RGPD: Orientarsi nel complesso mondo dei dati dei clienti

Marcy Darsey, direttore del Corporate Counsel per Lifesize
Data: 15 febbraio 2018

Ciao a tutti e bentornati a Lifesize Live!, lo show live sul web prodotto interamente tramite la piattaforma Lifesize.

Io sono Julian Fields e con me oggi c'è Marcy Darsey, consulente legale qui a Lifesize. Insieme, parleremo di RGPD.

Esatto. È l'argomento sulla bocca di tutti, ultimamente.

Già. Però noi sappiamo cos'è il RGPD, ma, per mettere le cose in chiaro ed essere sicuri che tutti sappiano di cosa stiamo parlando, potresti fare una piccola introduzione? Magari spiegare qual è il significato dell'acronimo, ecc.

Be', Julian, per prima cosa, grazie per avermi invitato qui a Lifesize Live! È davvero emozionante vedere lo studio e far parte di questo webcast prodotto da Lifesize. Prima di cominciare e addentrarci nei misteri del RGPD, visto che sono un avvocato, voglio chiarire che tutto quello che dirò nei prossimi 10 minuti non rappresenta una consulenza legale.

Certo.

Quindi, se qualcuno di voi è incuriosito dall'argomento, oppure ha domande specifiche sul RGPD, regolamenti o leggi, è meglio che si rivolga a un esperto qualificato in materia. Ma torniamo alla tua domanda. Cos'è il RGPD e cosa significa? RGPD sta per Regolamento generale sulla protezione dei dati, ed è una nuova legge approvata dalla commissione dell'Unione Europea. Riguarda la privacy e la protezione dei dati per tutti i residenti nell'Unione Europea.

Sì, è un argomento che conosco bene: lavorando nel marketing, abbiamo sempre dovuto tenere presente qualche nozione al riguardo, come il non poter scrivere e-mail alle persone che non vogliono ricevere comunicazioni.

Esatto. In effetti, nell'Unione Europea esistono leggi per la protezione e la privacy dei dati già da molto tempo, ormai più di 20 anni. Ma il RGPD nello specifico è stato approvato appena due anni fa. Dopo un periodo di implementazione, il 25 maggio gli organismi di regolamentazione inizieranno ad applicarlo. Cominceranno ad occuparsi dei casi di violazione e ad applicare sanzioni alle aziende che non dovessero rispettarlo. E sto parlando di sanzioni importanti.

Insomma, non se la caveranno con una ramanzina.

Esatto, non se la caveranno con una ramanzina. Le multe possono arrivare fino a 20 milioni di euro, che non è poco.

Convertendo la valuta, vediamo cosa si ottiene... sono praticamente più di 20 milioni di dollari.

Un bel po' di soldi. Le aziende dovranno pagare la cifra più alta tra 20 milioni di dollari e il quattro per cento del loro fatturato annuo globale, incluse le entrate provenienti da operazioni in tutto il mondo, non solo in Europa.

Ok, quindi più grande è l'azienda, più la multa è gravosa.

Esatto, le multe sono pesanti, perché l'Unione Europea riconosce che ogni individuo ha un fondamentale diritto alla privacy. E se pensiamo al mondo in cui viviamo oggi, con tutti i progressi tecnologici degli ultimi decenni, le identità delle persone e i loro dati personali vengono condivisi su molte piattaforme, e molte imprese traggono profitto proprio ottenendo e raccogliendo i dati degli utenti.

Sì, pare che praticamente ogni applicazione che utilizzo sappia il mio nome, password, numeri telefonici, indirizzi e cose del genere.

Esatto. Insomma, pensa a tutte le aziende con cui interagisci online e a quante informazioni posseggono su di te.

Hanno i dati della mia carta di credito, ma anche i miei dettagli personali.

Sì, la tua identità, i tuoi dati, chi sei, come ti chiami... informazioni personali. Se condividi questi dati con un'azienda, questa è obbligata ad assicurarti la propria trasparenza in merito alla gestione e al trattamento dei tuoi dati. Inoltre, è suo dovere applicare misure di sicurezza appropriate, a livello tecnico e operativo, per assicurare che i tuoi dati personali siano al sicuro da eventuali violazioni. Le aziende che non seguono queste leggi verranno sanzionate severamente, perché l'Unione Europea vuole accertarsi che prendano sul serio i loro doveri.

Chiaro. Quindi quali sono gli aspetti fondamentali del RGPD?

Be', la versione a stampa del RGPD è lunga 88 pagine. Si tratta di una legge corposa, che copre molti argomenti e comprende 99 articoli diversi.

Perfetto! Oggi mancano esattamente 99 giorni alla data in cui sarà obbligatorio conformarsi alla legge. Un articolo al giorno: possiamo farcela!

Chiunque può farcela. Insomma, oggi il 99 è il numero magico, perché mancano 99 giorni prima dell'entrata in vigore del RGPD. È una legge che tratta molti aspetti, ma ho già accennato a uno dei più importanti: la trasparenza. In questo modo, i privati hanno il diritto di capire quali dei loro dati personali vengono raccolti e cosa ne fanno le aziende, se li condividono o meno con fornitori esterni o con altre unità di elaborazione. Inoltre, la trasparenza ti permette di sapere come e dove vengono conservati i tuoi dati.

Quindi riguarda anche quei pop-up che si vedono nei siti in cui c'è scritto: “questo sito utilizza cookie“ o cose del genere.

Sì, anche i banner... fa tutto fa parte della trasparenza nei confronti del cliente. È molto importante fornire le informazioni appropriate sia nelle avvertenze sia nell'informativa sulla privacy. Molte aziende stanno aggiornando l'informativa sulla privacy dei clienti per essere conformi all'obbligo di trasparenza. Un altro principio del RGPD è il dover rendere conto del proprio operato, altra cosa fondamentale. In pratica, le aziende devono poter dimostrare ai propri clienti di essere conformi alle normative e per farlo devono disporre di politiche documentate e procedure adeguate. Inoltre, devono documentare le proprie attività di elaborazione dei dati e mettere per iscritto tutte le proprie operazioni.

Quindi non basta dire: “Sì, dichiariamo che seguiremo il RGPD.“

No, non è sufficiente dire: “Prendeteci in parola, seguiremo la legge“. È necessario disporre della documentazione adeguata che dimostri la propria conformità alle regole. Infine, un terzo principio fondamentale del RGPD riguarda il concetto di “privacy by design“ e ciò che comporta se le imprese sviluppano progetti che implicano la raccolta, l'elaborazione o la conservazione dei dati personali—

Come le applicazioni di cui parlavo prima.

Sì, esatto. Quindi, se sei un'azienda e stai sviluppando applicazioni che raccolgono dati personali, devi applicare un approccio di privacy by design già allo sviluppo del prodotto.

Non è una cosa che si può decidere a posteriori.

Esatto, significa che, mentre si sviluppa la struttura di una soluzione o di un servizio, bisogna tenere in considerazione la privacy e la protezione in ogni fase del processo. Durante l'elaborazione, bisogna pensare alla privacy sin dalle basi del progetto, per trovare il modo di integrarla alla struttura del prodotto. Non è un elemento che si può applicare alla fine, come un'aggiunta a posteriori. Proprio come hai detto tu.

Non si può dire: “Le informazioni verranno crittografate nella fase finale”.

No, esatto, bisogna tener presente la privacy nel corso di ogni fase dello sviluppo del prodotto. E come ho detto prima, per rendere conto del proprio operato bisogna documentare ogni passaggio.

Chiaro. Be', se questi sono i punti fondamentali, magari diciamo anche quali sono gli aspetti a cui devono badare le aziende. Qual è la prima cosa di cui devono occuparsi?

Dunque, per prima cosa le aziende devono capire quali dati hanno a disposizione ed eseguire una valutazione in merito. Per prima cosa, dovranno esaminare quali dati dei propri clienti hanno in loro possesso, per acquisire consapevolezza delle informazioni e del loro flusso. In alcuni casi, questo può comportare l'elaborazione di una mappa o di un inventario dei dati. Dopodiché si analizza ogni fase, dalla raccolta dei dati all'elaborazione, dall'archiviazione alla cancellazione o la conservazione, che ci siano o meno obblighi da rispettare per garantire la conformità. Il primo passo, in sostanza, è la valutazione dei dati o una mappa di dati. Successivamente le aziende dovrebbero sviluppare provvedimenti tecnici e operativi appropriati per assicurare la protezione dei dati personali in tutte le aree della mappa.

Ok. Vedo che ci è arrivata una domanda, se ti va di rispondere. Riguarda i casi in cui è necessario avere un responsabile della protezione dei dati. Tutte le aziende devono averne uno?

Dipende. Non è obbligatorio, ma dipende dal tipo di dati che si elaborano. Se si elaborano molti dati sensibili, è meglio averne uno. O anche se si applica un qualche monitoraggio costante, ad esempio in un'azienda che sottotitola programmi tv e monitora costantemente gli utenti, si è tenuti ad avere un addetto responsabile della protezione dei dati. So che è una tipica risposta da avvocato, ma dipende. Ed è un aspetto importante da ricordare di questa legge: non c'è una soluzione uguale per tutti. Ogni azienda dovrebbe sviluppare un programma personalizzato per rimanere sempre conforme. La situazione cambia in base al tipo di dati e alle relative attività di elaborazione. Quindi non esiste una soluzione che funzioni per tutti. Ogni aspetto deve essere personalizzato e valutato con attenzione.

Certo, certo. Be', grazie mille, Marcy. Credo che il nostro tempo sia scaduto per oggi, ma sono arrivate altre domande. Se per te va bene, potremmo continuare ad approfondire questi argomenti con te, creando un blog in cui parlarne.

Ma certo. Ci sono molte cose da dire al riguardo, e ringrazio tutti coloro che si sono sintonizzati con noi e ci hanno seguito. E grazie a voi per avermi invitato.

Certo, figurati. Ti richiameremo presto. Be', grazie a tutti per esservi sintonizzati. Ci vediamo la prossima settimana. Arrivederci.

Hai bisogno di ulteriore assistenza?
Contatta uno dei nostri rappresentanti di vendita locali.