Madrid, 12 de giugno de 2018- Il continuo progresso delle nuove tecnologie e dell’uso d’Internet ha cambiato il modo in cui utenti e aziende si comunicano tra di loro, incidendo sempre di più sulla privacy e la protezione dei dati personali delle persone fisiche.
Come al solito, lo sviluppo tecnologico fa passi avanti più velocemente che quello normativo, che tratta di adeguarsi ai nuovi scenari. Ai fini di fissare le basi di una normativa adatta alla realtà attuale, e dopo diversi anni di discussione, le autorità europee competenti hanno approvato un Regolamento Europeo in Materia di Protezione dei Dati Personali (GDPR in inglese), che ha entrato in vigore due anni fa, però che dallo scorso 25 maggio è pienamente esigibile.
Questa normativa cambia il modo in cui l’azienda e ciascuno dei suoi membri devono trattare i dati privati delle persone fisiche, riconoscendo nuovi diritti agli utenti e chiedendo più responsabilità alle aziende. È applicabile in tutti i Paesi dell’Unione Europea e non solo interessa le aziende stabilite nei Paesi membri, ma anche tutte quante offrono i suoi prodotti o servizi ai cittadini europei.
La nuova legge si basa sull’idea che la privacy in materia di dati personali è un diritto fondamentale della persona e per tutelarlo propone un modello basato sulla responsabilità proattiva, non fissando un modo concreto su come va fatto.
Tutto ciò rappresenta un’assoluta trasformazione nel paradigma delle organizzazioni, sia pubbliche che private, a cui l’Unione Europea ha concesso due anni per adeguarsi, per cui hanno dovuto implementare delle misure tecniche e organizzative adatte ai fini di tutelare la privacy delle persone interessate, nel nostro caso: clienti, dipendenti e fornitori.
Perciò, in Codere è stato costituito una task force di adattamento al GDPR, integrata da José Luis González, Direttore di Sicurezza dei Sistemi, come responsabile dell’area tecnica, e Javier Lomas, Avvocato del Corporate, come responsabile dell’area legale, che hanno già incontrato lo staff di tutte le Direzioni dell’azienda, per presentare e promuovere il progetto. Questa task force è stata rafforzata con la collaborazione interna di Luis Miguel Brejano, Responsabile di Sicurezza Tecnologica, e Cristina Vergel, Avvocato del Corporate di Compliance, così come quella esterna dell’azienda di consulenza specializzata ECIX.
Il progetto ha avuto inizio con l’inventario esaustivo di tutti i processi che comportano la raccolta o gestione di dati di tipo personale, per garantire che vengono rispettate le nuove esigenze normative, che basicamente sono:
- La raccolta di dati deve ridursi al minimo ed in modo trasparente e informato.
- L’accettazione deve essere espressa, libera ed inequivocabile.
- Verranno cancellati quei dati non necessari per l’attività.
- Si limiterà all’accesso ai database alle persone che ne hanno bisogno.
- La governance e la sicurezza dei dati deve essere garantita nell’intero percorso di vita.
- Le eventuali violazioni sulla sicurezza che interessano i dati personali vanno comunicate.
- Deve essere garantito che i clienti possono sfruttare nuovi diritti in materia di dati (accesso, rettifica, portabilità, restrizione, cancellazione, opposizione e revoca).
Progetto di adeguamento legale di Codere al nuovo Regolamento di Protezione di Dati
Uno dei principi fondamentali della nuova normativa europea consiste che le aziende non saranno solo responsabili del rispetto delle esigenze del GDPR in tutto quello che riguarda la protezione dei dati personali, ma che verranno costrette e dovranno dimostrare che hanno fatto la loro parte. Perciò, Codere lavora sull’adeguamento del trattamento dei dati di tutti i suoi collaboratori, implementando un sistema di risposta alle eventuali richieste ed esercizio dei diritti che verranno fatti, controllando i diversi siti web del Gruppo e tutti i contratti con fornitori che comportino il trattamento dei dati per adeguarli alla nuova normativa. L’azienda porterà a termine l’omogeneizzazione dell’applicazione delle regole sulla data protection di ciascuno dei Paesi delle Business Unit dell’azienda.
D’altro canto, la nuova normativa introduce per alcune aziende, tra le quali quelle del settore dei giochi, l’obbligatorietà di una nuova figura che si assuma le responsabilità riguardo al coordinamento e rispetto del nuovo quadro normativo, un Responsabile della Protezione dei Dati, una mansione per la quale è stato nominato José Luis González.
IRM di Sealpath, lo strumento per la protezione dei nostri messaggi email
In occasione dell’entrata in vigore della nuova normativa emerge la necessità di proteggere i file informatici, per cui l’azienda ha implementato il software IRM (Identity Right Management o gestione dei diritti di identità), di Sealpath, che ci consente di codificare l’informazione sensibile, in modo tale da garantire che la confidenzialità e la privacy dei documenti elettronici che scambiamo.
Così i collaboratori di Spagna, Italia ed il Corporate che condividano informazione rilevante potranno gestire come emittenti la privacy del loro contenuto, attribuendo diversi livelli d’uso e accesso ai destinatari.
Anche se oggi questo software è stato installato soltanto nei dispositivi dei collaboratori interessati dal nuovo Regolamento, in una seconda fase, nel 2019, verrà implementato negli altri Paesi.
Da adesso però tutti i collaboratori possono già ricevere messaggi email con informazione codificata, occorrendo per la loro lettura l’installazione del lettore dei documenti di Sealpath che la stessa email codificata spiegherà come scaricare.
Obbligo di formare e di formarsi
L’adempimento del nuovo Regolamento in Materia di Protezione dei Dati comporta l’esercizio di una responsabilità comune, dell’azienda e dei collaboratori, nel senso che la prima deve applicare tutte le misure a disposizione per garantire la protezione dei dati, così come formare e renderne consapevoli tutti i suoi dipendenti. I lavoratori devono invece compiere l’obbligo di ricevere quell’informazione ed applicare le nuove istruzioni.
Perciò, nel quadro del Corso di formazione sulla Cyber sicurezza che viene offerto online a tutti i dipendenti di Codere dall’anno scorso, è stato inserito un modulo obbligatorio per tutti i collaboratori di Spagna, Italia ed il Corporate, sulla nuova normativa e quello che nel nostro lavoro quotidiano essa comporta.
Uno dei recenti requisiti comporta la costituzione di questa task force per l’adattamento di tutti i processi ormai esistenti o in fase di creazione che comportino una raccolta di dati, affinché si possa applicare la normativa dalla stessa progettazione dell’attività, seguendo il principio di Privacy by design stabilito dal nuovo testo normativo, consapevoli che la protezione rappresenta un processo dinamico, inerente all’attività delle aziende.
Un alleato per la reputazione aziendale
L’applicazione di tutte queste misure, oltre a garantire la protezione dei dati personali delle persone fisiche che trattano con le organizzazioni, favorisce la reputazione delle aziende, visto che i loro clienti si sentono più sicuri e fiduciosi, minimizzando il rischio di possibili filtrazioni che mettano a repentaglio la loro privacy.
D’altro canto, la violazione della norma non solo danneggia la reputazione dell’azienda, ma viene anche punita con un severo regime sanzionatorio, che nel caso di infrazione impone nei casi più gravi ammende che ammontano ad un massimo di 20 milioni euro od il 4% del volume d’affari dell’azienda, tra queste due alternative, la somma maggiore.
