Per questo motivo le aziende della filiera sono chiamate ad un attento processo di revisione delle procedure di gestione dei dati adottate finora.
Ed infatti, per ottemperare alle novità viene dato termine fino al 25 maggio 2018. Termine che vale peraltro, anche per Garante per la Privacy Italiano per adottare tutti quei provvedimenti di armonizzazione tra il Regolamento e la norma nazionale tuttora in vigore il D. Lgs. 196 del 2003, ancora mancanti all’appello.
Ma quali sono le novità introdotte dal regolamento e già vincolanti?
Innanzi tutto, è importante condividere i principi della norma, ovvero i tre pilastri del Regolamento Europeo, per afferrare più facilmente le novità e le implementazioni da mettere in campo.
Il Regolamento, infatti, favorisce l’anonimizzazione e la pseudonimizzazione dei dati trattati insieme alla loro tracciabilità.
E’ evidente quindi che anche l’uso (rectius, il trattamento del dato) ai fini di gestione e recupero del credito non potrà avvenire disattendendo queste disposizioni normative e pertanto, mentre se ne adotteranno per favorire la minimizzazione dei dati del debitore (In sintesi, il nuovo provvedimento impone il seguente ordine alle aziende del comparto: Tratta meno dati del debitore che puoi), si dovranno modificare e aggiornare tutti i programmi software gestionali aziendali per anonimizzare ovvero favorire l’adozione di codici identificativi o pseudonimi i dati di quest’ultimo.
Ma non solo, l’altro ordine che arriva dal Regolamento è “Distribuisci le responsabilità e documenta i trattamenti” insomma, “munisciti di un DPO e provvedi ad ottenere una CERTIFICAZIONE di parte terza adeguata”.
Chi è il DPO – Data Protection Officier- secondo il Regolamento Europeo?
La norma in questione ed il Garante Italiano hanno precisato le caratteristiche e le funzioni che dovrà avere questa figura.
Innanzitutto, non è necessario che sia un dipendente ma il ruolo può essere dato in outsourcing. Inoltre più aziende potranno nominare un unico DPO, ottimizzando quindi i costi di gestione. Ma cosa deve fare questo DPO? Possiamo definirlo come l’ufficiale di collegamento tra il Garante per la Privacy e l’azienda soprattutto in caso di violazione della norma o di illecito trattamento dei dati.
Il DPO insomma, dovrà garantire il corretto funzionamento del sistema privacy all’interno della singola azienda attraverso una serie di attività continuative nel tempo. Dovrà formare e informare il personale periodicamente sulle novità normative e sulle modalità di rispetto della privacy, personalmente o delegando l’attività ma supervisionandola concretamente.
Dovrà sorvegliare sul rispetto della norma all’interno dell’azienda (facendo adottare dei regolamenti e vigilando sul loro rispetto) occupandosi e promuovendo i processi di privacy by design e by defoult (introdotti dal Regolamento). Insomma, sarà un vero e proprio manager. Una figura manageriale che dovrà evidentemente avere delle competenze specifiche e adeguate al ruolo.
Quello che non serve, è affidare la nomina ad un dipendente solo “formalmente” per far vedere che si è muniti della figura. E ciò perché evidentemente lo scopo della norma non è quello dell’adozione “formale” della figura, ma della concreta e reale adozione e rispetto delle novità introdotte.
Si, esattamente, il rispetto sostanziale da parte dei destinatari dei principi menzionati in precedenza e delle regole sul trattamento del dato. Pertanto, nominando un DPO occorre sincerarsi che abbia le competenze adeguate al compito. Diversamente, sarebbe come non averlo.
Mi preme precisare questo profilo perché alcuni commentatori hanno sostenuto come non sia obbligatorio per le aziende che si occupano di gestione, informazione e recupero del credito, munirsi di questa figura. E lo hanno fatto sul presupposto che il Regolamento non prevede espressamente questo obbligo per le aziende del comparto. È vero, il Regolamento sotto questo profilo, non cita mai espressamente chi si occupa di informazioni commerciali o di recupero del credito ma quando descrive i soggetti obbligati a munirsi del DPO, indica:
- le Pubbliche Amministrazioni
- Le imprese “che trattino i dati di un rilevante num
ero di persone (c.d. interessati) o tipologie di dati che per natura, oggetto o finalità siano definite categorie “a rischio” dalla normativa.
Appare evidente come le attività di informazioni commerciali e quella di gestione e recupero del credito, essendo per loro natura esercitate su un numero rilevante di persone, in quanto indeterminato, non possono considerarsi avulse da quest’obbligo.
Per quanto riguarda le Certificazioni occorre precisare come il Regolamento favorisca l’adozione di Certificazioni anche in questo caso “reali” e non formali, proprio per garantire, almeno nel minimo, il rispetto di parametri di qualità nel trattamento del dato.
Per questo motivo, occorre precisare che non è obbligatorio munirsi di un certificato, magari al minor prezzo tra quelli già disponibili sul mercato, ma occorre implementare i processi di trattamento per far sì che sia (finalmente) garantito almeno nel minimo, il rispetto di parametri di qualità nel trattamento del dato del debitore previsti dalla norma. Anche sotto questo profilo infatti, non occorre e la norma non promuove l’adozione di un certificato purchè sia, ovvero l’obbligo di munirsi di un “pezzo di carta”, ma, attraverso un’accurata e concreta analisi dei processi aziendali di gestione e trattamento del dato, l’aver individuato dei processi di gestione qualitativi, nel minimo, sarà un elemento discriminante per minimizzare gli effetti di un errore o di un eventuale illecito soprattutto in termini sanzionatori. Con la nozione di violazione dei dati personali (c.d. “personal data breaches”), si intende: la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso, in modo accidentale o illecito, ai dati personali trasmessi, memorizzati o comunque elaborati.
I Titolari del trattamento o il DPO in caso di una violazione come sopra descritta, dovranno mettere in atto due differenti azioni:
- la notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto
- la segnalazione al diretto interessato (senza ritardo ingiustificato).
- Il mancato rispetto di questo obbligo comporta sanzioni penali
Come noto infatti, altra importante novità introdotta dal regolamento è il regime sanzionatorio rilevante di per se perché mantiene la sanzione penale per alcuni comportamenti o accadimenti, ma anche in altre ipotesi il regime economico proporzionale al fatturato.
Cosa occorre fare concretamente?
Di seguito per punti, indichiamo le principali attività da mettere in campo, con l’ausilio di professionisti della materia, per evitare inutili errori ovvero costi evitabili ovvero ancora l’adozione di procedure inutili e dannose.
- Analizzare quali sono i dati di cui si dispone per clienti, fornitori, iscritti e consulenti e fare una mappatura aggiornata dei dati (la così della privacy by design)
- Analizzare le informative in uso e somministrate anche ai dipendenti e ai fornitori verificando se e come potrebbero cambiare in funzione del Regolamento EU. Ad esempio per valutare in concreto cosa significhi dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
- Sperimentare nuove forme di informativa basate su icone o mappe concettuali.
- Analizzare i processi di gestione delle istanze formulate dagli interessati e verificare come gestire questi processi avvalendosi di sistemi informatici e user friendly
- Munirsi di un regolamento/disciplinare ad hoc e di un “software sentinella” per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali.
- Verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
- Sperimentare la Privacy by Design e effettuare il Privacy Impact Assessment per minimizzare gli impatti delle novità e contenere i costi di gestione dei nuovi adempimenti.
- Pensare a come introdurre un Data Protection Officer.
StopSecret per approfondire adeguatamente questi profili organizzerà a Roma nel prossimo febbraio 2018 un seminario di studio, con un focus dedicato alle attività di informazioni commerciali, investigazioni sul credito e gestione e recupero. E sarà realizzato su tutte le novità introdotte dal Regolamento Europeo.
Sul nostro sito nei prossimi giorni trovere tutte le informazioni per partecipare all’evento.
Vi aspettiamo.
di Marco Recchi
© Riproduzione riservata