Adeguamento al GDPR: come funziona

Il GDPR è come la Bibbia: tutti fingono di conoscerlo, ma nessuno l’ha mai letto tutto.

Si impara giusto qualche citazione da spendere nei salotti buoni, come la necessità dell’adeguamento al GDPR, o che stiamo parlando di “privacy”, ma poco altro.
Poi, però, all’avvicinarsi dei temibili controlli, arriva il terrore: basteranno la privacy policy e il banner che appare sul sito? Cos’altro devo fare? Cosa vuol dire tutelare la privacy dell’utente e come posso concretamente  farlo? La tanto sbandierata multa dal 2 al 4% del fatturato incute qualche timore.

Facciamo un passo alla volta.

Cominciamo sciogliendo la sigla: GDPR sta per General Data Protection Regulation, il regolamento europeo sulla protezione dei dati, pubblicato nel maggio 2016 ed entrato in vigore dal 25 maggio 2018.
Delle 4 lettere che compongono l’acronimo, se riuscite a ricordarne solo una, scegliete la “P”: protezione. Questo è infatti il nocciolo della questione. Le imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea devono garantire una serie di diritti all’utente che entra in contatto e condivide i propri dati con loro, tra cui: il diritto all’oblio, la portabilità dei dati e l’obbligo di notifica in caso di violazione dei dati.

Le norme si applicano dunque a tutte le imprese che hanno come mercato di riferimento la Ue. Detto in altre parole: spostare la vostra azienda in Cina non vi salverà se offrite i vostri servizi a uno dei paesi membri.

Un altro mito da sfatare subito è la possibilità di eludere l’argomento: non si può.
Nella società dell’informazione la mera esistenza dei dati personali “là fuori” è un dato di fatto imprescindibile quanto la legge di gravità o il pi greco.

Dal sapere al saper fare: adeguamento al GDPR

Avere un’idea più precisa della regolamentazione, però, non significa sapere come portare avanti il processo di adeguamento al GDPR.
Nonostante i due anni dalla pubblicazione in gazzetta ufficiale e  ulteriori 6 mesi lasciati come periodo di tolleranza dall’entrata in vigore del nuovo regolamento europeo, alcune delle grandi e piccole aziende non hanno ancora adeguato la propria piattaforma alle nuove direttive.

Il passo successivo, per tutti, sarà essere informati sulla necessità di mappare i processi, ma per fare questo servono team multidisciplinari: la regolamentazione va studiata in modo approfondito, perché un uso non etico dei dati personali, anche se ottenuto su consensi più o meno legittimi – attraverso form e mail più o meno trasparenti – sarà sempre considerato illegale.

Non è sufficiente cercare di sistemare tutto “alla buona” per ottenere un consenso attraverso due step, se a questo non segue il giusto trattamento dei dati, un’informativa chiara e la possibilità, per l’utente, di intervenire sui propri dati in ogni momento. Il consenso non può essere preso “alla leggera”. L’utente deve essere consapevole di aver ceduto i dati e deve essere a conoscenza delle misure prese dall’azienda per tutelarli.

Il cuore del GDPR risiede nel concetto che i dati personali, per il ruolo fondamentale che giocano nell’economia e per il loro valore intrinseco, devono essere tutelati attraverso l’aderenza alle regole del GDPR stesso. Proprio per questo viene identificata una nuova figura: il DPO, data protection officer nella dicitura originale, o RPD, responsabile per la protezione dei dati nella versione italiana, incaricato di fare da punto di contatto tra tutte le parti in causa.