GDPR - Cosa cambia effettivamente per gli utenti?

img-intro

Salve a tutti, torno a scrivere dopo circa tre anni sul mio blog. Ci torno per parlare della legge 679/2016, o come sicuramente avrete avuto modo di sentir parlare, della famigerata GDPR entrata fattivamente in vigore il 25 maggio scorso.

Cos’è la GDPR?

La GDPR è la General Data Protection Regulation (Regolamentazione Generale per la Protezione dei Dati). Si tratta essenzialmente di un provvedimento legislativo che mira a qualificare e a quantificare le tipologie di dati in possesso di terzi da e verso uno dei Paesi dell’UE. Specificando la legge obbliga coloro i quali trattano dati personali (specie se sensibili) a fornire le motivazioni per le quali li collezionano, a dichiarare le contromisure per evitare fughe di informazioni (AV, Firewall) e, ultimo ma non ultimo, a garantire il diritto all’oblio.

Perché il diritto all’oblio?

La legge sancisce la libertà di NON essere presente sulla rete o su una porzione di essa. Il diritto all’oblio ci garantisce questa libertà di scelta.

Ad esempio: Non voglio che Facebook rimanga in possesso dei miei dati dopo essermi cancellato. È un mio diritto legittimo richiedere la cancellazione di qualsiasi dato che mi riguardi (anche cancellazioni da database di newsletter…).

The importance of being compliant

Parafrasando un titolo di un famosa commedia di Oscar Wilde, l’importanza di essere adeguati alla norma ha ormai pervaso (non senza un diffuso senso nevrotico) tutte le coscienze di tutte le piccole e medie imprese trascinandole nell’isteria e nella paura di non farcela. In realtà essere in regola con la legislazione (ormai) vigente è tutt’altro che difficile: se sono una piccola/media impresa che tratto dati di cittadini europei (anche extra UE) ho l’obbligo di mettere in sicurezza (al riparo da eventuali violazioni anche di tipo ambientale) le location presso le quali ospito i dati dei miei utenti. Successivamente ho l’obbligo di informare l’utente sul COME e sul DOVE utilizzo i suoi dati, avendo sempre l’accortezza di chiedere l’autorizzazione allo stesso PRIMA dell’impiego del dato. Niente di drammatico e insuperabile quindi.

E le grandi imprese?

Quando posso considerarmi una grande impresa? Anche qui il testo di legge è lapalissiano. L’impresa è da considerarsi grande superati i 250 dipendenti. Voi mi direte: ma quindi per me che ho una grande impresa cambia tutto? Anche qui la risposta è semplice. Assolutamente, no! L’unica differenza con le piccole e medie imprese risiede più che in un fatto, in una nuova figura professionale: il DPO.

Il DPO? È un supereroe o un codice fiscale?

Il DPO (Data Protection Officer) è una nuova figura professionale che si occupa essenzialmente del fornire garanzie, nonché comunicabilità, tra l’ente custode del dato e l’utente stesso. Come lo si sceglie? Il DPO può essere innanzitutto di due tipi:

  • Interno;
  • Esterno.

Al di là della provenienza dovrà avere competenze informatiche e legali.

Isteria? Why worry?

Quindi se è così facile adeguarsi perché siamo così presi dal panico e siamo così timorosi su tutta la linea? Probabilmente il movimento mediatico è da ritenersi responsabile in larghissima parte. Più rumore si genera (leggi Cambridge Analytics), più la problematica sembra importante. Personalmente ritengo che stiamo nettamente sopravvalutando la variante sanzionatoria del provvedimento e stiamo adeguando in maniera direttamente proporzionale l’entità della eventuale sanzione alla difficoltà di adeguamento alla normativa (In parole povere se la multa che potrei ricevere è così alta (circa il 4% del fatturato) sicuramente ne conseguirà che l’adeguamento dovrà essere estremamente intricato e complesso). Come vi ho specificato non vi è nulla di più falso. Così come falsa è la DEADLINE IRREVOCABILE del 25 maggio. Mi spiego meglio. È vero si, che il 25 maggio rappresenta nell’immaginario comune l’ultimo giorno per l’adeguamento al GDPR, ma è altrettanto vero che le flagellazioni per un eventuale mancato adeguamento non arriveranno il 26 maggio a mezzanotte e un minuto. La GDPR è una legge come tutte le altre, così come i maniglioni da apporre nei bagni per disabili degli esercizi pubblici o l’obbligo di apporre gli allergeni sulle confezioni dei prodotti.

Ma rischio il 4% del mio fatturato!

Non del tutto vero! Questa sanzione viene comminata solo nei casi più gravi o nei casi di reiterata violazione della legge FINO AD arrivare al famoso 4%.

Quindi per concludere, anche se la legge è legge, è uguale per tutti e dev’essere rispettata, state certi che non c’è bisogno di scatenare la fine del mondo con la sola ansia da adeguamento. E inoltre vi dirò una cosa: se una legge non fosse facile da comprendere e facile da applicare non arriverebbe mai al punto di diventarlo.

Con affetto, il vostro amichevole sviluppatore di quartiere.

Written on June 4, 2018