Privacy, questa desiderata sconosciuta

06/04/2018
Project Leader

Sembra impossibile oggi eppure la possibilità di “sparire” è finalmente realtà, almeno online, almeno in Europa.

L’articolo 17 del nuovo Regolamento Europeo sulla Privacy, il GDPR - General Data Protection Regulation - riconosce la libertà di un individuo ad essere dimenticato.

Il diritto all’oblio è solo una delle nuove regole atte a garantire più diritti per tutti, previste dal Regolamento, che si applicherà a decorrere dal 25 maggio 2018 in ciascuno degli Stati membri.

Tra i diritti introdotti, ad esempio, compare quello di rettifica che permetterà all’interessato di far modificare o cancellare i propri dati in caso di errore, trasferimento o licenziamento. Unica eccezione sarà fatta per i documenti sottoposti a diritto di cronaca o ad adempimenti di obblighi legali. Questo significa che ogni società, in qualsiasi parte del mondo, che ha nei propri database informazioni private di cittadini europei, è vincolata alle stesse regole. Sono quindi coinvolte società di qualsiasi dimensione, che siano esse PMI o multinazionali. Nessuna è esonerata.

Il regolamento recita che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona”.

Quindi le società cosa devono fare? Buone notizie per le PMI italiane: i registri sui dati non dovranno essere tenuti dalle imprese con meno di 250 dipendenti. Saranno però obbligatori per imprese ed organizzazioni, indipendentemente dal numero di dipendenti, se il trattamento non avvenga in maniera occasionale o includa categorie particolari.

Due i principi importanti da tenere a mente: il privacy by design ed il privacy by default.

Il primo impone che, fin dalla fase di progettazione, i creatori di prodotti, servizi e siti internet dovranno tener conto del diritto alla protezione dei dati.

Se prima il consenso al trattamento dei dati personali rappresentava una fase marginale della progettazione, ora la privacy diventa l’obiettivo della stessa. Il ruolo del designer, in questa fase, acquisisce un peso maggiore: dovrà, infatti, dare all’utente la possibilità, a seguito dell’inserimento di ogni singolo dato, di rivendicare sulla società il suo diritto di proprietà sullo stesso. L’utente potrà quindi richiedere la visualizzazione del dato trattenuto, l’eliminazione o la limitazione del trattamento dello stesso.

Il principio di privacy by default, invece, richiederà al titolare di accertarsi di trattare solo i dati necessari per raggiungere le sue specifiche finalità, obblighi che valgono sia per la quantità, la conservazione e l’accessibilità.

Infine, dal 25 maggio, le società non potranno più consentire l’accesso ai dati personali o ai dispositivi, che li contengono, a un numero indefinito di persone. Per non arrivare impreparati a questa data, ci sono degli accorgimenti che ogni società può attuare nell'immediato: come prima cosa è utile valutare accuratamente gli attuali processi di utilizzo e salvataggio dei dati dei propri clienti, in modo tale da identificare le aree di alto rischio e correggere eventuali aree problematiche, non meno importante è l'educazione dello staff interno all'azienda. Sebbene la maggior parte delle responsabilità ricada sul personale di sicurezza, chiunque gestisca le informazioni, come nuovi clienti o utenti, chi gestisce sistemi CMR e il personale che si occupa di data entry, deve essere istruito sul GDPR.

Altri accorgimenti saranno non solo utili, ma aiuteranno successivamente lo svolgimento del lavoro nella sua quotidianità. Quali? Creare strumenti che garantiscano la privacy attraverso soluzioni di pseudonimizzazione e lavorare con fornitori di terze parti, che sono conformi a GDPR, come, ad esempio, il proprio fornitore di servizi di posta elettronica, il proprio sistema CRM e le agenzie di marketing e PR cui ci si appoggia.

Cosa significa? Che sta per avere inizio una riorganizzazione sostanziale all’interno dei sistemi informatici, e non, di tante aziende in tutta Europa, e non solo, tra cui la nostra.