GDPR, opportunità e rischi per persone e aziende

0

GDPR, opportunità e rischi per persone e aziende

brokercare 20 febbraio 2019 530 Views 0 Comments Rischi informatici

Nei giorni scorsi abbiamo ufficialmente lanciato Cybernetes, il nuovo programma di cyberconsulenza di Care per le aziende. L’ambizioso progetto consiste in una collaborazione con l’avvocato Maurizio Sala, esperto in materia, per fornire agli interessati una prima analisi informale per verificare l’effettiva preparazione delle imprese ai sensi del nuovo GDPR, preludio di una fase di “messa in sicurezza” successiva rispetto alla normativa e dell’ intervento conclusivo di Care, con la proposta della soluzione  assicurativa cyber più adatta al cliente. Per approfondire ulteriormente le tematiche in questione, settimana scorsa abbiamo iniziato il nostro appuntamento con la rubrica sulla Protezione dei dati personali e il rischio Cyber. Ci proponiamo di fornire, in pillole, un quadro della legislazione in materia di protezione dei dati delle persone fisiche, grazie all’aiuto dell’avvocato Sala. Ed ecco la seconda puntata con le sue risposte alle nostre domande: 

Come sempre, come esperti di assicurazioni, ci piace parlare di opportunità e rischi. Partiamo anzitutto dai vantaggi, chi mira a proteggere questa nuova normativa?

Il Regolamento europeo ha due obiettivi: favorire la libera circolazione dei dati personali creando un clima di fiducia per consentire lo sviluppo dell’economia digitale e tutelare i diritti e le libertà fondamentali della persona. Questi obiettivi contengono i corrispondenti vantaggi: se, dal lato dell’azienda, le imprese possono vendere i loro prodotti e fornire i loro servizi in un mercato sempre più globale e con minori intermediazioni, è perché è loro consentito di trattare i dati dei loro clienti e fornitori; dal lato opposto, quello della persona fisica, definita «interessato», vi è una aumentata consapevolezza della legittima aspettativa che vengano rispettati tutti i diritti fondamentali della persona e, quindi, di sapere (cosa che avviene tramite l’obbligo di informativa completa e trasparente) come, da chi, per quale ragione, per quale durata i dati verranno raccolti e trattati dai soggetti privati e pubblici. Il vantaggio per tutti: autorità pubbliche, imprese e soggetti privati sarà quello di contribuire consapevolmente, ciascuno per la propria parte, a quello che il Regolamento individua come il trattamento dei dati personali a servizio dell’uomo, sapendo altresì che il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta , ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità, come recita il considerando 4 del Regolamento europeo.

Quali sono invece i rischi che le aziende corrono nel gestire e trattare dati personali? Ci può fare qualche esempio concreto, a partire dalla sua esperienza?

Il rischio non consegue al trattamento del dato (che comincia con la sua raccolta) ma al trattarlo in modo non corretto. Nell’economia attuale è impossibile all’impresa non trattare dati. L’esempio più banale che mi sovviene è quello del cliente nuovo di un’impresa (quale potrebbe essere l’acquirente di un prodotto in un negozio) che richiedendo la fattura non ricevesse dall’impresa venditrice la necessaria informativa. In mancanza di questa non possono essere raccolti i dati del cliente e se ciò avvenisse il trattamento (in funzione del quale verrebbe poi emessa la fattura) sarebbe illecito, con ogni conseguenza. Facciamo un altro esempio: quando i dati personali non vengono raccolti presso l’interessato – come accade nel caso di acquisto di mailing-list ai fini di marketing – Il titolare del trattamento ha alcuni adempimenti irrinunciabili: operare un controllo a campione presso il cessionario di tali dati per verificare che la raccolta sia stata fatta legittimamente; in occasione del primo contatto con l’interessato in fornirgli l’informativa prevista dall’articolo 14 del GDPR; prevedere nel proprio sistema informatico una procedura che consenta di risalire all’origine del dato. Si tratta di tre adempimenti apparentemente semplici da porre in essere ma che per distrazione o trascuratezza potrebbero essere omessi o implementati in modo non conforme, con rischio di intervento del Garante nell’esercizio di suoi poteri di indagine e correttivi sopra esposti, oltre che sanzionatori.