GDPR nel manifatturiero: a cosa bisogna stare attenti
30 Marzo 2021 in DPO as a Service
Il settore manifatturiero comprende realtà eterogenee, ognuna dotata di proprie peculiari necessità nell’implementazione degli adempimenti richiesti per essere compliant al GDPR. È tuttavia possibile individuare alcuni tratti comuni che la caratterizzano in modo particolare rispetto ad altri settori economici.
Dati “tecnici” e dati personali
In primo luogo, il settore è caratterizzato da un intenso trattamento di dati tecnici di grande rilevanza per il processo produttivo ed è quindi abituato ad attribuire agli stessi la necessaria importanza ed un conseguente elevato livello di protezione (brevetti, misure a tutela della proprietà intellettuale). Minore invece è la percezione della rilevanza che anche in ambito industriale possono rivestire i dati personali e di conseguenza della necessità di porre attenzione anche alla loro tutela. Spesso accade che i dati personali siano percepiti essi stessi come se si trattasse di dati tecnici, ritenendo erroneamente che i dati personali siano esclusivamente quelli direttamente riferibili ad una persona (dati anagrafici, immagini, e così via), mentre si trascura che anche dati quali i consumi energetici o la frequenza di utilizzo di un servizio possono essere indirettamente riferibili ad una persona.
Anche in ambito manifatturiero ovviamente il Titolare dovrà svolgere una mappatura dei trattamenti posti in essere, che andrà a confluire all’interno del Registro dei trattamenti. Questa operazione costituirà per il Titolare un’importante occasione per prendere coscienza della tipologia di dati personali trattati, delle categorie di interessati a cui si riferiscono e delle finalità del trattamento. Per ogni trattamento occorrerà poi svolgere una valutazione dei rischi che incombono sui diritti degli interessati. Le risultanze della valutazione permetteranno di scegliere, sin dalla progettazione del trattamento, le misure di sicurezza tecnico-organizzative più adatte a tutelare i dati, nel rispetto del fondamentale principio di data protection by design.
Ogni trattamento deve rispondere anche al principio di data protection by default, ossia essere improntato ai principi di minimizzazione dei dati e limitazione del trattamento stesso.
Si potrebbe poi essere portati a pensare che solo le aziende manifatturiere che operano nel B2C si trovino a trattare una mole significativa di dati personali, avendo a che fare con una clientela numerosa e costituita da persone fisiche sulle quali sono messe in atto strategie di marketing che richiedono attente tutele dei diritti degli interessati. Le aziende orientate invece al B2B, che si trovano a gestire come clienti solo altre aziende, tendono ad individuare come rilevanti solo i trattamenti di dati personali dei propri dipendenti, trascurando altri ambiti meno evidenti. Pensiamo ad un produttore di vending machines, che opera sul mercato attraverso rivenditori, ignorando sostanzialmente l’esistenza dei consumatori finali; tutto ciò resta vero sino al momento in cui il produttore decide di implementare un sistema di pagamento innovativo rispetto alle tradizionali “chiavette”, basato su carte di pagamento e transazioni bancarie. Ecco che i dati personali entrano in gioco e ne mutano radicalmente le regole.
Se i rischi rilevati risultano particolarmente alti, a causa della raccolta di dati su scala massiva o del trattamento di “dati particolari” (si pensi, ad esempio, ad un frigo che memorizza le intolleranze o le allergie dell’utente finale), il titolare deve svolgere una Valutazione di Impatto (DPIA) per meglio definire quali potrebbero essere le misure di sicurezza adatte a tutelare i dati raccolti. Se, anche a seguito di tale adempimento, il rischio residuo rimane particolarmente elevato, il titolare può chiedere un parere al Garante Privacy, secondo quanto previsto dall’art. 36 GDPR.
Per i titolari i cui trattamenti risultano particolarmente a rischio (per attività di profilazione su larga scala, ad esempio) o che operano in settori innovativi data-oriented, risulta opportuno anche nominare un DPO, figura terza e imparziale chiamata a svolgere un’attività di consulto e controllo funzionale per garantire la compliance al GDPR.
La circolazione dei dati personali
Capita che un numero rilevante di aziende manifatturiere faccia parte di gruppi multinazionali. Ne consegue la probabile circostanza che i dati personali facciano la spola fra la capogruppo e le controllate anche fuori dallo spazio UE, con la conseguente necessità delle opportune garanzie.
Il trasferimento di dati verso gli USA ad esempio dovrà essere fondato su presupposti differenti dal Privacy Shield, in seguito all’emanazione della sentenza Schrems II. Ai sensi degli artt. 44 ss. GDPR, dovranno essere adottate nuove forme di garanzia del trattamento, come clausole contrattuali standard, o binding corporate rule. Al fine di rendere tali strumenti di garanzia efficaci, occorrerà analizzare quali dati sono trattati e quali potrebbero essere, ai sensi della normativa del paese di destinazione, gli impatti del trasferimento sui diritti degli interessati.
Va inoltre considerato che, nel nostro Paese ancora più che altrove, la filiera produttiva è spesso terziarizzata e polverizzata su un numero rilevante di subfornitori, anche di dimensioni ridottissime, e quindi meno attrezzati per una corretta tutela dei dati personali da trattare.
Si pensi solo, in ambito domotica, agli installatori che configurano l’accesso ai sistemi di controllo dei diversi dispositivi che si scambiano dati in ambito IoT (Internet of Things): la scarsa sensibilità alle tematiche privacy potrebbe condurre alla definizione di credenziali di accesso non sicure, di facile individuazione e quindi vulnerabili da attacchi cyber; oppure alla collocazione dei dati in cloud non efficacemente protetti. Da non sottovalutare poi l’eccessiva confidenza con cui si fa ricorso ad apparati low-cost (es. telecamere per videosorveglianza in ambito domestico) di cui è noto, ma ugualmente sottovalutato, il livello di sicurezza pericolosamente insufficiente.
Ruoli e responsabilità
Infine, una eccessiva confidenza del Titolare nell’affidabilità dei propri sistemi di sicurezza, configurati per proteggere non tanto i dati personali ma i propri segreti industriali, possono condurre a sottovalutare le misure organizzative da affiancare efficacemente a quelle tecniche per garantire un adeguato rispetto per i diritti degli interessati. Nel settore manifatturiero, specialmente per i prodotti dell’IoT, può risultare inoltre particolarmente complicato fornire l’informativa o raccogliere il consenso, in quanto non sempre si dispone di interfacce in grado di comunicare direttamente con l’utente.
Ricordiamo in linea di massima che i titolari dovranno fornire agli interessati informative chiare e coerenti con i trattamenti posti in essere, consentendo di comprendere quali dati personali sono trattati come e da chi (e con quale ruolo privacy, se di titolare o responsabile), nonché di manifestare la propria volontà in maniera espressa ed inequivocabile.