Formazione Privacy obbligatoria con il nuovo Regolamento Ue GDPR/18

regolamento-GDPR

Il 25 Maggio 2018 entrerà in vigore il nuovo Regolamento europeo in materia di “Data Privacy”

Nel Regolamento GDPR/18 si definisce Dato Personale “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […] come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”.

Imprese ed enti pubblici sono ancora impreparati ad accogliere le novità in vigore da maggio 2018, con il nuovo “General Data Protection Regulation” – GDPR (Regolamento generale sulla protezione dei dati personali).
Questo post ha come scopo quello di fornire le informazioni che occorrono per essere in regola.
Ed infatti, iniziamo subito col dire che non ci sono alibi che tengano, perché:

1.       il GDPR è un Regolamento, non una Direttiva, il che significa che non necessita di una legge nazionale di recepimento: è immediatamente esecutivo;

2.       il GDPR è stato approvato il 24 maggio 2016. Non richiede ulteriori approvazioni;

3.       il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018 solo per consentire alle organizzazioni pubbliche e private di adeguarsi. Non vi saranno rinvii.

Come cambia la protezione dei dati?

Partiamo dal presupposto che il “Regolamento generale sulla protezione dei dati personali” nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Non solo. Si tratta inoltre di una risposta, necessaria quanto urgente, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto dei bisogni di tutela dei dati personali sempre più avvertiti dai cittadini Ue.

Molte sono le novità introdotte dal Regolamento Ue 2016-679, noto con l’acronimo “GDPR” – General Data Protection Regulation, sulla protezione dei dati personali, tra cui:

·         norme unificate per garantire certezza giuridica e protezione dei dati in tutta l’Unione europea;

·         stesse norme per tutte le imprese che offrono servizi nella Ue (anche con sede extra-Ue);

·         più diritti per i cittadini, tra cui informazione e accesso;

·         portabilità dei dati, ovvero i cittadini avranno la possibilità di trasferire i propri dati da un’impresa all’altra;

·         maggiore protezione contro le violazioni;

·         norme rigorose nonché multe dissuasive, fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale.

Entrerà in vigore il prossimo 25 maggio e sarà applicato a tutte le imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.
Questa normativa obbliga le organizzazioni ad assumersi maggiori responsabilità sui dati degli utenti che raccolgono e a compiere ogni sforzo possibile per proteggerli: dall’obbligo di redazione del registro dei trattamenti alla nomina del Data Protection Office; dalla sicurezza dei dati personali all’obbligo di notifica delle violazioni di sicurezza dei dati personali (data breach) entro 72 ore all’Autorità di protezione dei dati.
È necessario che ogni Amministrazione assolva ai propri compiti in modo conforme al nuovo quadro legislativo, considerando la frequenza con la quale la stampa e i criminali informatici stessi divulgano notizie riguardanti le perdite di dati sensibili; diviene quanto mai importante non farsi trovare impreparati per questa importante data.

Per aiutare le Pmi a conformarsi al nuovo Regolamento Ue sulla Privacy, Bruxelles destina 2 milioni di euro in misure ad hoc e pubblica online nuovi materiali informativi per cittadini e imprese.

Quali sono gli obiettivi del Regolamento?

Gli orientamenti Ue del nuovo GDPR sono:

·         libera circolazione dei dati;

·         tutela della vita privata;

·         rafforzamento della fiducia dei consumatori;

·         sicurezza dei consumatori.

Le regole del GDPR da applicare in azienda non dipendono dalla dimensione dell’impresa ma dalla tipologia di attività: quelle che prevedono l’utilizzo dei dati sensibili richiedono l’impiego di maggiori accorgimenti per tutelare la privacy.
La protezione dei dati riguarda i cittadini, non le imprese (per i quali vi sono altre normative). Però, ci sono casi in cui, ad esempio, l’informazione su un’impresa individuale possa in realtà rappresentare dati sensibili per l’imprenditore, che è una persona fisica e in tal caso, quindi, si applica il Regolamento GDPR.

Alcune regole fondamentali che le imprese devono rispettare?

·         Regole chiare e trasparenti sul modo in cui utilizzano i dati; dev’esserci un motivo specifico, legato all’attività, per cui l’impresa ha bisogno dei dati, motivo che deve essere dichiarato.

·         I dati devono essere sempre accurati e aggiornati.

·         I dati non possono essere conservati per un periodo più lungo del necessario.

·         L’azienda deve dotarsi di tecnologie e misure di sicurezza adeguate alla protezione dei dati.

GDPR/2018, le nuove norme nell’ambito del Marketing 

Le aziende che trattano e gestiscono i dati devono rivedere i sistemi per essere “compliant” con il nuovo regolamento GDPR e questo ha, chiaramente, un impatto sia sulla customer experience sia sul modo stesso di fare digital marketing.
La normativa, infatti, interesserà molteplici aspetti delle normali attività aziendali: anzitutto sicurezza e privacy delle informazioni e controllo dei lavoratori, ma anche le politiche di marketing.

Il marketing “studia” 4 oggetti: il prodotto (inteso come oggetto fisico e relativa confezione); il prezzo (a quale somma vendere il prodotto); il posizionamento (identificazione e gestione dei canali distributivi); la promozione (scelta degli strumenti per entrare in contatto con i potenziali acquirenti).

Il nuovo Regolamento avrà un forte impatto sulle attività di marketing, diretto e digitale: ciascuno dei suoi quattro ambiti operativi, in effetti, è fortemente condizionato dalla disponibilità di dati non solo statistici ma anche, se necessario, personali.
Siccome la definizione di una corretta strategia di marketing è cruciale rispetto al successo di una campagna pubblicitaria, è evidente che il primo interesse di chi raccoglie i dati necessari è che questi siano attendibili, veritieri e aggiornati; proprio in questo senso, c’è una perfetta coincidenza fra le necessità industriali e le prescrizioni normative.

Per cui, “fare marketing” – dopo il 25 maggio 2018, momento in cui il nuovo Regolamento europeo entrerà in vigore – senza prendere in considerazione le novità normative è impossibile e altamente rischioso.
Il GDPR impatta tutte le fasi di marketing , partendo dalla raccolta e gestione dei dati di clienti e potenziali clienti: dalla fase iniziale in cui l’utente, interessato al sito web aziendale, è ancora anonimo, per proseguire in tutti i tracciamenti effettuati utilizzando i cookies, fino alla gestione di veri e propri dati personali, forniti in maniera spontanea dagli utenti nelle successive fasi di registrazione nei sistemi aziendali di marketing e amministrativi.

Ecco perché è impossibile trascurare la formazione su questi temi, per poter valutare in anticipo cosa e come modificare nelle procedure.

In estrema sintesi, con il GDPR:

·         è stata introdotta la responsabilizzazione dei titolari del trattamento – accountability – (principio di “responsabilizzazione”);

·         è stato adottato il “Registro dei trattamenti di dati personali”. L’azienda deve comprendere l’importanza e il valore dei dati, nonché gli ingenti danni economici legati a una perdita di informazione (“Data breach”);

·         è stata prevista la figura del “Responsabile della protezione dei dati” (“Data Protection Officer” -DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti;

·         c’è il Diritto all’oblio: la richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati, comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano;

·         sono stabilite norme rigorose nonché multe dissuasive, fino a 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale.

GDPR compliant: come diventarlo?

Detto tutto ciò, il nuovo Regolamento Privacy introduce l’obbligo della formazione a tutti i livelli, all’interno di società e Pubbliche Amministrazioni. Chi non si adegua rischia grosse sanzioni. La formazione costituisce, pertanto, un prerequisito per poter operare all’interno delle organizzazioni, imprese e P.A.
La Formazione dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare e pragmatico e riguardare tutti i soggetti ed essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche da adottare, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato dalle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, la rilevante sanzione amministrativa pecuniaria.

L’adempimento degli obblighi formativi è spesso oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza, che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.