Il GDPR, il Regolamento Europeo 2016/679 sulla Data Protection, regola molteplici adempimenti relativamente al come debbano essere raccolte e gestite le informazioni inerenti persone fisiche. In poche parole, obbliga le aziende ad adottare una corretta Secure & Compliant Data Governance.
Alcuni adempimenti riguardano il momento della raccolta dei dati (ad esempio, informativa e consenso), altri impattano sul periodo in cui i dati vengono mantenuti e quando devono essere cancellati (ad esempio, protezione dei dati, cancellazione o anonimizzazione delle informazioni al termine del periodo di conservazione), altri obblighi conseguono all’esercizio dei diritti degli interessati e determinano azioni da porre in essere da parte di aziende e pubbliche amministrazioni (es. variazione, accesso, cancellazione, portabilità ecc.).
Indice degli argomenti
Impianto normativo del GDPR: gli impatti sul mercato B2C
La norma impatta tutti i settori di mercato ma alcuni in particolare subiscono le criticità dell’impianto normativo in quanto gestiscono business B2C. Si pensi al mondo della Grande Distribuzione Organizzata (GDO), del Fashion, del Luxury, delle Agenzie del Lavoro ed ancora Telco, Banche e Assicurazioni.
Nelle aziende di questi settori di mercato esistono trattamenti che comportano la raccolta di ingenti quantità di informazioni, categorizzate, arricchite e gestite per fini molto diversi fra loro (ad esempio, per azioni di marketing, per fatturazione, garanzia e via dicendo).
Si pone quindi il problema di avere certezza in merito alla esistenza dei dati con riferimento a ciascun interessato, alla presenza nei vari database, alla possibilità di cancellarli o modificarli senza far perdere di significato ad altre basi di dati tenute per fini diversi e di avere, e poter trovare tutte le informazioni utili a poter dimostrare di avere gestito tutto nel modo corretto, come richiesto dal principio di accountability stabilito dal GDPR.
Una corretta politica di Data Governance per tutelare il business aziendale
Per questa ragione una politica di Data Governance che tenga conto di tutte le esigenze legate al business, di information & cyber security dell’organizzazione che voglia tutelare sé stessa ed il proprio business, nonché tutte le esigenze di compliance, diventa non solo indispensabile ma anche strategica.
È necessario ovviamente avere quindi un registro dei trattamenti aggiornato e completo, al fine di conoscere tutti i trattamenti in corso, gli asset coinvolti nel trattamento, le finalità, le basi giuridiche, nonché le politiche di retention.
Questo permetterà di poter sapere quali tipi di documenti sono correlati al trattamento (ad esempio, informative cartacee piuttosto che elettroniche), sapendo quale versione del documento era attiva in quale momento storico, ed eventuali evidenze della loro fruizione (ad esempio, log di accesso a quelle dei servizi on-line). Questo in ottica di accountability permetterà di dimostrare che l’informativa è stata resa, con quali informazioni, nonché le naturali evoluzioni migliorative di tali documenti.
Raccolta dei consenti e data retention per la compliance al GDPR
Se già il tema dell’accountability è estremamente rilevante per le informative, ancor di maggiore attenzione è quello della raccolta dei consensi: sapere quali consensi sono stati raccolti, da quale strumento, rispetto a quale interessato, quando, storicizzando anche i cambiamenti, diventa indispensabile, al fine ad esempio di dimostrare che un certo trattamento era stato autorizzato da un certo interessato in un certo lasso di tempo. In caso di contestazione, infatti, è responsabilità del titolare dimostrare, con log ed altri strumenti simili, di avere avuto quel consenso in quel momento storico (ad esempio, invio di newsletter) anche se tale consenso è stato revocato in seguito.
Il tema della retention, inoltre, è troppo spesso sottovalutato. Se si trattasse di mera “cancellazione” delle informazioni già sarebbe tecnologicamente complesso e potrebbe essere associato a processi come quello di richiesta di cancellazione da parte dell’interessato. Tuttavia il tema è molto più ampio e critico.
In alcuni casi potrei voler anonimizzare le informazioni, togliendo loro la qualifica di dato personale. In altri casi avrò necessità di sospendere il trattamento da parte di certe funzioni aziendali (ad esempio, marketing) mentre dovrà permanere l’informazione ed il diritto al trattamento per altre (ad esempio, customer care per dare seguito ad obblighi contrattuali come una garanzia o un supporto).
In altri casi dovrò anonimizzare per alcuni ma non per altri. In questo caso mi troverò a dover duplicare parte delle informazioni o a gestire complesse access-list al fine di essere certo di soddisfare tutti i requisiti legali e di business.
Accesso ai dati e diritto alla cancellazione, tra liceità della richiesta e obblighi di legge
In questo quadro rientra anche il diritto di cancellazione, soprattutto in rapporto alla liceità della richiesta e della coerenza delle informazioni che devono essere conservate.
Un professionista che chieda di cancellare i dati che lo riguardano potrà farlo ad esempio relativamente ad una eventuale profilazione a fini pubblicitario, ma l’anagrafica che lo riguarda legata ad esempio a fatture emesse non dovrà essere cancellata al fine di garantire la coerenza dei dati fiscali la cui conservazione risponde ad obblighi di legge.
Anche relativamente al diritto all’accesso ed alla portabilità si pongono molte questioni relative alla verifica della liceità della richiesta, rispetto a quali informazioni in quali basi di dati debbano e/o possano essere rese disponibili, in che formato, a cura di chi, sulla base di quali autorizzazioni e verifiche, con che traccia delle operazioni compiute.
Tutto questo deve avvenire in un quadro complicato ulteriormente dalle ulteriori misure adottate al fine di proteggere tali informazioni, come richiesto dall’art. 32 del regolamento. Quindi cifratura, pseudonimizzazione, autenticazione forte ed altre misure analoghe potrebbero rendere ancora più complesse tutte le operazioni sopra descritte.
Questo quadro, così rapidamente sintetizzato, permette di comprendere la complessità di un sistema di gestione delle informazioni che soddisfi i requisiti del regolamento. Tale sistema deve passare dalle adeguate misure organizzative, dall’adozione degli strumenti tecnologici più adatti al contesto ed agli applicativi in uso, ma non può prescindere da politiche ed analisi che permettano al sistema di essere disegnato correttamente per essere poi gestito correttamente e monitorato nel tempo.
Per questa ragione la Data Governance diventa un alleato strategico nell’ottica del garantire l’information security e la compliance. Perché permettere di conoscere le proprie informazioni, i propri asset, le relazioni ed i processi che li regolano, permettendo quindi la corretta configurazione degli opportuni strumenti.
