Ci sono alcune attività professionali, quattro in particolare, che stanno avendo particolari problemi a adeguarsi al Regolamento europeo sulla protezione dei dati e raggiungere, così, la cosiddetta GDPR compliance. Vediamo quali, che problemi stanno vivendo e qualche consiglio per affrontarli. Si tratta di chi non ha mai tenuto in considerazione il corretto trattamento dei dati personali. Per loro quest’era in cui siamo entrati è un mondo nuovo, di difficile comprensione. È possibile però anche per loro trovare il bandolo della matassa.
| AMBITO | SCENARIO | PROBLEMATICHE |
| Sanitario | Studio dentistico |
|
| Finanziario | Agente in attività finanziaria | Conservazione e trasmissione dati senza meccanismi che ne salvaguardino la riservatezza |
| Commerciale | Franchising | Emissione di carte di fidelizzazione |
| Gestionale | Amministratore di condominio | Titolare ma non automaticamente responsabile del trattamento: necessità di nomina in assemblea condominiale |
È interessante porre l’attenzione verso gli ambiti elencati, analizzando nello specifico le ipotesi di criticità che potrebbero essere riscontrate. Gli scenari di seguito ipotizzati descriveranno quindi situazioni dal punto di vista del caso peggiore.
Il tutto ponendo l’accento sulla certezza dell’assenza di meccanismi volti a garantire la sicurezza dei dati trattenuti, quali crittografia o di cancellazione sicura tramite pseudorandomizzazione.
Indice degli argomenti
GDPR compliance per l’ambito sanitario
Scenario
Prendiamo in considerazione uno studio associato dove all’interno vi sono più professionisti, specializzati in differenti discipline mediche. Tra questi vi è un dentista e la sua segretaria.
Criticità
- Per la gestione amministrativa viene utilizzato un programma gestionale di una software house non più operativa sul mercato, mai revisionato e contenente un innumerevole quantità di bug irrisolti. Il software in questione non è da considerarsi GDPR-Compliant.
- Non esiste una procedura di backup dei dati digitali nel PC in studio.
- Non vi è né alcuna procedura volta ad ovviare ad un eventuale disastro, né alcuna che permetta di garantire una minima continuità operativa a seguito di un evento distruttivo.
- L’acquisizione dei dati sensibili da parte della segretaria è sempre avvenuta in maniera non conforme al GDPR.
Soluzioni
La prima cosa da fare per qualsiasi professionista è prevedere corsi di aggiornamento per i propri dipendenti.
Secondariamente, ci si potrebbe affidare a software certificati, forniti da produttori esperti del settore. In alternativa si segnalano servizi cloud, anche gratuiti, come il seguente: https://www.openkanino.it/.
In tal modo tutta la gestione amministrativa e la Data Protection sono esternalizzate verso terzi che possono garantire la compliance aziendale.
GDPR compliance per l’ambito finanziario
Prendiamo in considerazione un agente in attività finanziaria. Egli collabora con banche, con gli istituti di pagamento e con le società iscritte all’albo degli intermediari finanziari (ex art. 106).
Scenario
Consideriamo un agente che detiene un mandato con una ex-106. Mentre per quest’ultima, sotto la supervisione di Banca d’Italia, vi è una forte pressione per ottenere l’adeguamento al nuovo Regolamento – sia per la Data Security sia per la compliance normativa – stessa cosa non si può dire per l’agente.
Criticità
- L’agente, come tutti i liberi professionisti, possiede diversi (PC, smartphone, pendrive ecc.) nei quali memorizza i dati dei propri clienti.
- Le procedure standard di caricamento delle pratiche di finanziamento trattate dagli agenti prevedono l’utilizzo del gestionale della banca/intermediario (che rispetta i parametri del GDPR). Spesso, per praticità, tali pratiche sono inviate tramite mezzo mail, rigorosamente in chiaro direttamente verso le caselle degli operatori bancari/intermediari.
- Per quanto detto, si pensi quindi alle possibili ripercussioni per un data breach derivanti dallo smarrimento di un dispositivo, dall’invio di dati sensibili ad un “destinatario errato”, dall’esfiltrazione di credenziali dell’agente, da un attacco MITM (Man in the Middle).
Soluzioni
Gli agenti in attività finanziaria sono iscritti all’albo dell’Organismo degli agenti e dei mediatori, il quale ha facoltà di accreditare, sospendere o rimuovere ogni componente.
Per poter esercitare, oltre agli altri adempimenti, gli agenti sono tenuti a tenere dei corsi di formazione annuali, conteggiati tramite un monte ore minimo di frequenza obbligatoria, da effettuare presso delle scuole accreditate.
La mancata osservanza di tale disposizione è passibile di rimozione dall’albo, rendendo di fatto istantanea l’inefficacia di qualunque atto disposto dall’agente in difetto.
Partendo da questa base, l’OAM dovrebbe imporre l’obbligo di fruizione a predeterminati corsi, atti ad ottenere competenze relative alla Data Protection volte a raggiungere la compliance normativa dettata dal GDPR. Dovrebbe inoltre imporre agli intermediari di verificare lo stato di validità di tali corsi. Quanto detto va interpretato limitatamente per l’ambito che concerne le funzioni in capo agli agenti in attività finanziaria.
GDPR compliance per l’ambito commerciale
Scenario
Si immagini una piccola attività commerciale in franchising che, per migliorare la fidelizzazione della propria clientela, ha emesso delle carte di fidelizzazione.
Criticità
- L’acquisizione di dati sensibili non è sempre avvenuta ottenendo correttamente il consenso del cliente.
- Il software di gestione amministrativa non è adeguato alla normativa vigente – presumendo che ve ne sia uno e che non ci si affidi a semplici fogli di calcolo per svolgere le proprie mansioni.
Soluzioni
Cosa dovrebbero fare Franchisor e Franchisee?
Innanzitutto, è essenziale avere il “buy-in” da parte dei responsabili aziendali di modo che Franchisor possano supportare i propri affiliati per garantire la conformità in tutta la rete, in termini di formazione e chiarezza nel manuale operativo sulle procedure relative ai dati.
Di conseguenza, vi è la necessità di prevedere meccanismi di Audit periodico dello stato della rete e di garantire che ogni consenso registrato sia stato dato liberamente, in maniera specifica ed in formato non ambiguo.
Anche in questo caso, è altamente consigliato di munirsi di un gestionale GDPR-Compliant.
GDPR compliance per l’ambito gestionale
Scenario
L’amministratore di condominio utilizza necessariamente i dati dei condomini e di chiunque detiene un diritto reale o di godimento di un immobile presente all’interno del condominio, e svolge ogni giorno operazioni sui dati personali per gestire il bene comune.
Criticità
- L’amministratore è Titolare ma non automaticamente Responsabile del trattamento.
- Comunica tramite la bacheca condominiale informazioni inerenti allo stabile in gestione.
- Effettua la gestione contabile del condominio.
Soluzioni
In occasione del conferimento del mandato (o al momento del rinnovo), dovrà essere esplicitato che l’amministratore assume l’incarico di Responsabile del trattamento dei dati, definendone i compiti e i limiti di utilizzo dei dati che tratterà.
Qualora l’amministratore, nell’ambito delle sue mansioni, dovesse trattare dati personali della persona, dovrà raccoglierne il consenso presso l’interessato. Tale operazione deve essere ripetuta ogni qualvolta siano previsti trattamenti che esulano dalle finalità per i quali i consensi sono stati precedentemente raccolti.
Dovrà essere accorto nell’utilizzare la bacheca condominiale solo per avvisi di carattere generale e non per comunicazioni che comportano l’uso di dati o informazioni riferibili a singoli condomini.
Vista la riforma che rende più “trasparente” la gestione contabile, dovrà permettere (in modo agevole) ai condomini di accedere alle informazioni in possesso dell’amministrazione, seppur nel rispetto della normativa sulla privacy.
Quanto detto potrebbe essere facilmente gestibile prevedendo l’acquisizione software di Gestione Web del condominio, in modo da garantire la Data Protection.
In questo modo ogni singolo condomino ha l’opportunità di accedere unicamente ai propri dati: chiederne l’aggiornamento, la rettifica, l’integrazione. Tramite questo strumento sarebbe possibile effettuare la gestione della documentazione prodotta, accessibile dalle singole utenze in maniera facile e trasparente.
Considerazioni finali
Oggi, supporre che i destinatari del GDPR siano pienamente compliant verso il nuovo Regolamento è utopistico. Soprattutto a seguito delle reiterate lungaggini di adeguamento delle normative nazionali. Senza contare il lavoro del Gruppo dei Garanti dell’Unione Europea (cosiddetto “WP29”) che pubblica costantemente documenti contenenti chiarimenti in merito alla “valutazione d’impatto sulla protezione dei dati” (cosiddetta “DPIA”), alle linee guida in materia di consenso ed altre tematiche fondamentali.
Bisogna inoltre sempre tener conto della resistenza al cambiamento da parte dei Titolari che, nonostante le possibili sanzioni, tende ad ostacolare il pieno recepimento della nuova normativa.
Oltre ai semplici soluzioni elencate in questo documento, si consiglia più generalmente ad ogni categoria professionale di:
- avere una chiara comprensione del dettato normativo;
- verificare lo stato della propria attività – l’AS-IS;
- per comprendere se i trattamenti vengono compiuti in maniera marginale o massiva;
- per decidere se si ha bisogno o meno di competenze esterne per svolgere al meglio la propria attività;
- all’esito positivo della verifica al punto 2:
- predisporre il registro dei trattamenti;
- sostenere corsi di formazione/certificazione, a seguito della definizione del proprio ambito, volti a potenziare le proprie competenze.
Infine, l’ideale sarebbe che il Garante fornisca linee guida per l’analisi del rischio e per l’utilizzo di metodologie/tools o servizi gestionali atti a raggiungere il “GDPR-Compliant”.
