2 Commenti

Il tempo è scaduto, scattano le multe

Con GDPR non si scherza

di

thumbnail

02

mag

2018

25 maggio 2018: è il giorno del giudizio per chi fa marketing su Internet o in generale memorizza dati sensibili di cittadini.

Non avete proprio scuse. Io ve l’avevo detto — proprio su queste pagine — già nel 2014 prima con questo articolo e poi con quest’altro. La privacy è importante, e l’Unione Europea ha deciso di tutelarla in modo aggressivo e completo.

Avete avuto quattro anni di tempo per prepararvi; dal 25 maggio 2018 scattano le multe. Fino a dieci milioni di euro (oppure il due percento del fatturato mondiale della vostra azienda, se quest’ultima cifra è maggiore) per l’inadempienza. Il doppio per la negligenza. E state pur tranquilli: con la fame di contanti che ha lo Stato, si butteranno a pesce a sanzionare. Qualcuno ha fatto girare la voce che il Garante avrebbe aspettato qualche mese prima di far partire le multe, e l’autorità ha prontamente smentito.

Per gli assenti

GDPR (Regolamento Generale sulla Protezione dei Dati) tocca quasi tutti quelli che memorizzano i dati relativi a cittadini dell’Unione Europea. Non importa nulla se la vostra azienda ha sede negli USA e il sito è ospitato su un server in Cina. Se accettate la registrazione di cittadini europei; anche solo un numero di telefono, o un indirizzo email, dovete essere in regola. Sono esenti solo i liberi professionisti individuali (singoli avvocati e medici, tanto per capirci).

Ed è un’ottima legge. A differenza di altri casi, come per la legge sui cookie che è imbarazzante e ridicola, stavolta il legislatore ha pensato bene di non impantanarsi sui dettagli.

Potete leggere integralmente le 190 pagine della legge europea, ma se preferite ve la riassumo in una frase: i dati dei cittadini vanno conservati con massima cautela, solo dietro esplicito e informato consenso, solo per il tempo necessario. il GDPR si guarda bene dal dire come farlo: son affari vostri.

GDPR: Fiat Stilo Guardia di Finanza

Chi trascura o snobba l’arrivo di GDPR in azienda rischia di avere ospiti inaspettati.

 

Ma se – dopo il 25 maggio 2018 – qualcuno vi ruberà quei dati, se li perderete, se li utilizzerete in modo inappropriato, insomma se salterà fuori un qualsiasi pasticcio, le forze dell’ordine vi faranno le pulci. Controlleranno se avevate pianificato tutto per bene. Verificheranno se avevate investito sufficiente personale, e tempo, e risorse finanziarie. Indagheranno se se avete seguito scrupolosamente tutte le procedure che vi eravate dati. Se non sono vere tutte queste cose, scatta il multone. La legge dice anche che il titolare non può delegare la responsabilità, né scansarla: è vietato esplicitamente, per esempio, stipulare una assicurazione e in caso di guai farsi scudo di questa.

Il dato è tratto

Ovviamente alcuni dati, come quelli relativi ad attività sessuali, opinioni politiche, vita privata, vengono tutelati più che altri meno compromettenti, come i recapiti. In svariati casi un’azienda può studiare la faccenda e tutelarsi da sola senza scomodare avvocati né ingegneri. Certamente deve badare a conservare meno dati possibili, per il periodo di tempo minimo indispensabile a fare il suo lavoro, e a seguito di un consenso esplicito e motivato del cittadino che deve essere informato di tutto quello che si intende fare coi suoi dati. Fate un giro su Adempimenti GDPR e usate la checklist interattiva, vi dirà quanto sia critica la situazione dell’azienda.

(Per massima trasparenza vorrei chiarire, nero su bianco, che il sito è stato sviluppato dalla mia azienda e offre anche servizi a pagamento, ma l’iscrizione è completamente gratuita e permette l’accesso a tutto il materiale informativo: sia quello scritto dal sottoscritto in quanto esperto d’informatica, sia quello scritto dagli avvocati. A pagamento sono solo il software e le eventuali consulenze ad personam, insomma).

Dati critici, dicevamo. La legge, e l’imponente apparato di commenti regolamenti e precisazioni che sta crescendo tutt’attorno, impone un principio prudenziale, perché alcuni dati non sarebbero compromettenti per conto proprio, ma possono venire interpretati e correlati, e diventarlo. Per esempio, una multiutility che eroga acqua luce gas e teleriscaldamento di per sé non sembrerebbe possedere dati critici, ma a ben pensarci quei contatori con telelettura possono venire usati per scoprire se e quando il cittadino è in casa e quando invece si trova in ferie: una informazione perfetta per gli svaligiatori.

La tessera fedeltà del supermercato, analogamente, raccoglie informazioni che possono sembrare poco private: ma se dalla lettura degli scontrini si desume che il consumatore ha una allergia al glutine, non diventa forse una informazione sullo stato di salute? La fattura del carrozziere potrebbe essere un documento che pochi hanno interesse a violare; a meno che testimoni il possesso di una Ferrari…

È finito il far west dei dati

GDPR è uno spartiacque. Prima prosperavano gli spammatori, quelli del marketing digitale che profilavano il mondo, i commerci elettronici che si sentivano in diritto di tracciare anche i non registrati sui loro siti. Pian piano cambieranno mestiere. Non si salveranno (più) neppure i soliti grandi nomi che si sono arricchiti collezionando i dati dei loro utenti, come Facebook: stan tutti correndo ai ripari. Il suo arrivo, a cascata, ha costretto addirittura paesi amici ma non membri, come la Svizzera, cambiare le proprie leggi in merito.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 2.533 volte | Tag: ,

2 commenti

  1. Bruno

    Ringrazio per l’articolo. Avevo cominciato a leggere in giro un po’ di informazioni. Quello che mi lascia perplesso é come evitare di avere guai. Ho un ecommerce in CH vendo solo a clienti in CH. Ho i loro nomi ed indirizzi per motivi di spedizione degli ordini e poi ho un sistema di punti regalo legati alle ordinazioni. Non ho in alcun modo mai trattato i cosidetti dati sensibili.pero’ indirizzo, mail, telefono nome cognome se li tolgo il sitema dei punti regalo che poi diventano un possibile sconto, sparisce. Lo storico degli ordini ricevuti non puo’ essere anonimo o peggio ancora eliminato. E le informative di nuovi prodotti ed offerte ai clienti come si puo’ fare se il dato del cliente deve essere eliminato o tenuto per il tempo necessario all’ evento. Quindi i classici files “clienti” “fornitori” li mettiamo nella toilette e tiriamo l’acqua? O forse non ho capito nulla.

  2. Luca Accomazzi

    Trovarsi in Svizzera non cambia nulla, la nuova legge federale sulla privacy entrerà in vigore tra pochi mesi ed è un’ottima copia del GDPR. E non c’è scappatoia, la legge dice che i dati di un cittadino possono venire richiesti solo per un periodo delimitato e poi vanno cancellati. Ne parlavo la settimana scorsa a millevoci sulla rete uno della RSI, puoi trovare il podcast sul loro sito

Lascia il tuo commento