Tutti abbiamo sentito parlare del GDPR, il nuovo regolamento europeo sulla protezione dei dati entrato in vigore il 25 maggio 2018 con importanti implicazioni per aziende e individui dentro e fuori l’Europa.
Sul GDPR molto è stato già scritto, ma quello che più interessa alle aziende impegnate negli adempimenti del nuovo regolamento sono gli aspetti organizzativi e i processi interni da implementare, in particolare quelli inerenti i fattori umani. Questi sono gli aspetti su cui vogliamo concentrarci, con l’obiettivo di guidare passo dopo passo le aziende nell’applicazione del GDPR e, se richiesto, offrendo loro servizi di consulenza.
Cominciamo allora con il rispondere a una prima, importante domanda:
A quali aziende si rivolge il GDPR?
Praticamente a tutte. Pur coinvolgendo principalmente le grandi aziende (piattaforme di social network, banche, compagnie assicurative, amministrazioni pubbliche e multinazionali), il GDPR ha un grande impatto anche sulle PMI. Se la tua impresa gestisce dati personali di cittadini europei, sia che siano clienti o dipendenti, allora il GDPR dovrà essere rispettato. Non è necessario che la tua azienda risieda in uno Stato europeo: è sufficiente che sia proprietaria di dati di residenti in Europa.
A seconda del ruolo che ricopra l’azienda, il nuovo regolamento distingue due figure di notevole importanza: il data controller e il data processor. Qui puoi trovare una guida sulle loro funzioni e differenze.
Cosa devono fare le aziende?
Alla base della protezione dei dati ci sono due principali problematiche: capire che tipo di dati una compagnia possiede e perché. Il primo passo per le aziende è perciò quello di analizzare le tipologie di dati che vengono acquisiti, conservati e processati.
Molta attenzione deve essere data alla privacy, che dovrà essere integrata direttamente nei sistemi e nei processi aziendali. Per farlo, il GDPR obbliga le aziende ad adottare un registro, il Data Processing Register.
Il secondo passo riguarda la valutazione del rischio (sia per beni materiali che immateriali, come il danno reputazionale) di una possibile perdita di informazioni. In caso di violazione di dati, l’azienda è tenuta a comunicare il fatto al Garante delle privacy.
Ma questo non basta. Se la perdita rappresenta un pericolo per la libertà e i diritti delle persone, il possessore dei dati deve informare tutte le parti interessate in maniera chiara, semplice ed immediata, ed offrire le corrette indicazioni sulle possibili soluzioni per la limitazione dei danni.
Cosa hanno a che fare i fattori umani e organizzativi con il GDPR?
Una prima risposta proviene dal GDPR Summit che si è tenuto a giugno a Londra, dove Ardi Kolah, Capo Redattore del Journal of Data Protection & Privacy, ha dichiarato che “sarebbe un errore se il punto di partenza, quando si guarda al GDPR, fossero le penalità e le sanzioni”. Al contrario “la fiducia deve essere il punto di partenza. Se il GDPR riuscirà a costruire fiducia, le compagnie potranno fare di più, e non di meno, con i dati personali”.
Il punto è proprio questo. GDPR significa creare un ambiente più confortevole e sicuro, nel quale gli aspetti tecnologici, legali e organizzativi di un’azienda possano coesistere in maniera migliore, ed in cui le persone sentano di poter dare fiducia alle imprese con i loro dati.
Ricreare una relazione di fiducia tra persone e organizzazioni che possiedono i loro dati è un fattore cruciale. Un recente sondaggio effettuato da ForgeRock su “Che implicazioni avrà l’Internet of Things per la privacy dei consumatori” mostra la grande preoccupazione diffusa tra i cittadini per la propria privacy. L’86% dei consumatori dice infatti di voler controllare quali informazioni personali vengono collezionate automaticamente, il 74% è preoccupato che anche una piccola violazione della privacy potrebbe portare a una perdita dei diritti civili e il 57% è preoccupato dei troppi dati condivisi su Internet.
Vai alla infografica completa: “consumer privacy meets the internet of things”
Esistono poi altri rischi di sicurezza relativi ai fattori umani con cui le aziende devono fare i conti. Ogni giorno in una compagnia gli impiegati possono aver accesso ai dati conservati, per l’adempimento di funzioni amministrative, di marketing o di comunicazione. Ogni punto d’accesso utilizzato per queste azioni rappresenta una vulnerabilità per i dati personali, che potrebbero cadere nelle mani sbagliate. Per questa ragione, un altro punto focale del GDPR riguarda gli aspetti organizzativi di un’azienda.
Il GDPR è una riforma complessa. Per essere applicata nella sua interezza richiede un attento studio che includa i fattori umani, l’usabilità della gestione dei dati, le tecnologie di protezione e sicurezza, l’identificazione delle vulnerabilità organizzative e relative ai fattori umani che potrebbero favorire una violazione dei dati. Per questo è fortemente consigliabile rivolgersi a una società di consulenza per adempire agli obblighi del GDPR.
Su quali principi si basa il GDPR?
Ci sono inoltre alcuni importanti principi sulla protezione dei dati presenti nel GDPR e che vorremmo sottolineare:
- Legalità, correttezza e trasparenza: basta con le informazioni incomprensibili, le regole per gli utenti devono essere semplici e chiare, e devono essere poter cambiate in ogni momento.
- Limitazione di scopo: i dati personali, e in particolare quelli maggiormente sensibili, non potranno più essere diffusi senza esplicito consenso.
- Minimizzazione dei dati: possono essere conservati solamente i dati strettamente necessari al lavoro di un’azienda, mentre per tutti gli altri le regole diventano molto stringenti.
- Conservazione dei dati: più regole per le azienda, più sicurezza per le persone.
- Integrità e confidenzialità: maggiore cura e attenzione nella conservazione dei dati.
- Responsabilità dei dati: il Data Protection Officer è responsabile della protezione dei dati e deve verificare e poter dimostrare che il GDPR venga rispettato.
Vai all’infografica completa: “the three pillar of digital identity”
Quindi, hai un piano?
Non possiamo eliminare del tutto i rischi: è possibile che prima o poi incapperemo in una violazione dei dati. Ma quando questo accadrà, dovremo già aver fatto abbastanza per essere sicuri che la violazione apporti il minor danno possibile. E dobbiamo poter dimostrare di aver preso tutte le misure necessarie per la minimizzazione del rischio, per evitare sanzione fino a 20 milioni di euro o pari al 4% del fatturato dell’anno precedente. Quindi, è importante avere un piano.
Il GDPR può anche essere un’ottima opportunità per le aziende, per semplificare le regole e i processi organizzativi, e per risparmiare denaro. La natura regolativa del GDPR implica la sua applicazione diretta, senza la tramutazione in legge a livello locale, cosa che in precedenza portava a differenti interpretazioni da parte degli stati membri. L’unione Europea stima che questo significherà un risparmio complessivo di 2,3 miliardi di euro all’anno per le aziende.
Insomma, il GDPR non vuole complicare la vita di un’impresa; al contrario, vuole rendere più facile, economico e sicuro il trattamento e la protezione dei dati personali, ricreando un rapporto di fiducia tra cittadini e aziende che lavorano con i loro dati.
Deep Blue (https://dblue.it/) è una società di ricerca e consulenza esperta in fattori umani, specializzata nel miglioramento della performance, della sicurezza e dell’affidabilità all’interno delle aziende.
Grazie alla notevole esperienza acquisita, Deep Blue può supportare le aziende in tutte le fasi riguardanti gli adempimenti del GDPR, ed offrire servizi di formazione per i dipendenti e per i Data Protection Officers.
BSD design (http://www.bsdesign.eu/) è una studio di design e ricerca esperta in fattori umani, ergonomia e interaction design specializzata nell’interazione con i sistemi complessi, la ricerca utente e la resilienza delle organizzazioni. BSD design supporta le aziende nell’analisi dei fattori umani e nello sviluppo di azioni di awareness e sicurezza nelle organizzazioni.