Quando si parla di GDPR si fa riferimento a un documento molto importante e ormai definitivamente al centro della scena internazionale in fatto di business. Letteralmente, si traduce come General Data Protection Regulation (Regolamento generale sulla protezione dei dati) e si occupa di tutti quegli aspetti legati ad alcuni ambiti ben precisi: privacy, responsabilità e sicurezza di info e dati. Stiamo parlando del regolamento dell’Unione Europea che punta a rendere più forte e omogenea la tutela dei dati personali dei cittadini europei. La pubblicazione del relativo testo in Gazzetta Ufficiale Europea risale al 4 maggio del 2016, con entrata in vigore fissata al 24 dello stesso mese. Il GDPR ha poi cominciato ad avere efficacia il 28 maggio del 2018, stravolgendo di fatto abitudini e imponendo allineamenti importanti alle aziende.

Le novità relative al titolare del trattamento dati

La tutela delle persone e delle info che le riguardano è al centro del regolamento e delle novità che introduce, specie per il titolare dei dati.
E’ interessante in questo senso il principio relativo alla responsabilizzazione e al dovere di rendicontazione: chi risulta titolare del trattamento dei dati deve prendere le misure necessarie a garantire (e dimostrare) che il trattamento stesso sia effettuato secondo regolamento.

E’ anche previsto un ulteriore obbligo, sempre per il titolare: adottare le misure corrette e adeguate al rischio del trattamento. Il titolare dovrà fare la sua valutazione tenendo presente la natura, l’oggetto e le finalità del trattamento stesso, oltre ai rischi per i diritti e le libertà delle persone fisiche (se il trattamento per esempio possa comportare furto di identità, discriminazione, pregiudizio alla reputazione e perdite finanziarie).

Rientra tra le misure di sicurezza la formazione adeguata del titolare, del responsabile e degli incaricati del trattamento. Qui si inseriscono altri due principi cardine: privacy by design e privacy by default, i quali impongono che le misure a tutela dei dati siano prese fin dalle fasi di progettazione del trattamento. Il titolare dei dati, che deve essere espressamente autorizzato e istruito allo scopo, è anche tenuto a realizzare e aggiornare un registro delle attività di trattamento.

L’informativa che viene resa agli interessati deve essere chiara, accessibile e trasparente. Il GDPR inoltre introduce per le PA obbligatoriamente la figura del DPO (il data protection officer), responsabile della protezione dati.

Un cambio di prospettiva che richiede adeguamenti puntuali

Anche un sito che raccoglie indirizzi di posta elettronica per la diffusione di newsletter deve adeguare come minimo l’informativa sul trattamento dei dati online, oltre a comunicare cosa espressamente prevede il GDPR in tema di privacy. Diventa chiaro che un’importanza particolare viene riconosciuta al tema della sicurezza IT, ovvero a quell’insieme di operazioni di tecnologia informatica dedicate espressamente all’archiviazione, elaborazione e trasmissione dei dati. Coloro che avranno accesso ai dati – un’operazione che peraltro dovrebbe essere tracciata – devono essere messe in condizione di lavorare solo ed esclusivamente con quelle info indispensabili allo specifico compito. Bisogna pseudonimizzare i dati e salvarli correttamente, ricorrendo a procedure di criptaggio e di backup. Anche il passaggio dati – per esempio tramite invio di e-mail – deve avvenire in completa sicurezza (i vari applicativi dovrebbero essere sempre aggiornati alla versione più recente). Si deve essere poi sempre pronti ad assolvere a eventuali richieste di cancellazione e rettifica dei dati: viene codificato il diritto all’oblio.

La consulenza IT è il fulcro di una perfetta messa in regola

Il GDPR non specifica, relativamente agli aspetti IT, quali siano gli strumenti e i software che le aziende devono adottare per compiere l’adeguamento. Resta una loro responsabilità il fatto di individuare quali siano le migliori misure di sicurezza delle quali dotarsi per rispettare l’obbligo di protezione dei dati personali, che l’azienda stessa si trova a trattare. Quest’ultima è dunque tenuta a fare delle valutazioni sulle procedure e le relative misure da adottare, per attuare la piena compliance dei trattamenti. Con un occhio di riguardo anche per la configurazione degli smartphone aziendali. E’ opportuno rivolgersi a una web agency per una consulenza IT relativamente ad aspetti che appaiono cruciali, come quelli che riguardano: gli applicativi e i software dedicati alla conservazione dei dati personali; gli applicativi e i software utilizzati per trasmettere info e dati o comunicazioni; la presenza, più in generale, su internet dell’azienda (con tutto ciò che concerne il portale web, la gestione delle pagine sui social e così via). D’altro canto, risulterà poi di grande importanza rivolgersi all’ufficio legale o a un avvocato di fiducia per comprendere e adeguarsi relativamente a quel che concerne sia l’aggiornamento delle normative che i vari aspetti legali approfonditi dal GDPR.

Transparency consent framework

Per le aziende che operano nel settore della pubblicità digitale, in merito alla gestione degli obblighi di conformità ai sensi del GDPR, c’è uno strumento molto utile e di supporto tecnico. E’ il Transparency Consent Framework (TCF) di IAB Europe: un insieme di indicazioni tecniche e documenti regolamentari che offre la perfetta base giuridica relativa al trattamento dei dati personali, nei diversi mercati. E’ il quadro di riferimento di agenzie e inserzionisti, ma anche di editori e provider di tecnologie. Il TCF serve e comunicare chiaramente agli utenti come saranno impiegati i dati che li riguardano, dando loro la possibilità di opporsi. La versione 2.0 ha incrementato i livelli di chiarezza e trasparenza, offrendo la possibilità di gestire al meglio il consenso, con un focus sulla conformità alle direttive UE delle testate online. I vantaggi che il TCF 2.0 offre riguardano alcuni ambiti clou:

  • scelte più consapevoli in merito al trattamento dei propri dati;
  • possibilità di controlli granulari da parte degli editori in merito alle finalità di trattamento (da loro permesse) per ogni vendor;
  • maggiore trasparenza e considerazione degli interessi legittimi da tutelare;
  • più informazione con la possibilità di dare o meno il consenso, esercitando il diritto a opporsi sulla base di interessi legittimi.

Per le aziende più strutturate e che gestiscono molti dati esistono software CMP (Consent Management Platform) conformi al Transparency & Consent Framework di IAB che servono a semplificare e ottimizzare la gestione della privacy degli utenti.