GDPR e PMI. La Commissione Europea lancia una campagna di comunicazione rivolta alle aziende: è ora che, in vista del 25 maggio 2018, il tessuto imprenditoriale comprenda l’importanza del Nuovo Regolamento per la Protezione dei Dati.
GDPR e PMI: Tocca anche me?
Da maggio 2018 diventeranno attuative regole migliori e più stringenti sulla gestione dei dati condivise da tutti gli stati membri dell’Unione Europea. Qualunque azienda che raccolga, archivi e usi dati personali deve porsi il problema di capire se e come debba adempiere al GDPR. Sia che lo faccia direttamente, sia che abbia incaricato Terzi di farlo in suo nome.
La prima riflessione va fatta sulle informazioni relative ai dipendenti. A seguire ci si deve domandare se si “trattano” dati relativi ad altre persone: fornitori o clienti, per esempio. Certamente devono essere sensibilizzate le imprese che lavorano in ambito B2C online e offline. PA, Sanità pubblica e privata, Assicurazioni e Banca e Finanza, che tradizionalmente gestiscono una mole considerevole di dati personali, non potranno esimersi.
Industria e servizi PMI maggiormente interessate dal GDPR
In Italia sono 40.000 sono le imprese censite che operano attraverso l’e-commerce e sono in crescita costante; ciò implica necessariamente l’acquisizione di dati personali di diverso genere. (sole24ore). Ci sei anche tu?
I settori maggiormente dediti all’e-commerce sono quelli dell’ Abbigliamento (+25%), Informatica ed Elettronica (+22%), Editoria (+16%) e Turismo (+11%). Arredamento&Home living (+39% per un controvalore vicino ai 570 milioni di euro) e Food&Grocery (+29% poco oltre i 530 milioni di euro) sono i settori emergenti legati al Made in Italy.
Ogni anno poi cresce di circa il 58% l’utilizzo di mobile app da parte dei cittadini (Primaonline) specialmente nei settori Personalizzazione (Emoji), Produttività (produzione video), sport, salute e wellness, news, musica, media, intrattenimento, viaggi, messaging e social, giochi,… e questo vuol dire cessione e acquisizione di dati! Forse anche tu hai fatto sviluppare una app per sostenere il tuo business?
Ci sono poi le aziende di sviluppo software e servizi ICT che operano tradizionalmente nel canale B2B, ma gestiscono infrastrutture e applicazioni per i loro clienti, magari B2C, e dunque si ritrovano di fatto ad essere in seconda battuta “responsabili esterni” del trattamento dei dati acquisiti, elaborati ed archiviati per conto dei loro clienti.
Per tutte queste ragioni, GDPR e PMI è un binomio da non sottovalutare.
Tratti dati personali?
Semplificando ecco le categorie di dati che sono da intendersi come “personali” e dunque soggetti al GDPR:
- Nome
- Indirizzo
- geolocalizzazione
- Reddito
- Indirizzo IP (identificazione online)
- Dati sanitari
- Profilo culturale
…e molti altri.
Se la tua azienda acquisisce, archivia, elabora o usa questo genere di dati o lo fa per conto di Terzi, allora dovrà organizzarsi per essere “in regola”.
Perché le regole sono cambiate?
La Commissione Europea mette l’accento su due punti che le PMI possono ben comprendere:
- Fiducia
- Digital Divide.
A fronte della enorme quantità di dati che i cittadini trasferiscono online, solo il 15% di loro ha fiducia nella sicurezza e crede di poter esercitare il pieno controllo su questi dati.
Un così scarso livello di fiducia nelle vecchie regole sulla Privacy, sta causando un rallentamento dello sviluppo dell’economia digitale e dunque anche del business delle aziende.
Per questo è stato deciso di dare a tutti i paesi e dunque a tutte le aziende un unico regolamento comune e più semplice, che riduca i costi, non sia più d’ostacolo alla competitività in Europa e verso il mondo e, in breve, favorisca la crescita innalzando il livello di fiducia del consumatore.
La Commissione stima in 130 Mio di euro il costo sostenuto dalle imprese per gestire le 30 diverse Autorità Garanti della Privacy sotto la vecchia legge e in 2,3 Mld il vantaggio di avere una unica legge per tutti.
PMI e GDPR: cosa devono fare le aziende
Partendo dal presupposto che siamo di fronte ad un regolamento che mette al centro i diritti del cittadino e dètta delle linee di comportamento virtuose alle imprese, bisogna pensare che tutte le azioni vanno calate nella specificità della propria realtà e, in caso di controlli (ne parliamo più sotto), farà la differenza l’aver documentato e giustificato le azioni intraprese o l’eventuale decisione di NON intraprenderle.
Ecco 9 ambiti di cui preoccuparsi in fase di analisi e compliance:
- Comunicazione
- Consenso
- Accesso e portabilità
- Notifica
- Diritto all’oblio
- Profilazione
- Marketing
- Dati sensibili
- Portabilità dei dati fuori dalla UE
Proteggere i dati con un approccio Data Protection By design
Le aziende devono garantire la Data Protection by design, ovvero mettere in campo tutte le azioni necessarie ed adeguate per garantire la sicurezza di prodotti o servizi e dunque dei dati personali o sensibili ad essi connessi.
Se tratti dati per conto Terzi, assicurati di avere predisposto dei contratti che definiscano in modo preciso le responsabilità!
Dotarsi di un Data Protection Officer interno o esterno
Consigliato sempre, ma obbligatorio se tratti dati personali su larga scala per profilare i tuoi clienti online o gestisci dati genetici e sanitari per un ospedale.
Tenere un Registro dei Trattamenti
E’ obbligato a tenere un Registro dei Trattamenti chi tratta dati personali continuativamente, se può rappresentare una minaccia alle libertà e ai diritti dei cittadini, se si trattano dati sensibili o di rilievo per la Giustizia.
Tenere in ogni caso un Registro sarebbe buona prassi e agevola, accelerandoli, eventuali controlli.
Eseguire un impact assessment
Questa attività viene consigliata fortemente in tutti i casi di trattamento del dato a rischio elevato, ovvero in presenza di nuove tecnologie, trattamento su larga scala, elaborazione automatizzata di dati personali, trattamento di dati sensibili (per esempio i dati biometrici).
Da esperti in risk management, i broker di Margas consigliano di effettuare questa attività comunque ed estenderLa dal focus GDPR a Business Impact Analysis (BIA): verifica dello stato di salute generale della mia sicurezza informatica e di come il sinstro ICT potrebbe impattare sul business.
GDPR e PMI: E se non sono in regola? Non solo sanzioni
Il sistema prevede che le autorità di ogni paese siano responsabili di attività di monitoraggio e controllo della compliance al GDPR e le PMI devono fare i conti con un sistema sanzionatorio in caso di rilevazione di grave violazione.
Tuttavia esiste una gradualità ed una discrezionalità: segnalazione, nota di richiamo, sospensione dell’attività di trattamento dei dati ed infine la sanzione.
Quest’ultima, a sua volta, a seconda del tipo di non conformità o di data breach e di come le attività sono documentate potrà avere diversa intensità: fino ad un massimo di 20 milioni di euro o il 4% del fatturato annuo mondo.
Per queste ragioni e perché vuoi rendere la tua azienda sicura, responsabile e competitiva
Per ulteriori approfondimenti su General Data Protection Rules (GDPR) puoi leggere lo SPECIALE GDPR della rivista Office Automation di Soiel. 53 pagine di approfondimenti. A pagina 47 trovi anche il nostro publiredazionale: una pagina di intervista a Cesare Burei, Co-Amministratore di Margas, per spiegare l’utilità di affiancare al processo di adeguamento al GDPR una strategia assicurativa.
