Introduzione alla GDPR
Il nuovo regolamento sulla privacy riguarda il trattamento dei dati personali dei cittadini dell'unione europea e si applica a tutte le aziende e persone fisiche che esercitano una attività professionale dell'unione o che comunque trattano dati di cittadini europei.
Il "General Data Protection Regulation", noto anche come GDPR, è già in vigore dal 26 Maggio 2016 e ha trovato piena applicazione il 25 maggio 2018 con sanzioni più severe rispetto alle passate normative sulla privacy. Si prevedono sanzioni che arrivano fino al maggiore tra 20 milioni di euro e il 4% del fatturato annuo dell'esercizio precedente.
La GDPR ci riguarda indipendentemente se abbiamo a che fare con clienti privati o meno, in quanto i dati personali che vengono regolamentati sono anche quelli dei dipendenti e titolari dell'azienda stessa.
Nota
Questa documentazione è scritta a solo scopo informativo e non costituisce una consulenza legale. Siete pregati di rivolgervi ad un vostro legale per ricevere una consulenza legale adeguta.
Chi è tutelato dalla GDPR?
La GDPR vuole tutelare sia i dati personali dei cittadini e sia il diritto o dovere delle aziende e delle persone fisiche che esercitano una attività professionale, di trattare i dati personali per svolgere la propria attività o per adeguarsi a delle normative.
I dai personali a cui fa riferimento il regolamento sono qualsiasi informazione che identifica o renderebbe identificabile una persona fisica.
Pertanto sono esclusi dai dati personali i dati riguardanti le aziende ma ci rientrano invece i dati personali di una persona nella sua attività professionale come ad esempio un lavoratore in una azienda.
Ad esempio i dati di fatturazione di un ordine sono tutti dati personali se riguardano una persona fisica. Se riguardano invece un'azienda, dei suoi dati comunque il nome e cognome del referente che ha fatto l'ordine è un dato personale e pertanto tutelato dal regolamento.
Nell'ambito del regolamento e relativamente ai dati che trattate, voi siete il titolare del trattamento. Voi decidete le finalità del trattamento, quali dati trattare, per quanto tempo e siete responsabili dell'integrità e riservatezza dei dati.
Vedremo in seguito che parte della resposabilità sulla sicurezza può essere delegata a terzi che vi aiutano nel trattamento dei dati.
Come trattare i dati personali
Dovete trattare i dati personali:
- per una determinata ed esplicita finalità
- solo per il tempo strettamente necessario
- con misure di sicurezza per garantirne integrità e riservatezza
Informativa
Quando una persona vi fornisce i suoi dati personali, dovete fornirgli una serie di informazioni dette nell'insieme comunemente informativa:
- sui vostri dati e contatti in quanto titolare del trattamento,
- della finalità e la base giuridica del trattamento,
- del vostro legittimo interesse se il trattamento è basato sul legittimo interesse,
- di eventuali destinatari o categorie di destinatari dei dati personali,
- del tempo durante il quale i dati saranno conservati,
- dei suoi diritti sui dati personali, quali rettifica, revoca del consenso, cancellazione, accesso e portabilità,
- del diritto di proporre reclamo a un'autorità di controllo.
Base giuridica del trattamento
Il regolamento richiede che il trattamento dei dati sia lecito. Con lecito intende che la base giuridica su cui si basa il vostro trattamento ( ossia il vostro diritto a trattare i dati ) debba essere almeno una tra le seguenti:
- consenso: l'interessato, ossia la persona a cui i dati personali si riferiscono, vi ha dato il consenso al trattamento.
- contratto: avete un contratto in essere con l'interessato, come ad esempio un ordine.
- obbligo legale: dovete adempiere ad un obbligo legale, come ad esempio conservare le fatture per diversi anni.
- legittimo interesse: avete un legittimo interesse per trattare i dati personali, come ad esempio contattare un cliente che ha manifestato il suo interesse per i vostri prodotti.
A queste se ne aggiungono altre ma queste elencate sono tutte quelle che dovrebbero interessarvi.
Consenso
Il consenso è una delle basi giuridiche del trattamento. Se non avete altro diritto per fare un trattamento, chiedere il consenso dell'interessato è il modo corretto per mettersi a norma.
Perché il consenso sia valido devono accadere tutte le seguenti:
- l'interessato deve dare un consenso esplicito ossia non ci devono essere ad esempio caselle già selezionate.
- il consenso deve essere specifico ossia deve riguardare una singola finalità di trattamento. Quindi consensi diversi per diverse finalità.
- non si deve essere obbligati a dare un consenso su un trattamento per poter concludere un contratto a meno che il trattamento sia indispensabile per ottemperare al contratto.
Legittimo interesse
Il legittimo interesse è un'altra base giuridica del trattamento. I criteri su cui si basa non sono però ben definiti e pertanto in caso di dubbi meglio chiedere anche il consenso per avere una base giuridica per il trattamento più solida.
Nel legittimo interesse rientrano le attività legittime che intraprendete nella vostra attività professionale e rientrano in questo anche le comunicazioni commerciali. Bisogna fare però attenzione che sono in vigore altre leggi che impediscono ad esempio di inviare email a scopo commerciale se prima non si è avuto il consenso ad inviarle.
Per le altre informazioni da fornire e in quali situazioni vedere l'articolo 13 del regolamento.
Rivolgersi a terzi per il trattamento
Sicuramente vi rivolgete a terzi per servizi che agevolano la raccolta e il trattamento dei dati come ad esempio servizi di hosting, di invio di email e newsletter, gestione del negozio online e ricezione dei pagamenti.
Se queste aziende o professionisti non entrano nel merito del trattamento dei dati personali, ossia non decidono quali trattamenti fare, quali dati gestire, quando devono essere aggiornati o cancellati ma vi offrono esclusivamente i loro servizi per eseguire il trattamento, allora nell'ambito della GDPR vengono chiamate responsabili del trattamento (nella traduzione in inglese viene più propriamente usato il termine processing, ossia colui che si occupa di processare i dati).
La GDPR richiede che sia presente un contratto scritto tra voi titolari del trattamento e un vostro responsabile del trattamento. Nel contratto devono essere indicate le tipologie di trattamento e le categorie di dati personali che possono essere trattati. In genere questi contratti sono predefiniti dal responsabile del trattamento.
Compiti del responsabile del trattamento possono comprendere la sicurezza della rete, dei server e degli applicativi (in base alla tipologia di servizio che viene offerto) e pertanto si prende carico di una parte della sicurezza dei dati.
Se il terzo a cui vi rivolgete per i servizi decide autonomamente quali trattamenti fare e per quali finalità allora non sarà un vostro responsabile del trattamento ma sarà un titolare del trattamento terzo.
I diritti dei cittadini europei
La GDPR riconosce ai cittadini europei diversi diritti sui loro dati personali che vengono trattati dai titolati.
Su di voi, in quanto titolari del trattamento, ricade la responsabilità di garantire questi diritti mentre il responsabile del trattamento vi dovrebbe mettere a disposizione gli strumenti opportuni perché possiate ottemperare a quanto prescritto dalla normativa sulla privacy.
Rettifica dei dati
Una persona ha il diritto a che i suoi dati personali in vostro possesso siano aggiornati e veritieri. Può chiedervi in qualsiasi momento una loro rettifica e voi in quanto titolare del trattamento dovete rettificarli.
Quando ricevete una richiesta di rettifica quali dati modificare? Ad esempio certamente i dati dell'anagrafica cliente perché devono essere sempre aggiornati. Invece i dati di un vecchio ordine concluso da tempo non andrebbero aggiornati e tantomeno i dati di una fattura dell'anno precedente.
Vedete anche come rispondere ad una richiesta di rettifica con Open2b.
Revoca del consenso
Una persona deve poter vedere quali consensi ha dato e deve poterli revocare e la revoca di un consenso deve essere facile quanto concederlo. Ad esempio se chiedete sul sito un consenso per un trattamento allora dovete dare la possibilità di togliere questo consenso direttamente dal sito.
La revoca del consenso ovviamente può essere fatta solo se il consenso è stato precedentemente concesso. Se il trattamento non si basa sul consenso, ad esempio è basato su un obbligo legale, allora l'interessato non avrà nessun consenso da revocare.
Vedete anche come rispondere ad una richiesta di revoca del consenso con Open2b.
Cancellazione dei dati
Una persona ha il diritto di chiedervi la cancellazione di tutti i dati personali che avete su di lei. Caso per caso dovreste verificare quali dati cancellare, di quali limitare il trattamento e di quali altri invece rifiutarvi e continuare con il trattamento.
Se il trattamento è lecito ed è necessario ancora per perseguire il motivo per cui sono trattati ed avete un contratto in essere o un obbligo legale allora potete rifiutarvi della cancellazione.
Se invece avete un consenso oppure li trattate per legittimo interesse allora li dovreste cancellare su richiesta dell'interessato.
Se invece non avete più nessuna base giuridica per trattarli o il loro trattamento non è più indispensabile per le sue finalità allora dovreste cancellarli senza attendere che vi venga chiesto.
Vedete anche come rispondere ad una richiesta di cancellazione dei dati con Open2b.
Accesso e portabilità
Una persona ha il diritto di accedere ai suoi dati personali in vostro possesso chiedendovi una copia dei dati in un formato strutturato leggibile da una applicazione.
Dovete necessariamente fornire su richiesta i dati che soddisfano tutte e tre le seguenti condizioni assieme:
- il trattamento di questi dati è basato su un consenso o su un contratto
- riguardano l'interessato
- sono stati forniti dall'interessato direttamente o indirettamente ( ad esempio moduli compilati o dati di navigazione sul sito ). Non sono forniti dall'interssato i dati che avete voi dedotto o derivato da quelli forniti.
Per gli altri dati personali, comunque riguardanti l'interessato, è a vostra discrezione fornirli o meno.
Dovrete inoltre avere un sistema di autenticazione per accertarvi con sicurezza dell'identità dell'interessato prima di fornirgli i dati richiesti. Ad esempio l'interessato potrebbe dover fare il login al vostro sito per poter scaricare i dati di cui ha fatto richiesta.
Vedete anche come rispondere ad una richiesta di portabilità con Open2b.
Opposizione al trattamento
Una persona ha il diritto di opporsi, per motivi connessi alla sua situazione particolare, ad un trattamento basato sul legittimo interesse a meno che questi motivi legittimi prevalgano sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Inoltre una persona ha sempre il diritto di opporsi qualora i dati siano trattati per finalità di marketing diretto compresa la relativa profilazione.
Vedete anche come rispondere ad una richiesta di opposizione al trattamento con Open2b.
Registro delle attività
In quanto titolare del trattamento dovete mantenere il cosiddetto registro delle attività che riporta le stesse informazioni che devono essere presenti nell'informativa con in aggiunta, ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative che adottate (secondo l'articolo 32, paragrafo 1).
Il registro non sarebbe obbligatorio per aziende che hanno meno di 250 dipendenti e se il trattamento è occasionale. Vista la generalità del termine occasionale si consiglia di redarre sempre il registro delle attività.
Le autorità di controllo possono richiedervi una copia del registro.
Per approfondire
- Norme per le imprese e le organizzazioni redatte dalla commissione europea.
- Testo del regolamento 2016/679 (GDPR)