NUDI ALLA FINESTRA… VERSO IL FUTURO
Siamo preparati alla nuova normativa sulla privacy?
di Avv. Pietro Anselmi
26 febbraio 2018
Cari Signori, il 24 maggio si sta avvicinando a grandi passi.
Non ve lo dico per ricordare il Piave, come pure sarebbe doveroso, ma perché il 24 maggio sarà l’ultimo giorno in cui la disciplina della privacy rimarrà quella che conosciamo ormai dal 2003.
Dal 25 maggio, infatti, sarà applicabile nel nostro Paese il Regolamento dell’Unione Europea n.° 679/2016(il cosiddetto GDPR: General Data Protection Regulation), che imporrà grandi cambiamenti all’intera materia della protezione dei dati personali. Come norma di livello superiore, si sovrapporrà al nostro Codice della Privacy, prevalendo in ogni caso di conflitto. Nelle altre parti il Codice della Privacy resterà in vigore (con tutte le conseguenti necessità interpretative).
Del famigerato GDPR si è fatto un gran parlare nei due anni che hanno preceduto la sua applicabilità, spesso anche a sproposito, purtroppo, da parte di coloro che lo hanno visto come l’occasione per inventare un nuovo business aggressivo e talvolta raffazzonato, creando una sorta di clima di terrore ed autoproclamandosi detentori di esoteriche nozioni in materia.
Altri, invece, lo hanno considerato come l’ennesima norma destinata a rimanere solo sulla carta, salvo poi far notizia per qualche caso di sanzione tanto eclatante da finire sui giornali (utilizzando l’assurdo ed azzardato approccio del “tanto –speriamo – non toccherà a me”).
Posizioni entrambe sbagliate: il GDPRnon è un mostro con tre teste, né una norma inutile, ma un sacrosanto presidio a tutela di tutti noi, nonché una eccellente opportunità per le nostre attività professionali ed aziendali.
– Osserviamo la realtà.
Negli ultimi venti o trenta anni siamo passati dall’utilizzare il computer come una “macchina da scrivere un po’ più complicata” sino ad avere ciascuno almeno due o tre dispositivi (pc, smartphone, tablet…) connessi con il mondo intero, nei quali conserviamo tutti i nostri dati più importanti, dalle foto dei figli alle credenziali di accesso al conto corrente bancario.
Nelle periferiche che utilizziamo per la nostra attività conserviamo i dati dei nostri clienti e tutti siamo a nostra volta clienti di qualcuno, che conserva i nostri dati nei suoi sistemi informatici.
Siamo sicuri che i soggetti ai quali abbiamo scelto di consegnare i nostri dati abbiano chiara la differenza tra computer connesso alla rete mondiale e macchina da scrivere?
Siamo sicuri che i nostri dati siano protetti adeguatamente?
Siamo sicuri che i nostri dati non vengano rivelati ad altri per gli scopi più svariati?
Avete mai pensato cosa potrebbe vedere il soggetto che entrasse in possesso del nostro cellulare o del nostro computer portatile? Avete attivato le password di accesso? Avete criptato i dati? Sapete che tutte le mail passano in chiaro attraverso il web e sono tutte teoricamente leggibili da chiunque fosse in grado di conoscere il vostro IP? Vi sembra che vada bene tutto questo?
Tutti i sistemi sono vulnerabili, potrebbero cioè essere attaccati affinché i dati che contengono siano conosciuti da soggetti ai quali non li avevamo consegnati, o siano distrutti o resi inutilizzabili.
Presi dall’entusiasmo per la comodità – innegabile – delle nuove tecnologie, non ci siamo resi conto che ci stavamo letteralmente esponendo (ora si spiega il titolo…) senza protezione alcuna ad una tempesta informatica ed informativa di proporzioni enormi, ponendoci letteralmente in balia del primo che si fosse inventato una qualche utilità dalla conoscenza di una determinata informazione che ci riguarda.
Vi è mai capitato di ricevere comunicazioni commerciali su un recapito personale da parte di soggetti ai quali non lo avevate mai fornito? E di scoprire che quei soggetti sapevano benissimo che vi piacciono i SUV o le vacanze sulla neve? Io faccio l’avvocato e nessuno mi ha mai chiamato per propormi di acquistare un tornio. Perché?
Perché ormai siamo tutti classificati.
Qualcuno ha venduto (o si è fatto sfuggire) le nostre informazioni ad altri che le hanno utilizzate per i loro scopi: il tutto più o meno legittimamente, in base anche al consenso che abbiamo più o meno consapevolmente prestato.
In questo contesto, una nuova e migliore normativa in tema di protezione dei dati personali deve senz’altro essere vista come una buona garanzia, ma soprattutto come un’importante opportunità.Potremo essere tutti un po’ più sereni per la sorte dei nostri dati e potremo tutti offrire ai nostri clienti maggiori garanzie.Ce lo dobbiamo e lo dobbiamo loro.
– Le principali innovazioni del GDPR
La nuova normativa ha il pregio di cambiare l’approccio alla materia, responsabilizzando il titolare del trattamento, cioè il soggetto al quale conferiamo i nostri dati per un determinato scopo, ed imponendo che il trattamento dei dati venga reso sicuro già in fase di progettazione del trattamento stesso (si parla di questi concetti anche con i termini “accountability” e “privacy by design”).
Non vi sarà più un elenco delle misure minime di sicurezza, adottate le quali ci si possa considerare “adempienti” per la legge (e pertanto non rispondere di eventuali violazioni dei dati o non subire sanzioni).
Il titolare del trattamento dovrà poter dimostrare di aver valutato i rischi ed aver adottato le misure adeguate. Caso per caso, al passo con le tecnologie disponibili ed in proporzione al contesto.
Altrimenti paga: sanzioni e risarcimenti.
Ogni violazione dei dati (data breach) dovrà essere notificata al Garante ed agli interessati (i soggetti titolari dei dati).
Immaginiamo quale impatto sull’immagine di un’impresa potrebbe avere il dover comunicare ai propri clienti di non aver protetto adeguatamente i loro dati.
– Le opportunità offerte dal GDPR
Se tutti dovremo riprogettare in prospettiva di massima sicurezza il trattamento dei dati che facciamo per svolgere le nostre attività, avremo l’occasione di razionalizzare ed ottimizzare i processi, così da rendere sempre più efficienti le nostre imprese.
Potremo finalmente avere l’occasione di liberarci di quel retaggio culturale ormai obsoleto, consistente in tutte quelle prassi derivanti dall’organizzazione degli uffici fatta di calcolatrici, macchine da scrivere, rubriche, faldoni, fotocopiatrici, fax e via dicendo (sto esagerando, lo so che i vostri uffici non sono più così, ma voglio rendere bene l’idea), per arrivare ad avere un’impostazione nuova del nostro lavoro, incentrata sulla sicurezza, sul trattamento minimo indispensabile, sulla capacità di far fronte ad ogni eventuale inconveniente tecnico senza perdere dati importanti (e giorni di lavoro per la ricostruzione degli archivi).
Potremo metterci al riparo dal subire sanzioni dagli organi di controllo.
Potremo metterci al riparo dal subire azioni risarcitorie da parte di clienti che si ritengano in qualche modo danneggiati dal modo in cui abbiamo trattato i loro dati.
Potremo metterci al riparo dai ricatti degli hacker, sempre pronti a bloccare i nostri sistemi ed a sbloccarli dietro pagamento di un “riscatto” (avviene molto più spesso di quanto non pensiate, anche nelle piccole realtà di provincia, non solo nei film…).
Potremo metterci al riparo dalle conseguenze dei guasti e delle inefficienze tecniche.
Potremo presentare la nostra attività con un’immagine migliore, efficiente ed al passo con i tempi.
Se saremo tuttipiù responsabili dei dati che trattiamo, tutti potremo avere maggiori garanzie di sicurezza.
Se ci sentiremo più sicuri, ci sentiremo più liberi.
Pensiamo a quante possibilità di fare business vengono bruciate dalla diffidenza verso i sistemi telematici, quante persone ancora non acquistano on line o non utilizzano i più moderni metodi di pagamento per la paura di non essere sufficientemente tutelati.
Ecco perché il GDPR deve essere ben visto da tutti.
È una tematica a cui ho sempre tenuto molto, tanto che con tutti i miei Clienti (che già avevo assistito per essere in regola con la precedente normativa) abbiamo da tempo intrapreso il percorso per adeguarci alle nuove disposizioni.
Vi assicuro che in ogni azienda la necessità di razionalizzare i processi ha portato vantaggi enormi, sia in termini di sicurezza, sia in termini di efficienza e produttività.
È un percorso che va fatto direttamente in azienda, affrontando e risolvendo insieme ogni nodo critico si dovesse riscontrare; è un percorso multidisciplinare, nel senso che se da un lato serve la consulenza di un legale per l’applicazione della nuova normativa e porre in essere tutti gli adempimenti (redigere se del caso la nuova informativa, il modello di prestazione del consenso al trattamento, il documento di valutazione dei rischi, nominare un responsabile della protezione dati – c.d. “DPO” – e via dicendo), dall’altro è indispensabile un tecnico informatico, un Sistemista che possa proporre le migliori soluzioni caso per caso.
Per questa ragione, ho scelto di instaurare una partnership con un’azienda che della sicurezza informatica ha sempre fatto la sua mission, la TT Informatica S.r.l., con sede in Macerata, la mia città.
Ovviamente, i suoi tecnici si potranno interfacciare direttamente con quelli che abbiano fornito e programmato la rete aziendale eventualmente già presente, così da minimizzare tempi e costi dell’intervento, oppure progettare e fornire interamente un nuovo sistema informatico aziendale.
Consulenza giuridica e consulenza tecnica in sinergia verso la “compliance” alle norme europee.
Nel salutarvi, non posso che invitarvi a cogliere l’occasione che l’imminente applicabilità delle nuove norme ci offre: diamo una buona rinfrescata alle nostre attività e dormiremo sonni migliori!
Se volete, siamo a disposizione.
Avv. Pietro Anselmi
Studio Legale Avv. Pietro Anselmi 
Lascia un commento