Il tempo stringe e ora più che mai si parla di adeguamento al GDPR, la nuova normativa sulla protezione dei…

Il tempo stringe e ora più che mai si parla di adeguamento al GDPR, la nuova normativa sulla protezione dei dati personali a cui tutti, volenti o nolenti, dovremo aderire entro il 25 maggio 2018.

Cos’è il GDPR e perchè è obbligatorio

Il Regolamento UE 2016/679 è di grande interesse perché riguarda uno dei temi più cari alle aziende: la privacy.

Succede infatti che nella società odierna le informazioni sui clienti e su ogni aspetto della loro vita, anche il più intimo, vengono abusati o dispersi nel web, sfuggendo al controllo dei soggetti interessati. In tutta riposta, il diritto europeo sancisce nuovi obblighi che ciascuno di noi dovrebbe conoscere per riorganizzare la gestione dei dati dal 25 maggio in avanti.

Soffermiamoci sugli aspetti più significativi della normativa in esame.

Il GDPR prevede che il trattamento dei dati personali sia lecito solo se fondato su un’idonea base giuridica e indica, tra le possibili condizioni di liceità del trattamento, il consenso espresso dall’utente.

Ma facciamo un passo indietro: cosa significa “consenso”?

Il consenso viene oggi definito dall’articolo 4 (11) del Regolamento come

«qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Il Regolamento – in linea con quanto già prescritto dal Codice Privacy – richiede quindi che il consenso sia libero, specifico, informato e inequivocabile, oltre  che espresso mediante una dichiarazione o una azione positiva indubitabile. In generale rimane dunque inammissibile un consenso solo tacito o presunto (mediante, ad esempio, caselle preselezionate).

Quanto ci costerà l'adeguamento al GDPR?

Dobbiamo quindi richiedere le preferenze al nostro database di contatti, che saranno puntualmente registrate e conservate. Spetta alla singola azienda il compito di valutare quali informazioni tracciare, così come le concrete modalità di conservazione delle stesse.

Nei casi più frequenti di form online, ad esempio, un titolare che raccoglie consensi potrebbe tracciare il log di ogni azione di spunta del consenso compiuta dai contatti, nonché l’indirizzo IP e URL della pagina di acquisizione, ricollegando tale azione alla versione dell’informativa pubblicata sul sito in quel momento.

Cosa significa per chi tratta i dati?

Acquisire un consenso validamente espresso significa essenzialmente:

  1. fornire un’informativa adeguata, chiara, accessibile e completa agli utenti;
  2. raccogliere dati personali pertinenti e limitati alle finalità per le quali sono trattati;
  3. essere in grado di fornire evidenza del consenso prestato dagli interessati ad uno specifico trattamento.

L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati.

Il GDPR amplia l’elenco tassativo dei contenuti dell’informativa agli artt. 13 e 14, rispetto alla normativa previgente. Ad esempio, il titolare deve sempre specificare la base giuridica del trattamento, quale è il suo interesse legittimo e se trasferisce i dati personali a soggetti terzi.

Quanto ci costerà l'adeguamento al GDPR?

Sempre nell’ottica di effettuare un trattamento corretto e trasparente, il titolare è anche tenuto a specificare:

  • il periodo di conservazione dei dati,
  • il diritto per l’interessato di presentare reclamo all’autorità di controllo,
  • qualora il trattamento comporti processi decisionali automatizzati (compresa la profilazione), l’informativa deve specificarlo indicando la logica con cui vengono svolti e quali sono le conseguenze per l’interessato.

L’informativa deve essere data per iscritto o con altri mezzi (anche elettronici) e deve essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile, oltre che redatta in un linguaggio semplice e chiaro. Per facilitare la lettura la normativa GDPR ammette l’utilizzo di icone standardizzate, definite dalla Commissione europea.

Come comunicare eventuali modifiche all’informativa?

Le modalità per comunicare ai soggetti interessati eventuali modifiche apportate all’informativa sono molteplici e discrezionali, salvo il raggiungimento dell’obiettivo stabilito.

Alcuni esempi ammessi:

  • utilizzo di banner e/o pop-up sul sito web;
  • comunicazione one-to-one via e-mail, SMS, notifica push, e via dicendo;
  • avviso specifico su App mobile e/o nel pannello di login dell’utente.

I costi di adeguamento al GDPR

Secondo un’indicazione di Agenda Digitale, il valore medio di investimento delle aziende interessate per adeguarsi al GDPR era nel 2016 di € 349.000, mentre nel 2017 è salito a € 480.000. Non esistono statistiche in merito alla spesa media delle imprese italiane, tuttavia una PMI con un fatturato non superiore ai 5 milioni sarà difficilmente in grado di investire più di € 50.000 per l’adeguamento e oltre € 25.000 per la gestione ordinaria degli adempimenti previsti dal GDPR.

Una capacità di investimento così limitata porta inevitabilmente a scelte sommarie in relazione al processo di adeguamento al GDPR. Alcune aziende si stanno limitando ad un allineamento formale, più che sostanziale, della normativa. Altre invece stanno cogliendo l’occasione per riorganizzare le proprie infrastrutture IT inadeguate da tempo (anche rispetto alle misure minime previste dal Codice Privacy).

Il risultato? Il 78% delle aziende italiane non è ancora pronto per il GDPR e difficilmente lo sarà entro il 25 maggio 2018.

Finora abbiamo parlato di adeguamento al GDPR, ma quanto costerà non adeguarsi?

Ci sono diverse fattispecie per la violazione della normativa GDPR, spaziando da una mera diffida amministrativa a sanzioni fino a 20 milioni di euro.

Va da sé che nessuna società, anche la più tecnologicamente “pigra”, potrà permettersi di prescindere da un trattamento idoneo, adeguato e sicuro del dato personale dei propri clienti.

A buon intenditor…