internet-3254288_640.jpg

Cascate di email da parte delle aziende ma la confusione ancora regna sovrana.

Tra polemiche, confusioni e terrore di incappare in sanzioni salate sembra (a buon ragione) che non tutte le aziende italiane e gli utenti abbiano chiaro cosa sia accaduto dopo questa data. Sono stati in grado di muoversi nel pieno rispetto della privacy dei clienti? 

Innanzitutto chiariamo che il recente tentativo di proroga per l’adeguamento al Regolamento UE 2016/679 su GDPR da parte della categoria degli avvocati non è stato accolto. Non è bastata la lettera inviata al Garante della Privacy per chiedere la sospensione delle sanzioni in considerazione della mancata pubblicazione del decreto di attuazione. E’ quindi necessario mettersi in regola il prima possibile. 

Nell'articolo precedente abbiamo citato alcune tra le misure più utilizzate dagli esperti del tema e in questa sede vogliamo fornirvi alcuni strumenti pratici per adempiere ai vostri obblighi di detentori e manipolatori di dati privati degli utenti. 

“MI RIGUARDA IL GDPR?”
La prima domanda da farsi è “Quanto sono responsabile della privacy dei miei clienti?”. Già se gestite una newsletter o un blog personale siete chiamati a rispettare la privacy degli utenti a cui arrivate. Ovviamente le responsabilità variano a seconda dell’attività svolta e della tipologia dei dati trattati: dati personali, sanitari, genetici, biometrici, giudiziari, finanziari, relativi alle opinioni politiche, al credo religioso, all'orientamento sessuale.

CHECK E AGGIORNAMENTO
La seconda fase riguarda l’analisi certosina dell’acquisizione e del trattamento dei dati personali compiuto finora. L’aggiornamento dei programmi installati e utilizzati è fondamentale anche quando parliamo di sistema operativo in uso, antivirus e regolari licenze di acquisto per essere tutelati a pieno in caso di fuga non autorizzata delle informazioni. Scordatevi Windows Xp o Windows Vista per esempio! Dunque aggiornate, aggiornate, aggiornate i vostri software! La sicurezza passa inoltre da password ben custodite, pc non accessibili nei momenti di pausa e accessi lasciati a colleghi solo se strettamente necessario. 
Al momento della raccolta dati chiedete all’utente esclusivamente quelle informazioni di cui avete bisogno. 

INTERVENTI
Le aziende dovranno intervenire sul controllo e la verifica che riguardano dati anagrafici e demografici, conti finanziari, di credito, informazioni rilasciate attraverso Social Media, tutto ciò che concerne la profilazione, le policy, la governance e intervenire con tecniche per rendere anonimi tali dati. Tra queste citiamo la crittografia o la pseudonimizzazione, report, censimenti, verifiche, rapporto con il pubblico per monitorare e scovare eventuali crepe.

Nel caso in cui non sia richiesta una profilazione reale dell’utente, la pseudonimizzazione dei dati è forse la tecnica più adatta. In cosa consiste in parole povere? Si provvede alla rimozione delle informazioni complete dell’utente precedentemente etichettato con un dato “pseudonimo”. La validità del Data Masking che, come dice la parola, maschera le informazioni riservate reali, verrà verificata con una serie di test calcolati dai sistemi informatici.

Altro passo da fare è riscrivere le Informativa privacy e i cookie in modo chiaro e leggibile, sottolineando come e per quanto tempo verranno conservate e usate le informazioni, fornendo dati e contatti del titolare dell’azienda per chiedere eventuali modifiche o cancellazioni e specificando se i dati saranno trasferiti fuori dall’Unione Europea, il che è probabile se si utilizzano i social o mailchimp. 

Il banner cookie deve prevedere un’azione palesemente affermativa, separando il consenso per il trattamento dei dati da quello marketing e dai Termini e Condizioni del servizio.

Preparate un piano di comunicazione per informare gli utenti delle procedure da seguire, come la necessità di informare il cliente entro 72 ore dall’avvenuta fuga delle sue informazioni. A tal proposito conservate i dati in modo da poter essere trovati in tempi brevi. 

La figura del Data Protection Officer (DPO), il responsabile per la protezione dei dati, è obbligatoria solo se il trattamento è effettuato da un'autorità pubblica o le attività principali del titolare richiedono il monitoraggio sistematico degli interessati su larga scala. 

VALUTAZIONE FAI-DA-TE
Intorno alla poca chiarezza sul GDPR molti ne approfittano e offrono servizi e consulenze a pagamento per verificare la conformità alla legge. Se si vuole partire da una checklist gratuita di autovalutazione consigliamo di connettersi a ICO che a seguito di un breve report suggerisce cosa fare per mettersi in regola. 

https://ico.org.uk/for-organisations/resources-and-support/data-protection-self-assessment/

Il limite è che è in lingua inglese ma può essere uno spunto interessante per farsi un’idea sulle proprie lacune, sul tipo di intervento da intraprendere ed eventualmente chiedere il supporto a professionisti seri.