A seguito della pubblicazione dell’articolo sul Decreto Legislativo 101 – Codice Privacy del 10 Agosto, alcuni di voi – e vi ringraziamo! – ci hanno posto delle domande.
Una piccola premessa. Alcune di queste risposte le avevamo già date nel precedente post, e in altri su questo blog, così come ai nostri clienti in forma diretta. Tuttavia, è pur vero che in certi casi la chiarezza non è mai troppa.
Ebbene, cercheremo qui di rispondere a tali quesiti raggruppandoli e generalizzandoli in modo che siano trasparenti per tutti.
La mia è una piccola/media impresa, dunque l’art. 14 [n. 4] del D. Lgs. 101 mi esenta dall’osservanza del GDPR?
No! Non vi esenta affatto. Dice solamente che il Garante può introdurre semplificazioni.
Quindi, non commettete l’errore di considerarvi esentati perché non siete una multinazionale. Un soggetto interessato, di cui voi detenete i dati personali, può in qualunque momento proporre un reclamo e questo reclamo può trovare accoglienza da parte del Garante se effettivamente non tutelate i suoi dati e non riconoscete i suoi diritti nel modo previsto dal GDPR.
Solo il Consiglio Europeo, che ha emanato il Reg. UE 2016/679 può intervenire con uno specifico regolamento che riconosce agli Stati membri la potestà di esentare, ad esempio, le imprese con meno di 5 dipendenti, o che gestiscono archivi con meno di 1000 nominativi o che altro. Tutte ipotesi fantasiose che non sono nemmeno al vaglio. Perché? Perché il GDPR nasce per regolamentare il sacrosanto diritto alla riservatezza e protezione dei dati personali e non lasciare che i soggetti imprenditori, di qualunque ordine e grado, possano violarlo senza conseguenze. Inoltre, regolamenta il mercato digitale in modo da uniformare le prassi e dare certezze tanto alle imprese quanto ai consumatori.
Un esempio?
Immaginate un’impresa composta da un unico soggetto, il quale possiede un archivio di sole 10 email e che – avendo tra quelle 10 anche la vostra – vi invia 250 messaggi alla settimana proponendovi servizi e prodotti di ogni genere. Sareste contenti di non avere a disposizione uno strumento legale per fermarlo solo perché si tratta di una micro azienda?
Non è che se sono un cane sciolto e creo danno agli altri, non esiste alcuna legge che mi limiti solo perché non sono una corporation.
Ergo, la norma non può fare esenzioni. Può a limite prevedere semplificazioni ma non esenzioni. E tuttavia, queste semplificazioni vanno intese e le mie azioni devono essere conformi.
Okay, però essendo una piccola o media impresa non devo procedere con l’analisi dei rischi e la relazione d’impatto (DPIA).
La risposta breve è “Sì, non avete necessità di fare la DPIA”
In realtà però non è proprio così e vediamo perché.
Anzitutto, la DPIA aiuta a chiarire quali sono i rischi connessi con la gestione dei dati personali all’interno della vostra attività e perciò evidenzia anche i punti di debolezza. Di conseguenza, pone in risalto le misure di sicurezza da adottare e le procedure da eseguire. Questo significa che la DPIA si sostanzia in una valida e preziosa guida che definisce cosa devo fare, come devo farlo e quali sono le responsabilità in gioco. Senza una opportuna DPIA mi manca un pezzo importante del sistema di conformità e non faccio altro che creare confusione.
Certo, se sono un piccolo artigiano e ho un dipendente e pochi clienti concentrati tutti su un quartiere o al massimo all’interno della città; se non uso particolari software sofisticati soprattutto in modalità Cloud, se i dati dei soggetti che tratto sono quelli in effetti imposti dalla legge fiscale, allora non è che ho necessità di procedere con la DPIA.
Tutti i dati che sono obbligatori trattare per legge, come appunto l’emissione di fatture, non sono oggetto di preventivo consenso da parte del titolare del trattamento.
In questo caso, un modulo dove chiarisco il modo in cui tratto i dati personali e raccolgo il consenso – che mi può essere utile se voglio proporre ai clienti nuovi manufatti – e una buona gestione e cura nella conservazione di questi dati, sono più che sufficienti.
Se però la mia azienda artigiana ha 20 dipendenti, i clienti sono alcune centinaia, se mi evolvo e faccio digital marketing – ad esempio tramite il mio sito web e i social media – se uso dei software che consentono ai miei clienti di inserire ordinazioni, tracciare lo stato della commessa, etc., allora forse un pensierino dovrei farlo. Perché? Perché introducendo l’uso di tecnologie che riducono la complessità della gestione delle informazioni, favorendo la conoscenza della mia attività pubblicizzandola a decine o centinaia di miglia di potenziali clienti – a prescindere dal fatto che posso averne solo uno o dieci come ritorno – implementando l’uso di dispositivi elettronici e di comunicazione e così via, sto rendendo anche più esposta la mia impresa a possibili incidenti sui dati. Inoltre, più dipendenti significa anche che più persone interne all’azienda vengono a contatto con i dati personali dei clienti.
Non vi viene il dubbio che quindi è meglio regolamentare per bene questi processi e assegnare bene compiti e responsabilità in modo da non dover incorrere in problemi e possibili sanzioni?
Un caso simbolo.
Ho 3 dipendenti, 2 collaboratori esterni, 10 clienti.
Sviluppo software, ad esempio per la gestione delle consegne a domicilio per le pizzerie. Dei miei 10 clienti, 8 hanno il software installato presso i loro uffici che poi rendono disponibile online ai loro clienti con hosting contrattato con fornitori esterni (non lo fornisco io) e 2 invece usano il mio software su Cloud provvisto dalla mia azienda.
Più che media sono una piccola azienda.
Visto così potrei essere tentato dal dire che non ho bisogno di DPIA, non ho bisogno di nessuna procedura particolare a parte tutelarmi con l’invio ai miei clienti e fornitori dell’informativa sulla privacy conforme al GDPR.
Ma non è così.
Quando cedo il mio software in licenza ai clienti che lo installano sulle loro macchine e i servizi di hosting che contrattano con altri fornitori per conto loro, il minimo che posso fare è implementare delle funzioni che permettano ai loro utenti di scaricare i loro dati personali, di modificarli se necessario e di cancellarli. Pertanto, dovrò avere un documento dove descrivo queste cose. Ammettiamo che ho necessità di sostituire uno dei programmatori, o anche un tecnico deputato all’assistenza, dovrò dare loro indicazioni precise su cosa fare, come farlo, quali sono eventuali obblighi – tra cui appunto il GDPR – di cui tenere conto nello sviluppo e miglioramento del software e dei servizi di supporto? L’organizzazione aziendale è uno degli strumenti che aiutano tanto nell’efficienza – e quindi massimizzano i profitti – quanto nell’osservanza degli obblighi legali – e quindi evitano sanzioni!
Inoltre, ho quei 2 clienti a cui fornisco accesso tramite Cloud. Perciò, i loro dati e quelli dei loro clienti risiedono su infrastrutture fornite da me – poco importa se, come accade in realtà, io a mia volta ho acquistato quel servizio da un altro fornitore. Comunque la vogliamo mettere, io sono parte delle responsabilità sulla sicurezza dei dati trattati dai miei clienti e me ne devo fare carico.
Per di più, siccome ho a mia volta noleggiato il servizio hosting da un fornitore esterno, devo anche curarmi che questo fornitore sia in grado di mettere in atto tutte le misure di sicurezza necessarie e che sia chiaramente conforme con il GDPR.
Se non ho ben descritto tutti questi processi, fasi, punti di debolezza, rischi e soluzioni da adottare, e se non ho adeguatamente formato e informato il mio personale, sto mettendo in pregiudizio la mia azienda – e probabilmente anche quella dei miei clienti.
Fra le varie cose, uno dei tanti vincoli da considerare è quello di non acquistate piani hosting o servizi Cloud da fornitori che non sono conformi GDPR.
Tutte le imprese Europee, anche quelle Inglesi a parte la Brexit che in questo caso non ha rilevanza, devono essere conformi GDPR e anche quelle Americane. Tutti i fornitori di servizi web devono conformarsi al GDPR quando hanno a che fare con soggetti residenti nell’UE.
Le imprese americane conformi le trovate qui
Se poi invece che produrre software sono un commerciante di scarpe e ho costituito il mio piccolo franchising con 3 negozi periferici ai quali do in dotazione un software che ho preso in licenza dalla software house XYZ, l’esempio ritorna pari come sopra. La software house XYZ deve essere conforme GDPR, deve dunque fornire servizi adeguati e io devo mettere in atto tutte le misure necessarie.
Come faccio a gestire queste cose se non attraverso delle procedure precise che descrivono processi, responsabilità, punti di rischio e cosi via?
Faccio pubblicità digitale su Google, altri motori di ricerca e sui social media. Cosa devo fare?
Ancora, tutti i servizi cui fate ricorso devono essere conformi GDPR. Google, Bing, Twitter, Facebook, sono conformi GDPR. A parte le inosservanze di cui si possono macchiare, per le quali pagano loro, non usate servizi se non dichiarano la loro conformità GDPR.
Nelle vostre procedure di conformità GDPR, da qualche parte, avrete descritto la possibilità, o la prassi, di usare strumenti di digital marketing. Voi non siete responsabili per i dati degli utenti della piattaforma che usate, ad esempio Facebook, ma lo diventate in modo diretto una volta che uno di questi utenti si registra in un vostro database attraverso il vostro sito o altra applicazione web o mobile. In effetti, siete responsabili anche quando non si registra e si limita a visitare il vostro sito che fa uso di Cookie, di strumenti analitici (ad es. Google Analytics) etc. Queste cose le avete descritte nel vostro manuale e anche se non le avete descritte, siete obbligati ad una serie di misure di protezione e di riservatezza.
Se avete un sito web, dovete poi necessariamente pubblicare una Privacy e Cookie Policy idonea e conforme GDPR e dovete dare agli utenti la possibilità di contattarvi perché possano richiedere i loro diritti in qualità di soggetti interessati.
Ho incaricato un’agenzia di marketing di fare una campagna. Cosa devo fare?
Semplicemente accertarvi che l’agenzia sia conforme GDPR e nel momento in cui siete voi a raccogliere i dati dei clienti, o potenziali tali, assicurarvi di richiedere il consenso in modo lecito, chiaro e conciso. Una volta che possedete i dati di tali soggetti, dovete poi eseguire tutte le prassi descritte e obbligatorie del GDPR. Se il consenso per il trattamento è stato ottenuto per vostro conto dall’agenzia, questo deve essere stato messo in chiaro ai soggetti interessati, per cui, la vostra impresa, necessita di procedure chiare e dettagliate che definiscano i termini e i contratti che stipulate con aziende esterne.
La mia azienda acquista basi di dati da agenzie. Possiamo farlo?
Sì se questa agenzia dimostra di essere conforme GDPR e se dimostra che gli archivi che vi sta cedendo sono perfettamente utilizzabili in modo legale.
Cosa significa?
Che l’agenzia deve avere raccolto il consenso da quegli utenti in modo conforme GDPR e questi devono avere inequivocabilmente accettato di ricevere proposte commerciali da soggetti terzi. Diversamente, non potete contattarli mediante nessun mezzo: email, posta cartacea, sms, etc.
Fate dunque molta attenzione se procedete con l’acquisto di dati.
Sono un ingegnere e nel mio studio ho pratiche relative a 1500 clienti, devo designare un DPO?
No! Il DPO (Responsabile Protezione Dati) è designato – e quindi comunicato al Garante – quando sono trattati dati su larga scala su base regionale, nazionale, o sovranazionale.
Per i professionisti, il considerando 91 del Reg. UE 2016/679, chiarisce che non vi è necessità di DPO. Il considerando fa riferimento alla professione di avvocato e di medico ma vale per tutti i professionisti a prescindere dalla “sensibilità” dei dati trattati.
Attenzione però. Se lo studio medico, legale, o di altro tipo, è costituito da vari professionisti che operano non ognuno in proprio ma sotto un’unica società, e i dati trattati sono da considerarsi su larga scala, allora la designazione del DPO diventa necessaria.
Facciamo un esempio immaginario che tuttavia rende l’idea.
Ho una società costituita da 3 soci, siamo avvocati e commercialisti. Ci occupiamo di consulenza legale e finanziaria per una certa categoria di investitori. Abbiamo un portafoglio clienti di 5000 soggetti che fanno parte di una specifica categoria registrata di investitori. Immaginiamo quindi che esista un registro di persone di questa “particolare” categoria e che questo registro contenga 6000 nominativi. In questo caso il trattamento è su larga scala ed è necessario designare il DPO. Sto infatti gestendo oltre l’83% dei dati della categoria e, molto probabilmente, la mia società è intenzionata ad acquisire anche il resto dei nominativi.
Il concetto di “larga scala” è particolarmente capzioso infatti. Potrei gestire 1 milione di soggetti e non essere tenuto alla designazione del DPO, oppure gestirne 1000 ed esserne obbligato.
Ancora un esempio. Se tratto 1 milione di soggetti perché gli acquisisco tramite una campagna di marketing, ad esempio ho 1 milione di iscritti nel mio blog o sito, su una popolazione nazionale di 60 milioni, la percentuale è piuttosto bassa, ho solo l’1% della potenziale utenza. Non sono tenuto al DPO.
Se però agisco nel settore delle analisi biomediche per i malati della patologia X a livello regionale, che sono 1.200 e di questi ne ho appunto 1000, allora sto facendo un trattamento su larga scala, ho infatti quasi tutti i loro dati e pure dati di una certa delicatezza. In questo caso il mio laboratorio ha un target regionale e opera all’interno di quel preciso contesto.
Se infine io e i miei colleghi medici costituiamo una società perché operi come clinica convenzionata con la Sanità Pubblica, allora dobbiamo designare il DPO poiché il nostro ruolo — vista la convenzione con il Sistema Sanitario Nazionale — è equiparato ad una pubblica amministrazione (ad es. un ospedale pubblico) a prescindere dal numero di pazienti che si rivolge ai nostri servizi sanitari.
Io non tratto dati sensibili, sono obbligato al GDPR?
Non tratti dati sensibili? Cioè?
Tratto solo il nome, il cognome e la email.
Bene, allora ho da dirti una cosa: sono dati sensibili!
Come i nostri clienti ormai sanno bene, il GDPR non distingue più tra dati sensibili e dati non sensibili. Se un dato è di una persona fisica, allora è sensibile. Quindi, a parte il nome – chiaramente! – anche la email, il numero di telefono etc. diventano dati sensibili.
Il GDPR introduce invece dati di categorie speciali quali i dati biometrici, preferenze sessuali, orientamento politico, religione, dati di condanne penali etc. Ovvero, tutti quei dati che se impropriamente protetti e divulgati possono cagionare danni di una certa rilevanza al soggetto interessato. Questo non significa che i dati meno “sensibili” – distinzione comune ma non del GDPR – possono essere divulgati senza conseguenze.
Tu non mi mandi email commerciali se non mi hai prima chiesto il consenso e lo hai ottenuto, non mi telefoni per farmi offerte di servizi telefonici se non ti ho dato il consenso, non scrivi il mio nome sul tuo sito come testimonial di un acquisto fatto nel tuo negozio se non ti ho autorizzato e così via.
Ma la Pubblica Amministrazione mi risulta non informata. Molti enti brancolano ancora nel buio.
Purtroppo è vero! Ma non è un esimente!
Una serie di enti pubblici – ricordiamo che, non solo tutta la Pubblica Amministrazione è obbligata all’osservanza del GDPR ma ha pure l’obbligo di designare il DPO – sono tuttora all’oscuro e non hanno in pratica implementato niente riguardo il GDPR.
Sfortunatamente, non significa che siccome “loro” – alcuni enti pubblici, in breve – non hanno ancora conformato le loro prassi riguardo il trattamento dei dati personali, allora anche noi – in quanto imprese e professionisti – siamo dispensati da tale obbligo.
Questa inopportuna analogia, che vi porta ad una sconsiderata quanto improvvida interpretazione estensiva, può costarvi molto cara. Non è che posso scampare la multa per il mancato uso delle cinture di sicurezza, facendo rilevare che nemmeno il poliziotto che mi ha sanzionato le indossava.
Qualcuno di voi ha mai sentito nominare il Reg. UE 2002/178?
Il 28 Gennaio del 2002 il Consiglio Europeo emanò il regolamento numero 178, che stabilisce i principi e i requisiti generali della legislazione alimentare, istituisce l’Autorità europea per la sicurezza alimentare e fissa procedure nel campo della sicurezza alimentare.
In altre parole, è la norma che regolamenta la cosiddetta tracciabilità e rintracciabilità dei prodotti alimentari. Ogni produttore, grossista, esercizio al dettaglio e chiunque coinvolto nella filiera alimentare, deve dare conto della provenienza dei cibi e delle bevande per uso alimentare.
Il regolamento 178 divenne obbligatorio in tutti gli Stati membri dell’Unione in data 1 Gennaio 2005.
Inizialmente, in molti pensarono che potevano scampare gli obblighi del regolamento e che tutto sarebbe finito nella classica bolla di sapone.
Non ci controlleranno mai. Non ci sanzioneranno mai.
Come sanno gli operatori del settore, dai coltivatori e allevatori ai ristoratori, supermercati, trasportatori, distributori etc., questa norma è severamente – e giustamente! – fatta valere e in tanti hanno pagato sanzioni piuttosto pesanti.
Se avete anche solo una piccola bottega e vendete pane e salame, sapete benissimo quanto siano severi questi controlli e che siete chiamati a dare conto dei lotti della merce in qualsiasi momento.
Non fatevi ingannare. Il GDPR è una legge valida e operativa, se un soggetto interessato propone reclamo – al Garante o all’Autorità Giudiziaria – ed è provato che i suoi diritti sono stati lesi, la sanzione è sicura! Da quando? Dal 25 Maggio scorso, vogliamo ricordarvi!
Non per questo dovete però spaventarvi. È probabile che le cose da fare siano poche per adeguarvi. Così come – e questo i nostri clienti lo sanno bene – è probabile che se il sistema di conformità è effettivamente costruito in base alle vostre reali esigenze e in modo competente, l’impatto sulla vostra gestione non determini l’uso di pratiche che complicano le usuali prassi amministrative.
Conformità e immagine aziendale.
Infine, vi è una ragione di prestigio e di reputazione aziendale in gioco. Ormai, molti consumatori sono a conoscenza di questa norma e dei diritti loro riconosciuti. L’efficienza di un’impresa non è data solo dalla sua capacità di fornire servizi e prodotti di qualità e di eccellenza. È data anche dalla sua osservanza alle leggi e ai regolamenti e al grado di tutela dei propri clienti.
Osservare il GDPR e avere quindi in casa tutte le procedure ben descritte, i vincoli regolamentati e le responsabilità assegnate, significa essere in grado di rispondere con molta più efficienza e professionalità ai propri clienti acquisiti e potenziali.
In qualità di consumatori, ci fidiamo più di chi ha competenza e protegge i nostri diritti di chi non dimostra professionalità e offre tutele approssimative per non dire in spregio della legge.
Il commercio è principalmente basato sulla fiducia, venendo a mancare questa, diventa molto difficile procacciarsi nuovi clienti e mantenere quelli già acquisiti.
Conclusione.
Per essere conformi con il GDPR è necessario produrre una Policy chiara e concisa che informi i soggetti interessati delle modalità con cui trattate i loro dati personali e richiedete il loro consenso.
Dovete sempre ricevere il consenso dei soggetti interessati prima di trattare i loro dati personali.
Non avete necessità di consenso quando dovete ottemperare un obbligo di legge o dovete perseguire un interesse legittimo vostro o di terzi.
Se avete un sito web, o blog, pubblicate una Privacy e Cookie Policy in base alle vostre reali esigenze. In eventuali moduli di contatto, inserite sempre dei controlli per la richiesta di consenso e rendete facilmente accessibile il link alla pagina della Privacy. Se usate servizi di newsletter, fate in modo che gli utenti possano sottoscriversi in modo chiaro e informato e procurate che possano agevolmente cancellare la sottoscrizione tramite link presente anche nelle email ricevute.
Non avete obbligo di demandare a terzi esperti la produzione di documenti relativi al GDPR – incluso Policy, Informative varie, DPIA, Manuali operativi etc. – ma è consigliabile lo facciate se non siete in grado di provvedere da voi.
A meno che non siate obbligati dal regolamento GDPR alla redazione dell’analisi d’impatto e valutazione dei rischi, potete farne ovviamente a meno. Tuttavia, è un valido strumento per chiarire le responsabilità, le procedure da seguire e limitare, se non eliminare, possibili danni.
Non siete quindi nemmeno obbligati a produrre un manuale procedurale, se ricadete tra le imprese che non sono tenute alla DPIA, ma anche questo è un valido – perfino indispensabile – strumento per mettere ordine alla materia e per spiegare a chiunque interno ed esterno alla vostra organizzazione le prassi da seguire.
Procedere con l’adeguamento GDPR per la propria azienda — a meno che non si hanno specifiche competenze — è come procedere a piedi di notte su una strada sconosciuta e poco illuminata. Forse vi farà comodo una torcia e una mappa.
—–
Regolamento UE 2016 679. Arricchito con riferimenti ai Considerando Aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018. Scaricatelo qui – Reg. UE 2016/679