come adeguarsi
GRAZ > G.D.P.R.
Guida pratica al Gdpr per freelance e piccole aziende
Se gestisci anche solo una newsletter ci sono alcune cose che devi fare prima del 25 maggio 2018, giorno in cui entrerà in vigore il Gdpr. Tra poco più di un mese entrerà in vigore il Gdpr, il Regolamento Europeo per la Protezione dei Dati. Se ne sta parlando tanto nelle ultime settimane, anche per via del caso Cambridge Analytica, visto che laddove i nostri dati non sono sufficientemente tutelati, potrebbero essere usati per manipolare le scelte dei cittadini, come ha spiegato il Garante Europeo Buttarelli. Ma al di là dei giganti come Facebook e Google, che impatto ha il Gdpr sulle piccole e medie imprese? E sui freelance? Il regolamento coinvolge chiunque abbia a che fare con dati personali. Dove per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
Pertanto se gestite anche solo una newsletter, state trattando dati personali (le mail). Prima di rivolgersi a un legale specializzato in questa materia, si può iniziare a fare un controllo delle cose da fare avendo a mente la lista preparata da ICO, il Garante inglese, e quella del Garante Italiano.
Molto del lavoro da fare dipenderà dal tipo di attività che si svolge e dalla quantità e qualità dei dati che si trattano. Se avete una salumeria avrete ben poco da fare, se avete un blog è il caso di cambiare la privacy e la cookie policy, se avete un’azienda di software, è l’ora di darsi una mossa.
Molto del lavoro da fare dipenderà dal tipo di attività che si svolge e dalla quantità e qualità dei dati che si trattano. Se avete una salumeria avrete ben poco da fare, se avete un blog è il caso di cambiare la privacy e la cookie policy, se avete un’azienda di software, è l’ora di darsi una mossa.
1. Aumentare la consapevolezza
A prescindere dalle dimensioni della vostra azienda, informatevi e informate il vostro personale dell’arrivo del Gdpr e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer. Ad esempio: niente più post-it sullo schermo con la password, non lasciare il computer accessibile quando si va in pausa pranzo, non consentire l’accesso ai dati a tutti i dipendenti dell’azienda se non ve ne è motivo.
A prescindere dalle dimensioni della vostra azienda, informatevi e informate il vostro personale dell’arrivo del Gdpr e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer. Ad esempio: niente più post-it sullo schermo con la password, non lasciare il computer accessibile quando si va in pausa pranzo, non consentire l’accesso ai dati a tutti i dipendenti dell’azienda se non ve ne è motivo.
2. Verificare le informazioni e i dati che si posseggono
Capire che tipo di dati si trattano nella propria attività, da dove vengono e con chi si condividono, inclusi i servizi e i software che li gestiscono. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Ho una regolare licenza d’acquisto o li hai scaricati? La mancata licenza infatti non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata. Valutare inoltre se si ha bisogno di tutti i dati in possesso o, quando si è fatto il form, si sono chieste più informazioni di quelle necessarie.
Capire che tipo di dati si trattano nella propria attività, da dove vengono e con chi si condividono, inclusi i servizi e i software che li gestiscono. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Ho una regolare licenza d’acquisto o li hai scaricati? La mancata licenza infatti non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata. Valutare inoltre se si ha bisogno di tutti i dati in possesso o, quando si è fatto il form, si sono chieste più informazioni di quelle necessarie.
3. Rivedere le informative sulla privacy
Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.
Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.
Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea, cosa molto probabile se si usano servizi come social network o mailchimp.
Importante anche informare l’utente della possibilità di ricorrere al Garante e all’autorità giudiziaria. Infine queste informazioni non devono essere nascoste nei meandri del sito internet ma ben visibili e facilmente accessibili.
4. Occhio al consenso
Il consenso è diventato ancora più importante di quanto non lo fosse prima. Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing). Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.
Il consenso è diventato ancora più importante di quanto non lo fosse prima. Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing). Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.
5. Garantire i diritti delle persone
Assicurarsi di poter rispondere a richieste di cancellazione, rettifica e modifica ad esempio, tenendo a mente che non ogni richiesta va evasa. Se un cliente vi deve pagare, non può chiedere la cancellazione dei dati inerenti le comunicazioni e le fatture emesse. Importante anche essere in grado di individuare i dati di un soggetto, sapere dove sono per poter agire e rispondere in tempi brevi (massimo 30 giorni), con linguaggio comprensibile.
Assicurarsi di poter rispondere a richieste di cancellazione, rettifica e modifica ad esempio, tenendo a mente che non ogni richiesta va evasa. Se un cliente vi deve pagare, non può chiedere la cancellazione dei dati inerenti le comunicazioni e le fatture emesse. Importante anche essere in grado di individuare i dati di un soggetto, sapere dove sono per poter agire e rispondere in tempi brevi (massimo 30 giorni), con linguaggio comprensibile.
6. Saper gestire violazioni e fughe di dati
Avere i mezzi (antivirus aggiornati ad esempio) per essere in grado di verificare se c’è stata un fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie..) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).
Avere i mezzi (antivirus aggiornati ad esempio) per essere in grado di verificare se c’è stata un fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie..) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).
7. Valutare se si ha bisogno del Dpo
Nominare un Dpo, ossia un data protection officer, un responsabile per la protezione dei dati, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.
Nominare un Dpo, ossia un data protection officer, un responsabile per la protezione dei dati, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.
Secondo le indicazioni del Garante non si deve nominare un Dpo nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.
Come capire a che punto si è nell’adeguamento al Gdpr
Per fare un piccolo test di autovalutazione esistono diversi strumenti gratuiti (ma in inglese). Uno è quello di Microsoft che propone dieci domande per farti ragionare sullo stato del tuo business nelle gestione dei dati personali e alla fine dà un punteggio.
Per fare un piccolo test di autovalutazione esistono diversi strumenti gratuiti (ma in inglese). Uno è quello di Microsoft che propone dieci domande per farti ragionare sullo stato del tuo business nelle gestione dei dati personali e alla fine dà un punteggio.
