Regolamento Generale sulla Protezione dei Dati, come sta cambiando il mondo dei Contact Center.
Da qualche mese è partito il conto alla rovescia per l’adeguamento al GDPR, il Regolamento Generale sulla Protezione dei Dati.
Quali sono gli step che un’azienda deve seguire per non incorrere in sanzioni?
Quali sono gli elementi essenziali di tale trasformazione?
Abbiamo intervistato l’Avvocato Maglio, riconosciuto come uno dei più autorevoli esperti in diritto del marketing, privacy e protezione dei dati personali, a cui Call2Net ha affidato il proprio processo di adeguamento interno e trasformazione.
Per comprendere meglio quali saranno i cambiamenti importanti che il Regolamento Generale sulla Protezione dei Dati apporterà nelle aziende, con uno sguardo speciale sul mondo dei Contact Center.
Nel dettaglio:
Gentile Avvocato Maglio, ci può dire che cosa succederà esattamente dal 25 Maggio 2018?
Il 25 maggio 2018 è la data di prima applicazione del nuovo regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679 entrato in vigore il 24 maggio 2016 e direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018) che fissa un salto di qualità essenziale in materia di utilizzo delle informazioni riferite alle persone giuridiche.
In grande sintesi indicherei questi elementi essenziali.
- Novità per le imprese e i cittadini. Il regolamento europeo:
- finalizzato a rispondere alle sfide poste dagli sviluppi tecnologiche e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini del Paesi dell’Unione europea. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’UE.
- si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti o persone che si trovano nel territorio dell’Unione europea.
- prevede uno sportello unico (one stop shop) per le imprese multinazionali nell’ottica di semplificare la gestione dei trattamenti e garantirà un approccio uniforme: le imprese stabilite in più Stati Membri o che offrono prodotti o servizi in vari Paesi dell’Ue, al fine di risolvere possibili problematiche sull’applicazione e rispetto del regolamento potranno rivolgersi ad un solo interlocutore: l’Autorità di protezione dei dati del Paese dove si trova il loro stabilimento principale.
- promuove la responsabilizzazione (accountability) dei titolari del trattamento e l’adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
- in alcuni casi prevede l’obbligo per pubbliche amministrazioni e imprese, di dotarsi della figura del “responsabile della protezione dei dati” (Data Protection Officer o Dpo), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.
- Le imprese avranno più responsabilità ma potranno beneficiare di semplificazioni (es. abrogazione dell’istituto della notificazione telematica al Garante dei trattamenti). In caso di inosservanza delle regole sono previste sanzioni anche elevate (l’approccio del GDPR si basa sulla valutazione dei rischi che premia i soggetti più responsabili).Inoltre prevede semplificazioni per i soggetti che offrono e promuovono maggiori garanzie e sistemi di autoregolamentazione: il regolamento sostiene, infatti, il ricorso a codici di condotta da parte di associazioni di garanzia ed altri soggetti, sottoposti all’approvazione dell’Autorità Nazionale di protezione dei dati personali ed eventualmente della Commissione europea (nel caso dell’approvazione da parte della Commissione il codice di condotta avrà applicazione nell’intera Ue).
- Il titolare potrà far certificare i proprio trattamenti, in misura parziale o totale, anche ai fini di trasferimenti di dati in Paesi terzi.
La certificazione potrà essere rilasciata da un soggetto abilitato oppure dall’Autorità di protezione dei dati. La guida del Garante sottolinea come l’adesione ai codici di condotta e la certificazione del trattamento saranno elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicazione di eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare.
Nell’ottica di trasparenza, il GPDR richiede di dare ai cittadini informazioni chiare e complete sul trattamento dei dati (informativa privacy) anche utilizzando icone identiche in tutta l’Unione europea: i cittadini dovranno sapere se i loro dati sono trasmessi al di fuori dell’Ue e con quali garanzie, così come dovranno sapere se hanno il diritto di revocare il consenso a determinati trattamenti, come quelli a fini di marketing diretto.Il regolamento conferma che il consenso al trattamento è uno strumento di garanzia anche on line.
Inoltre prevede che i fornitori di servizi internet e i social media, debbano richiedere il consenso al trattamento dei dati ai genitori o a chi esercita la potestà genitoriale per trattare i dati dei minori di 16 anni.
Stabilisce dei limiti alla possibilità per il titolare dei dati di adottare decisioni (ad esempio la concessione di un prestito) solo sulla base di un trattamento automatizzato di dati (ad esempio la profilazione), eccetto per i casi in cui l’interessato abbia rilasciato un consenso esplicito al trattamento automatizzato dei suoi dati, oppure quando il trattamento di dati risulti strettamente necessario per la definizione di un contratto o avvenga in base a specifici obblighi di legge.
Il regolamento generale sulla protezione dei dati prevede delle garanzie per gli interessati: il diritto di opporsi alla decisione adottata in base di un trattamento automatizzato o il diritto di ottenere anche l’intervento umano rispetto alla decisione stessa.
Il testo del nuovo regolamento europeo costituisce quindi un salto di qualità per le imprese, le pubbliche amministrazioni e gli stessi cittadini, perchè impone un cambiamento culturale e di approccio verso una nuova consapevolezza per il valore dei dati nella moderna società tecnologica, nell’ottica di trasparenza e di accountability (responsabilizzazione ) delle imprese e delle PA.
Privacy by Design e Privacy by Default. Che cosa si intende con queste due definizioni e che cosa cambia per il consumatore?
Sono due principi cardine del nuovo regolamento: in pratica si tratta della protezione dei dati fin dalla progettazione e della protezione per impostazione predefinita.
Il regolamento generale sulla protezione dei dati introduce il principio cardine Privacy by Design che garantisce la protezione dei dati dalla fase di ideazione e progettazione di un trattamento o di un sistema e l’adozione di comportamenti che consentano di prevenire possibili problematiche.
Viene così introdotto l’obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l’Autorità di Protezione dei dati personali in casi dubbi.
Inoltre, in base alla Privacy by Default, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica coinvolta.
Sul web si trovano molte informazioni sul tema, che tuttavia non chiariscono come le aziende debbano muoversi. Quali sono, nel concreto, gli step che le aziende devono affrontare per adeguarsi a tale regolamento?
Per le organizzazioni che trattano dati personali in modo significativo diventa essenziale definire un piano di azione per gestire in modo adeguato le regole che sono introdotte dal Regolamento Europeo: occorre definire un Privacy Program.
Questi sono i passi preliminari da intraprendere:
- fare un inventario delle proprie informative e verificare come potrebbero cambiare in funzione delle nuove regole.
valutare cosa significa in concreto dover introdurre l’indicazione della fonte dei dati e il tempo di conservazione dei dati.
sperimentare nuove forme di informative visuali basate su icone. - analizzare quali sono i dati di cui si dispone e fare una mappatura aggiornata dei dati.
- dotarsi di “software sentinella” per gestire il nuovo obbligo di notifica delle violazioni nell’uso dei dati personali e verificare l’eventuale flusso extraeuropeo dei dati usando servizi cloud.
- sperimentare la Privacy by Design e effettuare il Privacy Impact Assessment affidandosi a esperti competenti che aiutino l’azienda a minimizzare gli impatti e a contenere i costi di gestione dei nuovi adempimenti.
- pensare a come introdurre un Data Protection Officer in azienda.
- analizzare gli effetti del diritto alla portabilità dei dati e adottare cautele organizzative per evitare impatti gravi sulla stabilità dei data base aziendali.
- definire le nuove regole di acquisizione e documentazione del consenso.
- verificare con cura i fornitori dei dati. Questo è il tempo in cui fare test, test e ancora test.
- verificare se si trattano dati di minori tenendo conto che le nuove regole impongono di gestire anche il consenso degli esercenti la potestà di genitore con il consenso del minore al di sotto dei 16 anni.
La data protection sarà sempre di più un fattore competitivo e favorirà le aziende che capiranno che non si tratta solo di una serie di adempimenti da gestire ma di un processo organizzativo aziendale che ha natura produttiva e non solo normativa.
Quali sono le sanzioni per coloro che non si conformeranno?
Con la riforma europea cambia la logica sanzionatoria.
Fino ad oggi in Italia le sanzioni erano definite entro misure che potevano arrivare fino a 360.000 euro salvo incrementi dovuti alle dimensioni dell’impresa ed alla particolare gravità delle violazioni.
Con la riforma le sanzioni diventeranno molto più pesanti:
- fino a € 20.000.000 per i privati e le imprese non facenti parte di gruppi.
- fino al 4% del fatturato complessivo (consolidato) su base mondiale per i Gruppi societari multinazionali.
Si tratta di un cambio di passo significativo. E’ chiaro che queste sanzioni sono pensate per incidere sulle condotte dei grandi gruppi multinazionali che trattano dati in diverse aree geografiche e spesso cercano di individuare i paradisi legali del trattamento dei dati personali per eludere norme e criteri di comportamento definiti dalle nazioni più rigorose.
Quali conseguenze avrà sul mondo dei Contact Center?
Con il nuovo regolamento generale sulla protezione dei dati cambiano molte cose.
Nel telemarketing si modificano le relazioni tra committenti, call center e fornitori di liste.
Si imporrà un nuovo criterio di selezione basato sull’affidabilità nel trattamento dei dati personali da parte dei soggetti.
Non sarà più possibile per i committenti scegliere i fornitori con criteri che non tengano conto della affidabilità nel trattamento dei dati personali. Il trattamento dei dati personali diventa un elemento da verificare in modo documentato per giustificare la scelta del fornitore.
Il committente dovrà effettuare una valutazione di impatto nel trattamento dei dati anche quando si avvarrà di fornitori esterni.
Deve quindi valutare in anticipo, prima di iniziare il trattamento dei dati mediante un call center, se il fornitore selezionato è adeguato e dà garanzie di sicurezza e buona organizzazione nell’uso dei numeri di telefono da contattare.
Questa valutazione deve essere documentata per iscritto. Così impone il nuovo criterio dell’accountability (distribuzione delle responsabilità nel trattamento dei dati documentata e verificata). Così impone il nuovo criterio della Privacy by design. Se l’utilizzatore ha scelto male il call center, senza valutare l’affidabilità dello stesso, ne risponde.