L’entrata in vigore a maggio 2018 del GDPR e a settembre dello stesso anno D.lgs. 101 hanno rivoluzionato il modo in cui le aziende devono approcciare la raccolta e il trattamento dei dati personali introducendo i concetti di Privacy by design e by default.
Negli ultimi anni si sente molto parlare di Privacy by design e by default, questi sono i nuovi concetti su cui si basa il trattamento dei dati personali.
Per prima cosa dobbiamo spiegare cosa si intende per dati personali. Un dato personale è qualsiasi informazione che renda identificabile una PERSONA FISICA e non giuridica, infatti la così detta privacy si applica SOLO alle persone Fisiche e non a quelle giuridiche (aziende).
Tornando ai dati personali sono questi sono:
- nome, cognome e data di nascita
- immagini
- dati di navigazione
- dati economici
- posizione
- informazioni sulle abitudini di vita.
Oltre ai dati personali la legislazione prevede, al posto dei vecchi dati sensibili, i dati particolari, dati che devono essere trattati solamente se strettamente necessario all’erogazione di un servizio e/o se imposto dalla legge.
I dati particolari sono:
- dati che rilevano l’origine razziale o etnica
- dati relativi alle opinioni politiche
- dati che rilevano le convinzioni religiose o filosofiche
- dati relativi alle appartenenze sindacali
- dati genetici
- dati biometrici che identificano una persona fisica in maniera inequivocabile
- dati concernenti la salute
- dati concernenti le abitudini e l’orientamento sessuale
- dati relativi a condanne penali o multe.
In qualsiasi caso il trattamento deve essere sempre giustificato, l’interessato (chi fornisce i dati) deve essere informato dei motivi della raccolta e, qualora i dati raccolti non siano strettamente necessari al trattamento, l’interessato deve esprimere chiaramente il suo consenso.
Il titolare del trattamento deve, oltre a comunicare gli scopi del trattamento e, se necessario, richiedere le autorizzazioni al trattamento, minimizzare, pseudominizzare e anonimizzare i dati raccolti.
Minimizzare vuol dire che la raccolta si deve limitare all’indispensabile
Pseudomizzare vuol dire che, dove possibile, rendere i dati non riconducibili al proprietario senza una chiave di accesso o un sistema di decriptazione.
Anonimizzazione qualora non sia indispensabile mantenere i riferimenti al proprietario dei dati questi possono essere completamente svincolati da lui.
Ma esattamente cosa si intende per Privacy by design e by default?
Per Privacy by design e by default si intende che le modalità di raccolta, trattamento e conservazione dei dati non devono essere standardizzati, ma, definiti in base alle necessità sia di chi raccoglie e tratta i dati, sia in riferimento alla sicurezza dei dati.
Il nuovo concetto di “privacy” deriva si dà un obbligo ma anche e soprattutto da una necessità delle aziende, infatti, tutte le aziende trattano dati (sempre in maggiore quantità) e, sempre di più, su supporti digitali.
Una gestione dei dati in maniera standardizzata per tutte le aziende non è applicabile alla situazione attuale.
La gestione “corretta” del dato deve tenere conto della tipologia di azienda, della tipologia di dati raccolti e trattati e, soprattutto, della quantità di dati raccolti e trattati.
L’impegno e le attenzioni da porre cambieranno in base al mix di queste caratteristiche.
Per l’azienda sarà molto utile rivolgersi a un consulente esperto, non necessariamente un legale.
Un legale senza esperienza consulenziale (consulenza organizzativa e di gestione) rischia di applicare in maniera rigida la legge perdendo di vista i principi fondanti della Privacy by design e by default.
Cosa fare per capire cosa bisogna fare
Per prima cosa la direzione aziendale insieme al consulente prescelto devono analizzare i trattamenti presenti in azienda e le modalità con cui essi vengono effettuati.
La normativa non vieta nessun tipo di trattamento ma, come già detto, la normativa richiede la minimizzazione dei dati raccolti e trattati e dove possibile la loro anonimizzazione.
La seconda cosa da valutare è quindi la necessità dei dati raccolti, cioè quanto i dati raccolti sono indispensabili e quali di questi possono non essere raccolti.
Terza cosa da valutare sono le modalità di trattamento e conservazione. Benché sia consigliabile un trattamento e una conservazione digitale, i trattamenti cartacei a la conservazione in archivi fisici non è vietata e soprattutto nelle piccole aziende che trattano pochi dati e non in maniera sistematica è addirittura consigliata per la sua economicità.
Un approccio progressivo e basato sullo studio della situazione aziendale ha il vantaggio di ottimizzare gli interventi, minimizzare i costi e soprattutto non ingolfare le attività aziendali con inutili procedure.
Spesso attraverso la consulenza e la verifica dei trattamenti si ottiene una forte riduzione della quantità di dati che venivano trattati inutilmente senza essere poi utilizzati. Altro vantaggio si può verificare con la razionalizzazione dei tempi di conservazione, conservando i dati solamente per il tempo necessario al loro utilizzo.
In conclusione l’azienda dovrà orientarsi verso la gestione sistemica dei dati, implementando un vero e proprio sistema di gestione dei dati che garantisca il rispetto di tutti i requisiti legislativi senza causare costi e imbuti procedurali.
Raffaele Selvaggini – Consulente Sistemi di Gestione e GDPR.
Puoi trovare i servizi relativi al GDPR da Essemme Soc. Coop. su questo link
