Ad oltre un anno dall’entrata in vigore dell’ormai famosissimo GDPR (General Data Protection Regulation, il Regolamento UE n. 2016/679, sulla protezione dei dati personali) sono moltissime le informazioni che sono circolate sulla materia ed il rischio di fare confusione è alto.
Per festeggiare il primo compleanno del GDPR – a maggio di quest’anno – mi sono regalata un corso di specializzazione, organizzato all’Università di Torino, dal Prof. Pizzetti e dal Prof. Foà, proprio per approfondire la materia della tutela dei dati personali, che mi appassiona parecchio.
Voglio allora condividere alcuni punti secondo me importanti, che ho fissato in oltre un anno di lavoro sul GDPR ed approfondito con il corso di specializzazione all’Università.
Protezione dei dati e… libera circolazione dei dati!
Alzi la mano chi si è mai soffermato a leggere con attenzione il “titolo” del Regolamento europeo 2016/679, si, insomma, il titolo del GDPR che abbiamo sempre frettolosamente indicato come “Regolamento sulla privacy”.
Il Regolamento europeo, recita il titolo, è “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
Quindi: protezione delle persone (non del dato in sè!) con riferimento al trattamento dei dati ed alla libera circolazione dei dati.
Cosa significa? Significa che l’obiettivo del GDPR non è, o non è solo, quello di proteggere un dato, ma di proteggere le persone – e mi sembra un bel cambio di prospettiva, letto così – considerato che i dati relativi alle persone vengono trattati, diffusi, scambiati e che liberamente circolano e devono circolare, all’interno di una realtà economica, in cui proprio i dati (personali e non) sono un elemento ormai fondamentale per il funzionamento e la crescita dell’economia.
Da questo punto di vista, l’obiettivo della legge europea non è quello di nascondere i dati o limitarne la circolazione, al fine di proteggerli, anzi, al contrario, l’obiettivo è proprio quello di agevolarne la circolazione, ma in un ambiente “sicuro” e con regole che devono essere rispettate non solo dalle aziende che hanno sede in Europa, ma da tutte le aziende (anche extraeuropee, vi dicono niente Google e Facebook?) che vendono i propri beni e servizi ai consumatori europei.
Io non ci avevo mai pensato, ma visto così, il GDPR è uno strumento per agevolare la circolazione dei dati personali e non certo per limitarla. Mi sembra una consapevolezza importante.
Chiarezza, trasparenza e semplicità
Uno degli scopi del GDPR è, quindi, quello di creare un ambiente sicuro, nel quale i consumatori possano far circolare i propri dati con fiducia.
Ecco quindi che il Regolamento europeo va nella direzione della semplificazione e della chiarezza.
Stop a tecnicismi e a frasi incomprensibili. Le informative sul trattamento dei dati devono essere comunicate con un linguaggio chiaro, immediato, comprensibile a tutti e con l’utilizzo di caratteri grafici leggibili (basta scritte piccolissime ed incomprensibili!). I processi di raccolta dati devono essere lineari.
Basta anche alla raccolta dati fatta alla rinfusa. È necessario raccogliere solo i dati effettivamente necessari all’attività da svolgere e conservarli solo per il tempo utile allo scopo. Anche i dati, insomma, devono avere una data di scadenza.
Innanzitutto un bel check up
L’adeguamento al GDPR può essere quindi una bella occasione per “fare pulizia” in azienda, nei processi e nelle informative, per fare un check up sui sistemi di sicurezza e archiviazione.
Non, quindi, l’ennesima norma a cui adeguarsi in fretta e con il minore dispendio di energie, ma una occasione di crescita per professionisti ed aziende, che i clienti noteranno subito!
Non si finisce mai
L’adeguamento alle norme sulla privacy non finisce mai. Detto così, è un po’ forte, ma la sostanza è quella.
Mi spiego meglio. Con la precedente normativa, tutta basata sul consenso di chi aveva fornito i dati, una volta ottenuto questo consenso, si era più o meno a posto. Con le nuove norme sulla privacy, invece, chi raccoglie e tratta dati personali per i più svariati motivi, deve continuamente vigilare sulla sicurezza di questi dati, sul fatto che siano sempre trattati in maniera adeguata e corretta, rispondere alle richieste degli interessati, cancellare i dati non più necessari, seguire ed aggiornare costantemente la formazione propria e dei propri collaboratori, sulla materia della protezione dei dati.
Insomma, il trattamento dei dati personali è “una cosa seria” e come tale va seguito con attenzione e cura, esattamente come qualsiasi processo aziendale.
Qualche utile strumento
Per fortuna, gli strumenti in rete che possono aiutare professionisti ed aziende ad approfondire il tema della protezione dei dati sono molti e tutti molto validi!
Primo della fila, naturalmente, il sito del Garante Italiano per la protezione dei dati.
Sul sito del Garante si trovano, oltre naturalmente al testo del GDPR ed al Codice privacy italiano (molto cambiato, in seguito al GDPR, attenzione!), schede di approfondimento e faq sugli argomenti più importanti, oltre, naturalmente, alla pubblicazione dei provvedimenti del Garante. È anche possibile iscriversi alla newsletter settimanale.
Molto interessante il sito dell’Istituto italiano privacy: articoli, news e, molto curiosa e divertente, una app per creare la tua informativa privacy a fumetti!
Il sito www.agendadigitale.eu è una grande fonte di aggiornamento sul mondo digitale e la sezione dedicata alla privacy contiene articoli scritti da alcune delle firme più prestigiose del settore.
Segnalo, infine, il blog di un collega milanese, l’avv. Alessandro Ronchi (ronchilegal.eu). Il blog dell’avv. Ronchi è ricchissimo di spunti ed informazioni ed è scritto con passione e grande competenza. Per addetti ai lavori e non solo.