La privacy non è un’informativa
Ormai sono quindici anni che ci occupiamo di privacy ed applicazione della normativa nelle aziende.
Il nostro approccio è produttivo e rivolto alle aziende, senza imporre inutili procedure, superflui documenti da compilare o assurde richieste di sicurezza fisica.
Mi viene in mente quando nel 2004 mi chiamò un caro amico di mio padre, uno dei più stimati commercialisti di Bologna, e mi chiese “Stefano, è vero che devo costruire un caveau per conservare i dati dei miei clienti?”. Io risi e gli spiegai i principi della normativa e l’inutilità di tale soluzione.
Il mantra che mi sento dire da quando anni a questa parte invece è che la privacy è solo un’informativa. Dai devi fare solo due informative cosa vuoi che sia. Oppure mi dicono di essere in regola con la normativa perché hanno fatto le informative.
Non era così con la 196/03 non lo è, a maggior ragione, con il nuovo Regolamento Europeo UE2016/679.
L’informativa è la parte più visibile della normativa, la prima che viene data all’interessato e la prima che gli organi preposti al controllo vedono. Ma non è tutta la privacy. sia chiaro.
Non mi metto in quanto momento a fare l’elenco, infinito, di tutti gli adempimenti che sono necessari, ma esprimo solo un paio di concetti.
Il primo, il più importante, è quello de ”Accountability” cioè della responsabilizzazione dell’azienda sul trattamento dei dati personali. Non ci sono più regolette da seguire per trattare e proteggere i dati in modo corretto ma il focus viene sposato sulle esigenze dell’imprenditore e sulla sua necessità di trattare e proteggere i dati personali.
E qui si apre un mondo molto interessate sia dal punto di vista del trattamento dei dati che dal punto di vista della sicurezza. Si pensi ad esempio alla necessità di informare clienti o potenziale clienti di un nuovo servizio.
Con il principio de “Accountability” e del bilanciamento degli interessi, il nostro imprenditore, utilizzando gli strumenti giuridici giusti, può informare i suoi clienti anche se non un esplicito consenso ed in alcuni casi può anche informare potenziali clienti se per gli stessi esistono reali vantaggi.
Ovviamente i vantaggi non sono un prezzo più basso o un’offerta imperdibile. E tutto quanto lo si può fare tramite i processi privacy (privacy by design) adottati dall’azienda e ponderati con un consulente competente e smart.
Da qui si desume che la privacy della tua azienda non può essere uguale alla privacy dell’azienda del tuo vicino o peggio ancora del tuo concorrente, in quanto per avere un vantaggio competitivo rispetto a loro, devi studiare un sistema di gestione delle informazioni diverso.
L’altro grande nodo che riguarda sempre il concetto di “Accountability” è quello della sicurezza del dato. Una volta bastava installare un’antivirus, un backup settimanale, le password ed apre diavolerie informatiche simili ed eri in regola con la normativa. Se succedeva qualcosa nessuno poteva dirti nulla.
Oggi invece il principio è completamente cambiato. La responsabilizzazione della sicurezza del dato è tua. E non puoi adottare solo le misure prescritte dal vecchio codice ma devi avere misure idonee a proteggere il dato. Quindi backup giornalieri se non orari, un disaster recovery efficiente, e tutte quelle misure necessarie per proteggere il dato.
E se succede qualcosa?
Per prima cosa devi fare una denuncia di Data Breach all’Autorità, poi devi ulteriormente implementare le misure di sicurezza e soprattutto devi prepararti ad un’ispezione nella quale le Autorità valuteranno se le misure da te installate fossero adeguate a fermare i malintenzionati. Certo, mi dirai che entrano pure alla Nasa se vogliono, ed è per quello che se hai adottato le misure idonee ed hai avito un problema di Data Breach potresti non essere sanzionato.
Ma se chiudi i recinti dopo che i buoi sono scappati, non avere dubbi che le Autorità non perdoneranno.