Non avete proprio scuse. Io ve l’avevo detto — proprio su queste pagine — già nel 2014 prima con questo articolo e poi con quest’altro. La privacy è importante, e l’Unione Europea ha deciso di tutelarla in modo aggressivo e completo. Avete avuto quattro anni di tempo per prepararvi; dal 25 maggio 2018 scattano le multe. Fino a dieci milioni di euro (oppure il due percento del fatturato mondiale della vostra azienda, se quest’ultima cifra è maggiore) per l’inadempienza. Il doppio per la negligenza. E state pur tranquilli: con la fame di contanti che ha lo Stato, si butteranno a pesce a sanzionare. Qualcuno ha fatto girare la voce che il Garante avrebbe aspettato qualche mese prima di far partire le multe, e l’autorità ha prontamente smentito.
Per gli assenti
GDPR (Regolamento Generale sulla Protezione dei Dati) tocca quasi tutti quelli che memorizzano i dati relativi a cittadini dell’Unione Europea. Non importa nulla se la vostra azienda ha sede negli USA e il sito è ospitato su un server in Cina. Se accettate la registrazione di cittadini europei; anche solo un numero di telefono, o un indirizzo email, dovete essere in regola. Sono esenti solo i liberi professionisti individuali (singoli avvocati e medici, tanto per capirci).
Ed è un’ottima legge. A differenza di altri casi, come per la legge sui cookie che è imbarazzante e ridicola, stavolta il legislatore ha pensato bene di non impantanarsi sui dettagli. Potete leggere integralmente le 190 pagine della legge europea, ma se preferite ve la riassumo in una frase: i dati dei cittadini vanno conservati con massima cautela, solo dietro esplicito e informato consenso, solo per il tempo necessario. il GDPR si guarda bene dal dire come farlo: son affari vostri.
Ma se – dopo il 25 maggio 2018 – qualcuno vi ruberà quei dati, se li perderete, se li utilizzerete in modo inappropriato, insomma se salterà fuori un qualsiasi pasticcio, le forze dell’ordine vi faranno le pulci. Controlleranno se avevate pianificato tutto per bene. Verificheranno se avevate investito sufficiente personale, e tempo, e risorse finanziarie. Indagheranno se se avete seguito scrupolosamente tutte le procedure che vi eravate dati. Se non sono vere tutte queste cose, scatta il multone. La legge dice anche che il titolare non può delegare la responsabilità, né scansarla: è vietato esplicitamente, per esempio, stipulare una assicurazione e in caso di guai farsi scudo di questa.
Il dato è tratto
Ovviamente alcuni dati, come quelli relativi ad attività sessuali, opinioni politiche, vita privata, vengono tutelati più che altri meno compromettenti, come i recapiti. In svariati casi un’azienda può studiare la faccenda e tutelarsi da sola senza scomodare avvocati né ingegneri. Certamente deve badare a conservare meno dati possibili, per il periodo di tempo minimo indispensabile a fare il suo lavoro, e a seguito di un consenso esplicito e motivato del cittadino che deve essere informato di tutto quello che si intende fare coi suoi dati. Fate un giro su Adempimenti GDPR e usate la checklist interattiva, vi dirà quanto sia critica la situazione dell’azienda. (Per massima trasparenza vorrei chiarire, nero su bianco, che il sito è stato sviluppato dalla mia azienda e offre anche servizi a pagamento, ma l’iscrizione è completamente gratuita e permette l’accesso a tutto il materiale informativo: sia quello scritto dal sottoscritto in quanto esperto d’informatica, sia quello scritto dagli avvocati. A pagamento sono solo il software e le eventuali consulenze ad personam, insomma).
Dati critici, dicevamo. La legge, e l’imponente apparato di commenti regolamenti e precisazioni che sta crescendo tutt’attorno, impone un principio prudenziale, perché alcuni dati non sarebbero compromettenti per conto proprio, ma possono venire interpretati e correlati, e diventarlo. Per esempio, una multiutility che eroga acqua luce gas e teleriscaldamento di per sé non sembrerebbe possedere dati critici, ma a ben pensarci quei contatori con telelettura possono venire usati per scoprire se e quando il cittadino è in casa e quando invece si trova in ferie: una informazione perfetta per gli svaligiatori. La tessera fedeltà del supermercato, analogamente, raccoglie informazioni che possono sembrare poco private: ma se dalla lettura degli scontrini si desume che il consumatore ha una allergia al glutine, non diventa forse una informazione sullo stato di salute? La fattura del carrozziere potrebbe essere un documento che pochi hanno interesse a violare; a meno che testimoni il possesso di una Ferrari…
È finito il far west dei dati
GDPR è uno spartiacque. Prima prosperavano gli spammatori, quelli del marketing digitale che profilavano il mondo, i commerci elettronici che si sentivano in diritto di tracciare anche i non registrati sui loro siti. Pian piano cambieranno mestiere. Non si salveranno (più) neppure i soliti grandi nomi che si sono arricchiti collezionando i dati dei loro utenti, come Facebook: stan tutti correndo ai ripari. Il suo arrivo, a cascata, ha costretto addirittura paesi amici ma non membri, come la Svizzera, cambiare le proprie leggi in merito.