L'analogia libri-dati
Il primo passo per prepararsi al GDPR è capire cosa ci viene chiesto dalla normativa.
Le regole contenute all’interno del testo del GDPR sono piuttosto complesse. In questo articolo però, cerchiamo di utilizzare un linguaggio capace di rendere il regolamento comprensibile anche a un bambino di 5 anni, quindi, invece di parlare di condivisione di informazioni, illustriamo la maggior parte dei punti chiave del GDPR utilizzando l’analogia della condivisione dei libri.
Per chiunque desideri approfondire la normativa, abbiamo realizzato una pagina interamente dedicata agli step necessari alla compliance GDPR.
I principi del GDPR
Elaborazione lecita
A volte si può voler condividere i propri libri con altri bambini, a volte no. Va bene. Ognuno ha il diritto di condividere i suoi libri, se e come vuole. Si può tenere dei libri solo per sé stessi e condividerne solo una parte.
Se però vuoi prendere in prestito con i libri di un altro bambino, allora devi chiedere prima il permesso. Se il bambino dice "sì", allora ti è permesso prenderli in prestito. Naturalmente, ciò conta solo se è una scelta reale. Non puoi minacciare di colpirlo se non dice "sì", questo non è giusto!
Il GDPR afferma che tutto il trattamento dei dati personali deve essere lecito. L'esempio più semplice di elaborazione legale è quando qualcuno ti autorizza a elaborare i suoi dati, ma ci sono altre circostanze che possono rendere lecito il tuo trattamento, ad esempio se hai bisogno di utilizzare i dati per fornire un servizio che il cliente ha acquistato da te.
Diritti individuali
Se chiedi in prestito un libro ad un tuo amico, è comunque il suo libro. Bisogna che tu te ne prenda cura in modo corretto e che ti assicuri di agire come se il libro fosse tuo.
Di seguito ci sono i diritti sui libri (e quindi sui dati).
Il diritto di essere informato
Quando vuoi prendere in prestito un libro, devi identificarti, dire al proprietario quale libro stai prendendo in prestito, per quanto tempo lo terrai, e con chi altri potresti condividerlo; devi essere consapevole che è possibile che il libro ti venga richiesto in qualsiasi momento. Dovresti anche far sapere al proprietario da chi può andare a lamentarsi, se qualcosa non gli torna.
Allo stesso modo, con i dati dei tuoi utenti: se chiedi a un utente di condividere i propri dati con te, devi identificarti, illustrare di quali dati hai bisogno, il motivo per cui ne hai bisogno, ed essere consapevole che questi dati possono essere sempre richiesti dal suo proprietario.
Il diritto di accesso
Se qualcuno ti chiede quale dei suoi libri hai preso in prestito, devi farglielo sapere. Potrebbe volerci un po' di tempo per essere sicuro al 100% in merito a quale dei suoi libri abbia preso, ma devi farglielo sapere entro un mese dalla sua richiesta. Se c'è una buona ragione, potrebbero essere necessari fino a tre mesi, ma non è mai possibile richiedere più tempo.
Allo stesso modo, con i tuoi dati: se qualcuno chiede alla tua organizzazione quali dati l’impresa ha su di lui, occorre rispondere entro un mese, o in alcune circostanze si possono avere fino a 3 mesi.
Il diritto alla rettifica
Se prendi in prestito un libro, devi prendertene cura. Se malauguratamente ne danneggi uno, il proprietario può chiederti di aggiustarlo e tu non puoi sottrarti dal farlo.
Allo stesso modo, con i tuoi dati: se qualcuno ti chiede di correggere i dati personali che hai memorizzato su di loro, devi farlo ed accertarlo.
Il diritto alla cancellazione (noto anche come il diritto all'oblio)
Chiunque può chiederti di smettere di leggere il suo libro in qualsiasi momento, in questo caso devi fermarti immediatamente
Allo stesso modo, con i tuoi dati: se qualcuno ritira il consenso per il trattamento dei dati, o se i dati non sono più necessari per lo scopo per il quale sono stati raccolti, devi cancellare i dati.
Il diritto alla portabilità dei dati
Se il proprietario ti chiede di restituire il suo libro, egli dovrà essere in grado di usarlo come originariamente previsto al momento della restituzione. Ad esempio, non sarebbe giusto se tu prendessi in prestito un libro, gli staccassi le pagine e lo restituissi pagina per pagina in una scatola, vero?
Allo stesso modo, con i tuoi dati: se qualcuno richiede una copia portatile dei propri dati personali, è necessario fornirli all’interno di un modulo comunemente utilizzato e leggibile dal PC. Così che il proprietario possa riutilizzare quei dati e trasmetterli da un ambiente informatico all’altro, evitando fenomeni di dipendenza forzata dell’interessato da un determinato fornitore di servizi(il cosiddetto lock-in), consentendo, inoltre la trasmissione diretta dei dati personali da un titolare del trattamento all’altro.
Il diritto di obiettare
Se a qualcuno non piace il modo in cui stai usando il suo libro, allora può chiederti di smettere. Devi fermarti subito, a meno che non ci sia un buon motivo per non farlo.
Allo stesso modo, con i tuoi dati: se qualcuno si oppone a come stai usando i suoi dati personali, allora devi interrompere l'elaborazione, a meno che tu non possa mostrare ragioni convincenti per cui devi ignorare i suoi diritti. Se stai utilizzando i dati per il marketing diretto, non ci sono esenzioni o motivi per poter rifiutare.
Le regole più stringenti
Responsabilità e Governance
Se prendi in prestito il libro di qualcuno, allora potresti dover dimostrare che ti è stato dato il permesso e che il libro è stato curato correttamente. Non è sufficiente chiedere il permesso e prendersi cura del libro. Una volta preso in prestito devi essere sempre in grado di dimostrare di averlo fatto.
Le organizzazioni devono conservare tutta la documentazione relativa ai dati, in modo che possano provare di averli ottenuti e elaborati legalmente. Non basta mostrare che non hai avuto violazioni e che nessuno si è lamentato. A questo proposito è fondamentale per l’azienda dotarsi di infrastrutture capaci di gestire correttamente i dati e la documentazione, garantendone un accesso costante e organizzato.
Notifica di violazione
Se per sbaglio danneggi un libro che hai preso in prestito o lo perdi, devi dirlo al proprietario entro tre giorni. Devi comunicargli qualsiasi perdita o danno grave. Devi anche dirlo ai suoi genitori (l'Autorità di Controllo). Devi inoltre spiegare di chi fosse il libro, quale danno è stato fatto, cosa stai facendo per rimediare e come impedirai che accada di nuovo.
Molte organizzazioni troveranno stringente il requisito di informare le autorità e le persone interessate, entro 72 ore da una violazione dei dati.
A questo proposito è necessario un processo di gestione degli incidenti di sicurezza ben progettato e provato. Poiché un errore potrebbe essere molto costoso, per le aziende diventa importante, se non fondamentale, dotarsi di tecnologie che permettano l’attivazione delle massime misure di sicurezza e che rilevino istantaneamente una qualsiasi violazione.
Verso la compliance GDPR
Il GDPR avrà un enorme impatto su qualsiasi organizzazione che controlli o elabori i dati personali. Non solo si devono soddisfare tutti i requisiti, ma occorre anche essere in grado di produrre documenti che dimostrino la compliance.
Se non hai ancora iniziato a pianificare la conformità GDPR, hai urgentemente bisogno di iniziare.
C'è molto lavoro da fare per essere conforme e per dimostrare di essere conforme.
GDPR: approfondimento e compliance
Per approfondire tecnicamente il tema GDPR, dai un’occhiata alla pagina dedicata agli step indispensabili per arrivare alla compliance, sfruttando il nostro servizio End-to-End: dalla consulenza legale ed organizzativa, all’outsourcing della funzione di DPO e della manutenzione, passando all’implementazione tecnica dei Gap rilevati.
Ricorda: non puoi prendere in prestito libri senza il permesso e devi prendertene cura in modo appropriato.
Grazie a Stuart Rance per l'idea di creare una guida GDPR adatta a un bambino di 5 anni (https://blog.sysaid.com/entry/how-to-explain-gdpr-to-a-5-year-old).