GDPR: cos'è e come redarlo in Parafarmacia
GDPR, acronimo di General Data Proterction Regulation, per molti la nuova legge sulla privacy, per altri un insieme di articoli (99 per la precisione) poco comprensibili, su cui si costruiscono svariate teorie rispetto agli adempimenti necessari alle aziende per essere “compliance”. Ecco il termine oscuro. Più banalmente si può dire “compatibili” ovvero possedere tutte le caratteristiche procedurali e documentali per poter asserire di rispettare il regolamento.
Il GDPR è appunto un regolamento, non una legge, la legge sulla privacy in vigore rimane la nr. 196, varata nel 2003 e successivamente modificata. Nacquero nuovi soggetti di riferimento all’interno delle aziende, i titolari, i responsabili, gli incaricati del trattamento vennero nominati per ogni forma giuridica e inseriti in un documento guida: il DPS, o Documento Programmatico sulla Sicurezza. Questo documento nel 2012 cessò di essere obbligatorio e il garante della privacy decretò che le aziende avrebbero comunque dovuto tener fede alle indicazioni in esso contenute.
L’esigenza di indicare ai paesi dell’unione una nuova linea di gestione della privacy, nasce oggi proprio dal fatto che in questi ultimi anni le aziende hanno abbassato i livelli di guardia, e considerato meno prioritario il processo di trattamento del dato.
L’assenza del DPS ha indotto le società a mettersi in stand by. Oggi tutti attendiamo la legge, cerchiamo di capire, ci rivolgiamo a questo o a quel consulente, ma fondamentalmente siamo alla finestra. L’Europa lo sa, Bruxelles ha dato indicazioni precise.
Nessuna proroga, il regolamento entrerà in vigore dal 25/05/2018 senza se e senza ma.
Ogni paese dovrà recepirlo e osservarlo, attraverso i propri dispositivi, nel caso Italiano, attraverso una nuova legge. Ed è qui che cala la nebbia. Ma allora, cosa dobbiamo fare?
Il garante della privacy si è pronunciato, e non è che la nebbia si sia sollevata, ma quanto meno si è diradata un po’. Fino a quando non verrà formulato un decreto legge, le aziende dovranno mettersi in regola con quanto descritto nel regolamento della comunità europea, ovvero dovranno dimostrare di averci messo la buona volontà. Bene, come ci siamo mossi allora per essere un po’ virtuosi?
La risposta è una sola, il “caos”! Sono nate società specializzate in “GDPR” come nascono i funghi nel bosco in autunno, le caselle di posta sono state invase da minacce più o meno velate rispetto a controlli da Gestapo imminenti in ogni dove, qualcuno ha persino pensato bene di auto convincersi che ci sarebbe stata la consueta proroga Italica, per poi accorgersi che la roulette russa a volte non è sempre vincente. Allora forse è meglio cambiare la domanda.
Come dovremo muoverci per sembrare almeno un po’ virtuosi? La risposta è semplice, secondo coscienza e conoscenza. Il garante della privacy ha ufficiosamente concesso a tutte le aziende un periodo di pace di almeno 6 mesi a partire da maggio e non verranno sino a quella data elevate sanzioni a chi si sarà messo in moto per adeguare la propria. Chi invece sarà rimasto inerte a guardare, verrà punito senza nessuna eccezione. In questi mesi, le aziende hanno quindi messo in moto quanto necessario per conformarsi alle regole.
E’ qui che ci si è scontrati con una moltitudine di offerte di servizi a volte al limite della razionalità da parte di società fornitrici di vario tipo che hanno proposto una versione tutta loro del GDPR. Alcune hanno proposto dei KIT, altre dei Software, altre ancora hanno offerto un DPO (Data Protection Officer) a società con un solo dipendente e così via.
Il DPO è una figura corresponsabile col titolare ed è obbligatorio solo per determinate realtà, importanti e per dimensione e per attività. Escludiamo da subito le Parafarmacie in modo categorico dalle aziende con obbligo di DPO.
La Parafarmacia in genere è una piccola società, composta dal titolare, qualche socio, quando presente, e pochi dipendenti. Ancora il GDPR non necessita di un software (non esistono software del GDPR). Quello che viene proposto come software è semplicemente un manuale elettronico su come redigere i documenti necessari a rispettare il regolamento. In questo caso manca la conoscenza, elemento fondamentale. Così è anche il KIT del GDPR. Bisogna sapere come usarlo e quando. Infatti, essere “compliance”, richiede una serie di analisi da parte di un esperto, volte a capire quali operazioni sono necessarie. Il GDPR non è una procedura standardizzabile, varia da realtà a realtà.
In Parafarmacia è importante discernere tra l’attività di vendita dei prodotti e quella di fornitura dei servizi.
E’ importante capire se vengono trattati solo dati personali (nome, cognome, indirizzo etc…) o anche dati sensibili (patologie, orientamenti sessuali, religiosi etc…).
Poi c’è il costo del GDPR, altro tema delicato. Questo è in genere proporzionato alle attività che l’esperto dovrà compiere per conto della Parafarmacia. Principalmente sono 3.
L’audit, la redazione di documenti e registri e la formazione al titolare e al personale. L’audit è importantissimo, vi identifica e fa capire all’esperto come proseguire sulla redazione.
Per una Parafarmacia il costo di una pratica di GDPR non potrà mai superare i 500 euro. Quando si seleziona il professionista è importante accertarsi che si occuperà dell’intera redazione della pratica, consegnandovi i documenti già compilati solo da siglare. La fase di redazione è infatti la più lunga. Il dossier che verrà prodotto dovrà dimostrare in modo trasparente che il titolare e i suoi collaboratori hanno recepito chiaramente la normativa e si sono adoperati per rispettarla.
Il requisito nr. 1 infatti del nuovo regolamento è proprio la sua comprensione. A differenza della vecchia legge (o meglio quella ancora attuale) i controlli, demandati alla GDF, saranno incentrati proprio a capire se l’azienda ha compreso bene i tre principi del GDPR. Primo, la responsabilità del titolare (accountability) che diventa totale rispetto a tutta la struttura. Secondo principio è la trasparenza. Prima bastava apporre sull’informativa una dicitura di sintesi che assicurasse il rispetto della norma, ora viene richiesto invece di riportare informazioni chiare e dettagliate sulla raccolta del dato, il suo utilizzo e i diritti dell’interessato. Ultimo è la trasportabilità del dato. Deve essere sempre garantita su richiesta dell’interessato, attraverso una procedura chiara per mezzo della quale l’azienda riceve una richiesta di cessione del dato ad un soggetto terzo. Il trasferimento deve essere garantito in modo veloce e sicuro.
Insomma, fino a gennaio 2019 le aziende avranno il tempo di adeguarsi in modo graduale al regolamento e poi, una volta emanato il nuovo decreto legge, consolidare quanto fatto. Ma attenzione, non ci saranno ulteriori dead-line, quindi con prudenza, è necessario mettersi in moto sempre tenendo a mente che la gestione della privacy è a tutela di chi ogni giorno affida a chi sta dietro al bancone un pezzo della propria vita privata.
Massimo Arnese
Comments