Già da gennaio, il nuovo regolamento europeo GDPR ha suscitato molto scalpore, sia per la poca chiarezza di tutta la faccenda sia per la paura di ricevere una delle sanzioni che ora sono davvero esagerate. Vediamo quindi di fare un po’ di chiarezza con i 6 concetti fondamentali sul GDPR.
Indice dei contenuti [Nascondi/Mostra]
1. A chi si rivolge il GDPR e in cosa consiste
Il GDPR, General Data Protection Regulation, regola il trattamento dei dati personali delle persone fisiche. Per questo motivo si rivolge a tutte le aziende che nel loro lavoro chiedono e utilizzano i dati dei propri clienti e fornitori.
Inoltre attenzione: sopra ho scritto dati personali delle persone fisiche. Infatti il GDPR non va a tutelare la sicurezza dei dati aziendali. Quindi se i tuoi clienti sono aziende SRL, SPA ecc… non sei tenuto a rispettare le norme del regolamento europeo.
Per dato personali si intende ogni tipo di informazione che va a identificare la persona fisica. Si intende ovviamente nome, cognome, ma anche l’indirizzo IP, il codice fiscale, un numero di telefono, dati bancari per non parlare dei dati sensibili.
Questi sono categorie particolari di dati che vanno maggiormente a caratterizzare l’individuo. Indicano per esempio la sua appartenenza a un sindacato, a una partito politico, lo stato di salute e comprendono i suoi dati giudiziari.
Tutti questi dati sono categoricamente da escludere dal trattamento (art.9) a meno che non si rientri in una delle eccezioni, come quella del consenso scritto e informato dato direttamente dall’interessato.
2. Titolare Responsabile del Trattamento e DPO
Il regolamento europeo GDPR, solo per il gusto di essere meno comprensibile possibile, ha previsto diverse figure che sono coinvolte nel trattamento.
In realtà queste erano già presenti nel vecchio Codice Privacy, ma ora vengono aggiornate e le loro responsabilità aumentate.
Il Titolare del Trattamento è la persona fisica o l’azienda che decide quali dati raccogliere, come vengono utilizzati e per quali finalità. Il Titolare è sicuramente il primo responsabile per qualsiasi cosa sia legata al trattamento. Si dovrà occupare di redigere l’informativa, di scrivere il registro dei trattamenti, di nominare eventuali responsabili e di eseguire la valutazione d’impatto privacy. Tutte questi compiti ovviamente possono essere affidati a un consulente privacy.
Il Responsabile del Trattamento viene nominato ai sensi dell’art.28 del regolamento europeo. Questa figura sostituisce il Titolare nell’esecuzione e nel controllo del trattamento. Deve essere in grado di mettere in atto misure tecniche e organizzative adeguate, in modo da poter garantire che vengano rispettate le norme del GDPR.
Per questo motivo non potrà essere nominato chiunque come Responsabile, ma solo chi ha frequentato dei corsi e possa mostrare a suo vantaggio garanzie sufficienti a dimostrare la sua preparazione in ambito privacy.
Il suo incarico viene regolato da un contratto a tutti gli effetti, se questo manca si rischia di rientrare nello spettro delle sanzioni.
Il Responsabile della protezione dei dati (DPO), benché abbia un nome molto simile alla figura precedente, assume un ruolo più autoritario, e di conseguenza maggiore responsabilità. Si tratta in genere di un esperto privacy, che può essere scelto sia all’interno che all’esterno della compagine aziendale e che deve aiutare e coadiuvare il compito del Titolare nello svolgimento del trattamento.
Il DPO è anche incaricato si eseguire quella che viene chiamata la valutazione d’impatto privacy.
La sua nomina tuttavia non è obbligatoria. Esistono dei criteri per cui esiste questa obbligatorietà, altrimenti, dice il Garante, il suo mandato è solamente consigliabile. Questi criteri sono:
- l’azienda è un’autorità pubblica;
- il trattamento prevede profilazione;
- vengono richiesti principalmente dati sensibili;
- il trattamento viene effettuato su larga scala;
In genere è molto difficile rientrare in questi parametri, a meno chè non si tratta di un ente pubblico. Per esempio i centri commerciali dovranno sicuramente nominare un DPO, ma le piccole medie aziende difficilmente saranno obbligate a farlo.
3. Informativa privacy
L’informativa privacy è forse una delle cose più importanti per l’adeguamento privacy, perchè è quello che ogni tipo di azienda che effettui un trattamento dati dovrà assolutamente fare. Si tratta di un documento dove viene spiegato dettagliatamente il trattamento.
Essa dovrà riportare i dati del Titolare del trattamento, i dati raccolti e le finalità per cui vengono richiesti. Si dovrà anche dichiarare il tempo di conservazione di questi dati, ossia per quanto tempo verranno mantenuti all’interno degli archivi, sia cartacei che digitali, scaduto il quale verranno definitivamente cancellati.
Se il trattamento prevede un trasferimento di dati fuori dall’Unione Europea si dovrà spiegare anche le misure di sicurezza adottate per questo trasferimento (per esempio le norme privacy che regolamentato quel determinato paese).
Infine dovranno essere elencati e spigati tutti i diritti che può esercitare l’interessato, come il diritto all’oblio, il diritto alla portabilità dei dati o il diritto di accesso. E ovviamente le modalità con cui l’interessato potrà godere di questi diritti: per esempio, consiglio sempre, di creare un indirizzo email dedicato (privacy@…) a cui inviare tutto il traffico delle richieste, così da rispondere prontamente.
Infatti rispondere alle richieste degli interessati diventa obbligatorio nel regolamento europeo GDPR!
4. Registro dei trattamenti dpia e data breach
Per un corretto e completo adeguamento è consigliabile procedere alla scrittura di questi documenti.
In primis, il Registro dei Trattamenti. Si tratta di un elenco sintetico di tutte quelle informazioni che vengono descritte più dettagliatamente nell’informativa. Banalmente potrebbe essere anche un foglio excel schematico che riporti il nome del Titolare, i dati raccolti, le finalità, chi può visionare i dati ecc…
Ovviamente dovrai riportare queste informazioni per ogni trattamento che la tua aziende esegue, come raccolta dati clienti, raccolta dati dipendenti, raccolta dati per newsletter ecc…
Il Registro dei Trattamenti è un ottimo modo per dimostrare il corretto adeguamento del tuo studio, dato che in fase di controllo è sempre la prima cosa che viene chiesta.
La valutazione d’impatto privacy (DPIA) non è obbligatoria, ma anche questa consigliabile perchè dimostra che il Titolare ha fatto di tutto per verificare la sicurezza del trattamento. Si tratta di un’analisi sia informatica che strutturale dell’azienda, svolta generalmente dal DPO, o da consulenti privacy incaricati.
Durante questo esame saranno da valutare la sicurezza delle postazioni pc, della rete, ma anche dell’ufficio in generale, come per esempio la presenza di estintori, armadi chiusi a chiave, tritadocumenti ecc..
Lo scopo della DPIA è scongiurare falle di sicurezza e furti di dati, che in gergo vengono chiamati come Data Breach. Quando si verifica uno di questi casi bisogna mandare una comunicazione al Garante entro le 72 ore dalla scoperta dell’evento.
Vorrei sottolineare il fatto che le 72 ore partono da quando il Titolare viene a conoscenza del data breach e non dal suo avvenimento effettivo. Ovviamente ritardi ingiustificati nell’invio di questa comunicazione saranno poi da spiegare all’autorità.
-> Condominio e privacy: obbligo di tenuta del registro dei trattamenti
5. Adeguare il tuo sito al regolamento europeo GDPR
Molti non sanno che il GDPR ha anche influenzato l’ambito dei siti web.
Un dato personale infatti è appunto l’IP, che per esempio viene tracciato da Google Analytics. Occorre quindi che quando si va a progettare un sito web si tenga in considerazione l’aspetto privacy.
Tutti i siti web hanno inoltre il classico form di contatti con nome, cognome, email e messaggio. Quando un utente compila un form del genere ti sta fornendo dei dati. Ciò che dovrai fare allora è inserire un’informativa privacy all’interno del tuo sito, che dovrà essere linkata da ogni pagina (per questo in genere viene inserito un link nel footer) e poi inserire un checkbox da spuntare per poter inviare il messaggio.
Quando l’utente invierà il messaggio dovrà per forza accettare la privacy, ma dovrai comunque archiviare il suo consenso. Questo puoi farlo in due modi:
- stampare tutte le email che ti arrivano e salvarle in una cartellina, facendo attenzione che ci sia scritta la data e magari anche l’ora della ricezione;
- oppure installare un plugin nel tuo sito che faccia tutto questo in modo automatico e digitale salvando i consensi nel database.
Se fai newsletter, infine, dovrai aggiungere un secondo checkbox, dato che la finalità è diversa, ma questo non dovrà essere obbligatorio per poter mandare l’email e dovrai specificare che l’utente da quel momento riceverà dei messaggi promozionali.
6. Gli Amministratori di Condominio
Per diversi anni ho lavorato (e lavoro tutt’ora) a fianco di Amministrazioni di Condominio, professionisti che sono stati coinvolti in modo particolare da questa nuova legge privacy.
Questo perchè l’Amministratore di Condominio ha il duplice ruolo di Titolare (in merito al proprio studio) e di Responsabile del Trattamento (in merito al Condominio). Per questo dovrà distribuire due tipi di informative e provvedere a tutti gli adempimenti richiesti dalla norma GDPR.
Per una spiegazione più esauriente sull’argomento ti invito a iscriverti alla mia newsletter, poiché a breve pubblicherò un approfondimento dedicato proprio all’Amministratore e al Condominio e così sarai il primo a saperlo.
UPDATE
In dato 08/10/2018 il Garante si è finalmente espresso sull’argomento o almeno ha iniziato. Infatti è stato ufficialmente dichiarato che in merito al discorso Condominio e privacy esiste l’obbligo di tenuta del registro dei trattamenti.