GDPR fra teoria e pratica
Le prime settimane sono passate, ora il GDPR è (più o meno) in vigore, in tanti si sono adeguati, qualcuno ha scelto di non farlo o di farlo solo parzialmente. Altri hanno scelto di interpretare il regolamento come contiguo rispetto a prima, altri hanno preso il regolamento come un punto di "rottura" da una normativa di un tipo a un altro tipo. (...)
Indipendentemente da in quali dei comportamenti sopra indicati vi rivedete, il GDPR prevede diverse cose che vanno modificate nella prarica di tutti i giorni relativa al reperimento, trattamento e conservazione dei dati di contatto dei nostri clienti/soci/sostenitori.
Tali pratiche di consapevolezza del "dato" sono forse la parte più importante del GDPR dal momento che ci inducono, volenti o nolenti, ad analizzare i processi con cui raccogliamo, trattiamo, conserviamo e rendicontiamo i dati relativi ai nostri clienti/contatti. In maniera così strutturata e coinvolgente è forse la prima volta che capita in Italia.
Fra le micro/piccole Imprese, le Associazioni o i Freelance, chi si era mai fermato a pensare a come sono stati raccolti i contatti dei nostri clienti negli anni? Era la normalità: hai un contatto, potenziale cliente, e tieni i suoi dati. Giusto, ma quanti si sono mai formalizzati sul fatto che spesso i contatti poi non sono diventati clienti, oppure sul fatto che gli ex-clienti non è detto che siano interessati a essere ricontattati da noi, e per finire che trascorso un dato lasso di tempo i dati dei nostri ex-clienti andavano cancellati/distrutti?
Oppure ancora, quanti si erano fermati a ragionare sulla conservazione dei dati dei nostri contatti? Quanti hanno mai crittato/offuscato/protetto i file sul proprio computer su cui erano riportati nomi, cognomi, numeri di telefono, indirizzi codice fiscale etc? In quanti hanno attuato le minime norme di sicurezza passandosi fra colleghi i dati in allegato? (o nelle email? :-) ).
I backup? quanti hanno etichettato i CD con data di realizzazione e smaltito conformemente alle norme tali CD trascorso il periodo previsto per la conservazione dei dati? E i computer dismessi, quanti hanno provveduto a cancellare in forma corretta (data wiping) gli HD prima di smaltirli?
Queste pratiche non erano la quotidianità per molte realtà che ora devono in qualche modo far fronte al cambio di normativa. Il punto più importante che il GDPR ha portato è forse proprio in questo, nello stimolare la consapevolezza che i dati sono asset aziendali che richiedono consapevolezza nel trattamento.
Fra gli articoli del GDPR forse il 30, relativo alla rendicontazione sul trattamento dei dati, è quello che meglio ci aiuta in questa fase di cambiamento e consapevolezza. Ma quanti la stanno attuando? Per i "piccoli" il GDPR non lo prevede come obbligo, ma l'importanza di un registro dei trattamenti sta proprio nel fatto che la pratica comune non sempre ci porta a ragionare sulle procedure che attuiamo e il GDPR, piccoli o grandi che siamo, ci ha imposto l'accountability, ossia l'identificazione della responsabilità del trattamento dei dati. Il registro è lo strumento con cui si può rispondere in caso di richiesta da parte dell'autorità o da parte dei singoli, di aver fatto tutto quanto ritenuto necessario per tutelare il trattamento dei dati, da una parte, dall'altra è anche lo strumento che ci consente e stimola a tenere traccia e focalizzarci sulle effettive pratiche di trattamento dei dati.
In queste settimane che hanno preceduto e seguito l'entrata in vigore del GPDR ho avuto modo di osservare e analizzare la procedure di tante, tantissime realtà che un po' in preda all'ansia da "data" hanno mandato e-mail per "mettersi a norma", quasi che la normativa UE 2016 679 si limitasse al cambio di informativa sul trattamento dei dati. Nonostante questo, quasi nessuna delle mail ricevute interpretava quanto previsto dal GDPR, per esempio la maggior parte era di tipo "drop-out" (richiedere la cancellazione) e non "drop-in" (richiedere la sottoscrizione) come invece dovrebbe essere per il Regolamento Europeo.
Ora il GDPR è normativa anche italiana e che siano confermate o meno le voci secondo cui solo dal 2019 tale normativa verrà sanzionata anche in Italia resta un fatto, la normativa c'è ci dovremo convivere e adeguare, ma soprattutto è conveniente farla diventare una pratica quotidiana, pensare in funzione del trattamento dei dati che facciamo ogni giorno.