Fatta la premessa concettuale, ecco in sintesi i principali cambiamenti che il GDPR porta rispetto al modo attuale con cui gestisci i dati personali di clienti e prospect.
Informativa dei dati breve, chiara e comprensibile.
Anche l’informativa non è più un adempimento formale: il suo scopo è di rendere consapevole l’interessato su che dati vengono trattati, e in generale di cosa si tratta. Per questo l’informativa deve essere breve, trasparente, sempre accessibile e comprensibile da tutti, anche dai minori. Il linguaggio deve essere chiaro ed efficace, si può informare l’interessato anche a voce (ma solo se lo richiede esplicitamente e se la sua identità è verificata) e si possono fornire le informazioni in modo graduale, una alla volta (informativa a strati). Oltre al testo scritto, si possono usare delle icone standard per aumentare la comprensibilità.
Consenso: sì alla consapevolezza.
Il consenso deve essere positivo e inequivocabile: non può più esserci consenso tacito o passivo. Inoltre, il consenso deve essere specifico per ogni finalità del trattamento dei dati: se raccogli dei dati – ad esempio nome, cognome ed email – per fare un preventivo, questo è il primo livello di servizio per cui devi avere consenso. Se, cosa molto verosimile, quei dati andranno a comporre il database su cui intendi fare azioni commerciali – ad esempio informare le persone di una promozione natalizia – quello è già un secondo livello di trattamento dati, per cui devi avere uno specifico punto nell’informativa.
Un esempio di azione positiva e inequivocabile è quella per cui lo user prosegue la navigazione dopo aver visionato il banner informativo sull’utilizzo dei cookies.
Gestire i rischi privacy: nasce il DPIA.
Il GDPR introduce come obbligatoria la redazione del Data Protection Impact Assessment (DPIA), il documento di valutazione d’impatto della protezione dei dati. Con il DPIA la gestione della privacy entra nel pieno della gestione aziendale e si interseca con la gestione della sicurezza (regolamentata in Italia dal decreto legislativo 81/2008), di cui cardine portante sono il concetto di rischio e la gestione preventiva dei rischi.
Il processo di gestione rischi privacy di cui il DPIA è il documento di attuazione avviene in 3 fasi:
- analisi dei rischi privacy
- stesura della lista delle criticità della gestione attuale rispetto ai rischi (gap list)
- definizione di un piano di intervento per ridurre al minimo i rischi (action plan)
Cosa fare quando “va male”: data breach notification.
Nel caso in cui si verifichi una violazione dei dati (data breach), cioè una falla, un gap nella sicurezza a causa del quale i dati vengono persi, distrutti, modificati, divulgati o resi accessibili a persone non autorizzate, è obbligatorio fare una notifica (data breach notification) al diretto interessato, subito, e al Garante della privacy, entro 72 ore dalla violazione. La notifica deve contenere alcune informazioni, quali:
- Nome e dati di contatto del DPO o della persona a cui chiedere informazioni
- Descrizione della violazione
- Descrizione delle misure adottate o che si adotteranno per porre rimedio al data breach e alle sue eventuali conseguenze sull’interessato
Non c’è più la notifica al Garante per la privacy, ma c’è il registro del trattamento.
L’obbligo (valido per alcune aziende e alcuni tipi di dati) dell’informazione preventiva al Garante per la privacy è abolito e sostituito da un nuovo documento, il registro del trattamento. Se vogliamo, è la “fase 2” della gestione privacy, conseguente alla valutazione d’impatto e da usare come strumento di pianificazione interna. Non è obbligatorio per le aziende con meno di 250 dipendenti, a meno che “il trattamento che esse effettuano:
- possa presentare un rischio per i diritti e le libertà dell’interessato,
- il trattamento non sia occasionale
- o includa il trattamento di categorie particolari di dati (i cosiddetti dati sensibili, ndR),
- o i dati personali relativi a condanne penali e a reati (i cosiddetti dati giudiziari, ndR).”
Anche questo documento deve contenere tutta una serie di dati: in fondo al post ti suggeriamo
un servizio per creare il registro dei trattamenti e gestire la tua informativa privacy.
Nasce il DPO (Data Privacy Officer).
Applicare il GDPR vuol dire non solo avere i documenti, ma anche i ruoli aziendali giusti. In questo il GDPR è molto chiaro: rimangono le figure che fino ad oggi conosciamo, cioè titolare, responsabile e incaricato, e ad esse si aggiunge il responsabile del trattamento dati personali, cioè il Data Privacy Officer o DPO, una figura di auditor interno indipentente, con competenze legali e informatiche, dotato di autonomia di spesa e poteri decisionali. Come nel caso del registro dei trattamenti, non tutti dovranno avere un DPO, ma solo chi tratta quantità notevoli di dati personali in maniera non occasionale, chi tratta dati sensibili o giudiziari, o se si tratta di enti pubblici.