"È la storia di una società che precipita e che mentre sta precipitando si ripete per farsi coraggio fino a qui tutto bene, fino a qui tutto bene, fino a qui tutto bene, ma il problema non è la caduta ma l'atterraggio". cit. "L'odio" film di M. Kassovitz
Il Gdpr, è il regolamento europeo sulla protezione dei dati personali, dopo un primo boom di ricerche, all'indomani dell'entrata in vigore aprile 2018, la questione sembra essersi calmata ma è davvero così?
Iniziamo col dire che siamo agli albori della legge, è passato solo un anno e mezzo dall'entrata in vigore del provvedimento, e siamo ancora nel periodo di formazione sia di coloro che lo "subiscono" sia di coloro che devono farlo rispettare.
Senza voler generare allarmismi, però, conviene cercare di adattare al provvedimento i propri siti/blog o qualsiasi altra tipologia di canale social se raccolgono dati personali.
Le sanzioni sono disciplinate dall'articolo 83 del Gdpr, dove rimando chi volesse maggiori approfondimenti, ma volendo semplificare per gli altri possiamo dire che ci sono due macro categorie:
-1 inadempienze meno gravi, che possono arrivare fino a 10milioni euro o al 2% del fatturato mondiale
-2 violazioni importanti che possono arrivare fino a 20milioni di euro o fino al 4% del fatturato mondiale.
Essendo cifre importanti va da sé che una violazione delle norme del Gdpr può portare ad una chiusura dell'impresa, soprattutto se questa è piccola.
Come risolvere allora?
Per blog piccoli la soluzione migliore è rivolgersi a servizi come Iubenda che offrono una cooky policy già pronta, per aziende medio grandi invece sarebbe meglio dotarsi di un DPO - Data Protection Officer - che è il soggetto indicato dal Gdpr per la protezione dei dati.
Per approfondimenti riguardo al DPO si rimanda agli articoli 37,38 e 39 della norma in esame.
Andando al "sugo della storia" il DPO è un esperto che conosce sia la normativa sia i meccanismi informatici ed è capace di scegliere quale azione eseguire per massimizzare la sicurezza dei dati.
Volendo riassumere i compiti del DPO potremmo dire che deve:
-1 analizzare i meccanismi di conservazione dei dati
-2 valutare tutte le probabilità di perdite e rischi e produrre un documento con cui evidenzia le carenze e i necessari adeguamenti tecnologici
-3 interfacciarsi con le autorità di controllo per le questioni che riguardano le consultazioni preventive e la possibilità di reperire i dati anche in caso di guasti o più in generale in caso di qualsiasi verifica necessaria per controllare la conformità con il regolamento.
Senza adeguamenti al Gdpr, ma con poche sanzioni in Italia, siamo come quella società che precipita, non sa come salvarsi, ma fin qui tutto bene. Per domande o considerazioni lascia un commento.