Digital transformation? Certo! Ma non dimentichiamo la Data Protection!

Branded | One Seal Business News

L’importanza della GDPR compliance per la IoT community, intesa come network di produttori e rivenditori di soluzioni hardware e software per l’IoT, è fortemente connaturata con la natura di questo importantissimo settore di business.

Occorre, infatti, considerare due caratteri fondamentali del Regolamento Europeo 2016/679, “General Data Protection Regulation”, per comprenderne la portata in riferimento al settore.

In primo luogo, chiunque fruisca, nell’ambito della propria attività imprenditoriale, di soluzioni che implicano il trattamento di dati, è obbligato a rispettare tutto quanto previsto dalla norma in termini di adempimenti documentali, informatici, fisici e organizzativi, volti alla garanzia di trattamenti sicuri dei dati personali in misura adeguata al rischio implicato dai trattamenti effettuati. Se, dunque, è vero che anche la tenuta di un registro cartaceo delle presenze comporta la necessità del rispetto della norma citata, è altrettanto vero che soluzioni tecnologiche d’avanguardia, come sono i sistemi di IoT, che implicano trattamenti di dati in volumi notevolmente maggiori, mediante elaborazioni complesse e che sono, in definitiva, foriere di rischi maggiori per i diritti degli interessati, sono maggiormente esposte.

Già, ma chi sono gli interessati? Cosa significa “trattare” i dati e, ancora, a cosa ci riferiamo parlando di “dati”? Parafrasando l’art. 4 del GDPR, per uscire dal cosiddetto “legalese”, gli interessati sono le persone fisiche a cui i dati trattati si riferiscono. Ad esempio, in un rapporto di lavoro, dovendosi trattare l’indirizzo iban di un lavoratore al fine di corrispondere la retribuzione, l’interessato è il lavoratore stesso. Si dice, invece, “titolare”, in questo caso, il datore di lavoro. Quest’ultimo è destinatario delle norme contenute nel GDPR e, anche, delle sanzioni che, ricordiamolo, possono arrivare nei casi di violazioni gravi, anche all’importo di 20 MLN di Euro o al 4% del fatturato globale annuo calcolato con riferimento al fatturato dell’anno precedente. Trattare i dati significa, invece, compiere su di essi qualsiasi operazione, dalla conservazione pura e semplice, passando ovviamente per l’elaborazione, fino a cancellazione, modifica, analisi. I dati personali, infine, sono tutte le informazioni idonee a identificare o rendere identificabili una persona fisica. Ciò significa che un nome, un cognome, un identificativo di qualunque genere (numero di tessera, IP fisso, numero di dispositivo), anche se riferito all’ambito aziendale (es. mail aziendale carlo.rossi@rossisrl.it) è un dato personale e il suo trattamento, nei termini di cui sopra, implica la necessità del rispetto delle previsioni del GDPR e il rischio, in caso contrario, di salatissime conseguenze pecuniarie. Ricordiamo che anche un dato cifrato o uno pseudonimo è un dato personale e implica le conseguenze appena descritte.

Secondariamente, non si può dimenticare l’importanza, in ambito Hi-Tech, di quanto previsto dall’art. 25 del Regolamento, che riguarda direttamente anche chi produce e rivende soluzioni, non solo chi le acquista e installa. Infatti, questo articolo prescrive che ogni titolare debba adottare “by default” soluzioni che siano GDPR compliant “by design”. In altri termini, ciò sta a dire che i processi produttivi e le soluzioni adottate da ogni azienda debbano essere pensati fin dalla progettazione e per impostazione predefinita in modo da rispettare le norme sulla privacy. Non si eviterà, dunque, una grave sanzione sostenendo che la violazione alle norme dipenda da un’impostazione predefinita del proprio hardware o software, salvo che non si dimostri che lo stato dell’arte tecnologico non offra nulla di meglio, che non si potessero assolutamente utilizzare mezzi meno invasivi o che i costi delle alternative non fossero assolutamente proibitivi in ragione del proprio business (non basta sostenere che siano impegnativi!).

Certo, a molti lettori di queste righe (soprattutto tra i produttori) sarà senz’altro sorta in mente l’obiezione per la quale “le mie soluzioni trattano dati di macchinari, sulla produzione, non dati personali!”. Potrebbe essere vero, ma se ne può essere certi?

Ipotizziamo, ad esempio, soluzioni di IoT per il warehouse management che vantino l’ottimizzazione non solo della componente robotica, ma anche delle risorse umane mediante strumenti di gestione delle risorse da remoto. Ebbene, la posizione dei lavoratori, i dati sulle loro performances, eventuali registrazioni vocali, il numero dei loro devices o il loro stato di salute, sono tutti dati personali!

Non solo, nello stesso ambito, implica il trattamento di dati personali anche il processare, da parte della soluzione di gestione, gli identificativi (codici a barre, QRcodes o altro) dei colli, laddove se il magazzino serve un’attività B to C, come ad esempio un e – commerce al dettaglio, tali identificativi contengano il riferimento ad un nome, un cognome, un nickname e/o un indirizzo del destinatario.

Tutte queste attività di trattamento non sono vietate dal GDPR, sia chiaro! Possono e devono essere eseguite, ma adottando misure di sicurezza volte a impedire che si verifichino lesioni dei diritti e delle libertà degli interessati.  Ciò significa che chi adotta queste soluzioni (i vari titolari) e chi le progetta, dovranno adottare soluzioni compatibili e modelli documentali di gestione del processo privacy. Si, è essenziale averlo ben chiaro: ad oggi la privacy compliance si traduce in un vero e proprio processo aziendale, non riducendosi ad una certificazione istantanea o ad un mero adempimento documentale. La formazione degli operatori, le formalizzazioni con gli interlocutori contrattuali, la valutazione dei rischi privacy, l’adozione di soluzioni informatiche (cybersecurity) e fisiche (gestione degli spazi, dispositivi di sicurezza) e tutti gli altri adempimenti sono obbligatori e devono essere costanti nel tempo ed aggiornati.

In più, i produttori di soluzioni tecnologiche che implicano il trattamento di dati, devono obbligatoriamente accertarsi – pena enormi limiti di business o gravi danni di immagine alla prima ispezione e sanzione irrogata ad un cliente – che le proprie soluzioni non trattino dati personali o, laddove li trattino, lo facciano secondo le disposizioni del GDPR. Per farlo, però, non quasi mai è possibile affidarsi ad autovalutazioni sommarie effettuate da improvvisati esperti interni.

Dormire sonni tranquilli ed espandere il proprio business con giovamento anche per il proprio brand è possibile, ma è necessario affidarsi a professionisti dotati di competenze specifiche e consolidata esperienza in materia di privacy compliance e data protection, che possano mettere in campo know-how legale, di cybersecurity (generiche competenze informatiche non sono sufficienti!) e di protezione dalle minacce fisiche (prevenzione da accessi non autorizzati, danneggiamenti da acqua o fuoco, organizzazione degli spazi privacy compliant).

Il progresso tecnologico non si arresta, ma se cagiona danni a chi ne dovrebbe fruire, può subire colpi reputazionali dai quali è difficile rialzarsi. Valorizzare la propria GDPR compliance, in un modo ormai data -driven, significa salvare la propria competitività e il buon nome del proprio brand, non rinunciate!