registrati esplode, avete perso tutto?
GDPR: il documento di previsione d’impatto, l’asso nella manica
Tutto questo importante lavoro aziendale non deve essere solo svolto ma deve essere anche registrato.
Dovete essere in grado di dimostrare tramite un documento che vi siete preoccupati del trattamento dei dati personali. Questo documento si chiama “Valutazione di impatto”
La legge prevede che si scriva questo report nel caso in cui si introducano delle nuove tecnologie in azienda, se si fa una profilazione particolarmente invasiva degli utenti, o se si raccolgono dati su vasta scala, ma noi vi suggeriamo di preparare comunque una valutazione di impatto.
Serve a dimostrare che avete pensato ad una strategia per fare bene le cose. E può esservi molto utile in caso di contestazione. All’interno di questo documento bisogna inserire
- Descrizione dei trattamenti previsti e delle finalità
- Valutazione dei rischi correlata alla realtà della vostra azienda
- Misure di sicurezza previste
Tenete il documento aggiornato, sarà un asso della manica che potrete esibire per dimostrare la vostra buona fede nella protezione dei dati.
Il trattamento dati con il GDPR. E se le cose vanno male?
Nonostante tutti i vostri sforzi può essere che si verifichi una violazione dei dati. Uno di questi casi è il data breach. Ovvero quando un hacker buca il vostro sito e riesce ad accedere ai dati dei vostri clienti o ad altre informazioni sensibili.
In questo caso non vi venga minimamente in mente di tenere la cosa riservata: è estremamente rischioso. La legge prevede che entro 72 ore, notifichiate al Garante della privacy l’esistenza di un data breach nei vostri confronti.
In realtà la legge non ha ancora spiegato nei dettagli come bisogna fare questa comunicazione. E’ altamente probabile che il Garante si pronuncerà. Ma nel frattempo, registrate in ogni modo la volontà di comunicare al Garante il fatto.
Registrate le mail che gli spedite, inviategli il documento con la valutazione di impatto, registrate le telefonate che fate. Cercate di testimoniare la vostra piena volontà di rispettare la legge e comunicare la violazione dei dati personali.
Ovviamente la violazione dei dati comporta delle responsabilità. Concludiamo la nostra guida con il concetto di “Accountability”. Un termine inglese, inserito all’interno del GDPR, che sta ad indicare la responsabilità, e anche la punibilità di coloro che non si adeguano.
Le responsabilità. Chi finisce nei guai e quando?
Semplificando di molto la legge: il titolare del trattamento dei dati finisce nei guai se non ha mai previsto delle misure di protezione, non ha mai nominato un responsabile e se non è in grado di dimostrare la sua volontà di seguire la norma con dei documenti. In questo caso, risponde in proporzione al danno causato, che viene quantificato dal Garante.
Il responsabile del trattamento dei dati va nei guai nel momento in cui o non ha seguito le regole che sono stabilite dal titolare o se le ha seguite in maniera diversa da quanto scritto.
In alcuni casi, il titolare, il responsabile e i subresponsabili possono andare nei guai contemporaneamente se il titolare ha dato istruzioni insufficienti, il responsabile le ha attuate male e le ha fatte attuare in maniera insufficiente anche ai suoi subresponsabili.
In questo caso, sono tutti punibili in maniera uguale e compartecipano al risarcimento del danno, sempre stabilito dal Garante.