Del GDPR abbiamo sicuramente sentito parlare, ma sappiamo veramente in cosa consiste e se (ed eventualmente come) questo argomento ci riguarda?
GDPR…Privacy…Trattamento dati…Aiuto!!!
Il trattamento dei dati personali e la loro tutela sono argomenti importantissimi e sicuramente assai complessi.
Siamo ben consapevoli dell’importanza di proteggere determinate informazioni.
Informazioni che non dovrebbero essere utilizzate (né tanto meno rese pubbliche) senza lo specifico consenso della persona alla quale queste informazioni si riferiscono.
La relativa normativa è assai corposa e spesso di non facile o immediata comprensione.
Quella che segue è una piccola guida.
Lo scopo è riassumere e chiarire le informazioni basilari.
In questo modo saremo in grado di orientarci senza troppe difficoltà, evitando di incappare in errori che, per quanto in buona fede, potrebbero avere conseguenze anche gravi.
Cos’è la protezione dei dati?
La protezione dei dati è, di fatto, un’estensione ed ampliamento del diritto alla riservatezza, o privacy.
Il diritto alla privacy, infatti, riguarda il diritto alla riservatezza dei dati personali.
La protezione dei dati si estende invece anche alle modalità con le quali tali dati vengono resi disponibili, conservati e protetti.
📑 Il diritto alla protezione dei dati personali è considerato tra i diritti fondamentali dell’individuo ed è inserito all’interno della carta dei diritti fondamentali dell’Unione Europea (Art.8)
Questo significa, né più, né meno, che abbiamo il diritto di disporre dei dati che ci riguardano come meglio crediamo.
Dobbiamo inoltre venire adeguatamente informati su quali dati vengono raccolti, da chi e per quale motivo.
La tutela riguarda, come detto, anche la gestione e conservazione dei dati e la possibilità di modificare o addirittura revocare i consensi precedentemente concessi.
Cosa dice la legge.
L’evoluzione delle comunicazioni e l’aumento esponenziale delle attività in rete hanno reso necessaria una importante evoluzione normativa.
Si è passati dalla direttiva 95/46/CE (regolamento generale sulla protezione dei dati) al Regolamento UE 679/2016.
Essendo un regolamento dell’Unione Europea entra nell’ordinamento giuridico di ogni paese membro.
É stato emanato nel 2016, diventando effettivamente operativo dal 25 maggio 2018.
Questo regolamento ha lo scopo di rafforzare la protezione dei dati personali delle persone fisiche.
Contemporaneamente rende la normativa omogenea per tutti i paesi dell’UE (oltre che per le aziende che non hanno sede nell’UE ma che trattano i dati di cittadini dell’UE).
Ma quali sono i soggetti coinvolti nella normativa GDPR?
E quali dati sono materia della normativa?
⓵ GDPR: i soggetti coinvolti.
La normativa specifica diritti ed obblighi di tutti soggetti in base allo specifico ruolo svolto dagli stessi in termini di raccolta e protezione dati:
- Interessato (il soggetto cui i dati si riferiscono, è la persona fisica):
Ha il diritto di accedere alle informazioni che lo riguardano, nonché di sapere chi le raccoglie e con quali finalità, approvandone o meno l’utilizzo;
- Titolare del trattamento (il soggetto che determina le finalità della raccolta e delle modalità di trattamento dei dati):
É responsabile di fornire agli interessati una corretta informazione, di raccoglierne i relativi consensi e di stabilire le modalità di trattamento dei dati raccolti;
- Responsabile del trattamento (chi elabora i dati raccolti per conto del titolare del trattamento):
Deve attuare tutte le istruzioni impartite dal titolare del trattamento e mettere in atto le misure di sicurezza richieste dal GDPR (art. 28);
Attenzione ⚠ – Il titolare rimane responsabile di eventuali infrazioni alla normativa GDPR anche in presenza di un responsabile del trattamento!
- Responsabile della protezione dei dati (DPO) (il controllore):
Verifica la conformità dell’organizzazione per il trattamento dei dati, ne stabilisce le linee guida ed è il tramite con l’autorità di controllo.
La sua nomina è obbligatoria solo in alcuni casi particolari (tra cui ad esempio la raccolta di dati di autorità o enti pubblici oppure di categorie particolari di dati);
- Autorità di controllo (il Garante della Privacy):
Sorveglia e guida le aziende nell’applicazione del Regolamento, garantendo il rispetto dei diritti relativi ai dati personali.
⓶ I dati oggetto del GDPR.
La normativa GDPR specifica:
Ⓐ la tipologia di dati oggetto della normativa:
Oggetto della normativa sono i dati personali, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato precedentemente citato).
I dati personali si dividono in:
✔️ Identificativi: si considera identificabile la persona fisica che può essere riconosciuta, direttamente o indirettamente, con particolare riferimento ad un identificativo.
Assimilabili a questa categoria sono il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online oppure uno o più elementi caratteristici dell’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
✔️ Particolari: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale.
Sono inclusi anche i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica nonché i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.
🚫️ In linea generale è vietato trattare questa tipologia di dati, a meno di particolari casi.
✔️ Giudiziari: dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
🚫️ Questa tipologia di dati può essere trattata solo dall’autorità pubblica o se prescritto dalla legge.
Ⓑ le modalità di trattamento e conservazione dei dati:
Il Regolamento specifica sia quali e quanti dati sia lecito raccogliere, sia come gli stessi debbano essere trattati e conservati.
I dati devono essere:
- raccolti in modo lecito, corretto e trasparente;
- finalizzati ad obiettivi determinati, legittimi ed espliciti;
- pertinenti alle finalità indicate e limitati alle stesse;
- corretti ed aggiornati;
- archiviati per un tempo limitato al conseguimento delle finalità indicate;
- conservati garantendone la sicurezza.
Conformità al GDPR: come procedere?
Stabilite le basi della materia, come dobbiamo operare in pratica per adeguarci al Regolamento?
Innanzi tutto occorre stabilire i ruoli e le competenze specifiche di ognuno.
Una volta decisi i compiti di responsabilità delle singole figure l’ideale sarebbe stabilire una procedura dedicata.
Al suo interno andremo ad indicare nel dettaglio le modalità di applicazione della normativa.
In questo modo ognuno dei soggetti coinvolti avrà chiari i propri compiti e non si rischierà di incorrere in sviste o dimenticanze.
Vediamo ora i punti salienti.
L’informativa privacy.
Ogni volta che trattiamo i dati di un interessato dobbiamo informarlo.
L’informativa va fornita sempre prima che iniziamo a trattare i dati e deve essere scritta in modo chiaro e con parole semplici.
Devono essere rese note le finalità della richiesta di dati, le modalità di raccolta e conservazione degli stessi ed i soggetti coinvolti nelle attività citate.
All’interessato devono inoltre essere fornite informazioni chiare e precise su come esercitare i propri diritti presso il Titolare del trattamento o presso l’Autorità di controllo.
In base alle modalità di raccolta dei dati (ad esempio se grazie alla compilazione di un modulo di contatto o tramite cookie) varia la richiesta di consenso prevista.
Il consenso.
Il consenso è una delle sei basi giuridiche che rendono lecito il trattamento dei dati personali.
Il consenso deve essere utilizzato quando non riusciamo a “giustificare” il trattamento con una delle altre basi giuridiche (contratto, obbligo di legge, legittimo interesse, pubblico interesse o salvaguardia degli interessi vitali per l’interessato).
Quando si parla di comunicazioni elettroniche, oltre al GDPR si deve far riferimento anche alla cosiddetta direttiva e-privacy.
Il consenso deve essere:
- manifestato liberamente (cioè non dobbiamo essere obbligati a fornirlo per avere accesso ad un bene o servizio);
- specifico;
- verificabile;
- revocabile.
L’interessato deve fornire liberamente il proprio consenso quando si parla di invio di newsletter.
Queste le modalità più frequenti di raccolta dati:
- tramite compilazione di moduli cartacei (ad esempio la sottoscrizione di contratti);
- mediante la navigazione sul web. In questo caso, oltre a raccogliere i dati attraverso i moduli di contatto o di iscrizione ad eventi o newsletter, la raccolta dei dati avviene anche attraverso i cookie.
Il modulo cartaceo.
La compilazione di un modulo cartaceo viene utilizzata soprattutto nella grande distribuzione o da soggetti pubblici.
Esempi tipici di situazioni che richiedono la compilazione di un modulo cartaceo di consenso sono la richiesta di una tessera fedeltà oppure la sottoscrizione di un abbonamento o contratto.
I cookie.
Innanzi tutto… 🤔 cosa sono questi cookie dei quali sentiamo parlare così frequentemente?
Si tratta di piccoli file di testo che i siti che visitiamo “depositano” nel browser che utilizziamo per navigare.
Questi file vengono poi ritrasmessi al sito in occasione di una nostra eventuale visita successiva.
In base alla loro specifica funzione i cookie possono essere suddivisi in due tipologie:
✐ cookie tecnici:
- sono utilizzati al solo scopo di consentire la trasmissione di una comunicazione o per fornire un servizio online che l’utente ha esplicitamente richiesto;
- fanno parte di questa categoria i cookie che memorizzano i criteri di navigazione (come la lingua), quelli che permettono di autenticarsi o di salvare prodotti in un carrello;
- vengono inoltre usati dal gestore per sapere quanti utenti hanno visitato il sito ed in che modo hanno effettuato la navigazione
- quest’ultima tipologia di cookie può essere assimilata ad un cookie tecnico solo se anonimo.
📑 ️ Google Analytics è stato considerato non compliant al GDPR. Per ovviare al problema è possibile considerare l’utilizzo di Matomo, strumento di web analytics conforme ai requisiti previsti dal GDPR.
Attenzione ⚠ ️- Per l’utilizzo di questi cookie la normativa prevede che ne sia fatta menzione nella home page del sito, all’interno del banner e nella privacy policy.
✐ cookie di profilazione:
- servono alla creazione di profili utente per l’invio di messaggi pubblicitari il più possibile aderenti alle specifiche preferenze individuate proprio grazie ai cookie;
- è evidente che i cookie di profilazione non sono indispensabili per la navigazione;
- altrettanto evidente che questa tipologia di cookie rappresenta una reale invasione della sfera privata;
- basandosi su questi presupposti la normativa prevede che l’utente sia adeguatamente informato dell’uso di questo tipo di cookie;
- l’interessato deve inoltre esprimere un consenso specifico all’utilizzo degli stessi.
📝️ Da Gennaio 2022 il sito web che contiene questa tipologia di cookie deve avere un banner in cui sia possibile:
- rifiutare tutti i cookie ad esclusione dei cookie tecnici. Questi ultimi dovranno essere inseriti come versione di default a cui si atterra anche chiudendo il banner con la X;
- accettare tutti i cookie;
- scegliere quali cookie accettare.
La revoca del consenso all’utilizzo dei cookie.
Il GDPR prevede che l’utente abbia la possibilità di modificare le sue scelte in qualunque momento.
In quest’ottica è quindi utile aggiungere un’icona per esercitare tale diritto di revoca o modifica del consenso precedentemente dato.
Per agevolare la gestione del consenso da parte dell’utente l’icona è di solito posizionata sulla parte bassa dello schermo ed è visibile da qualsiasi pagina si stia visitando.
Un utile strumento.
Un valido aiuto per la verifica della validità della Privacy Policy applicata arriva da WEC – Website Evidence Collector.
Si tratta di un tool online, realizzato da EDPS – European Data Protection Supervisor e scaricabile gratuitamente.
In pratica, dopo la necessaria configurazione dei parametri il tool effettua una verifica automatica su raccolta e trattamento dei dati di un determinato sito o piattaforma.
Occorre però tenere presente che si tratta in ogni caso di uno strumento abbastanza complesso. Per utilizzarlo è quindi necessaria una certa competenza informatica.
I professionisti di GDPR e privacy.
È evidente che il tema del GDPR è vario ed articolato.
Oltre alle linee guida generali occorre infatti tenere sempre presenti le specificità della nostra attività e del nostro eventuale sito.
Di conseguenza dovremo considerare i dati che ci troviamo a raccogliere e le corrette modalità di trattamento e conservazione degli stessi.
Questo articolo ha il semplice obiettivo di rendere più semplice e comprensibile la normativa GDPR e in generale la materia della privacy e del trattamento dei dati, fornendo informazioni generali e semplificate che ci permettano una comprensione basilare della materia.
Data l’importanza dell’argomento è lecito non sentirsi in grado di occuparsene personalmente.
In questo caso possiamo affidarci senz’altro a chi ha fatto della tutela della privacy la propria professione.
Si tratta di personale esperto che può metterci al riparo da qualsiasi problema grazie all’esperienza ed alla competenza derivanti dal costante studio e monitoraggio delle normative.
In caso di dubbio sono sicuramente le persone che possono consigliarci al meglio!
Una menzione speciale merita l’Ing. Paola Righetti, specializzata nella consulenza aziendale per la corretta gestione della privacy e della normativa GDPR.
A lei va il mio grazie per avere supervisionato le informazioni contenute in questo articolo così da renderlo uno strumento utile per i non addetti ai lavori ma corretto.
Spero che questo articolo possa essere di supporto per chiarire una materia così articolata ed impegnativa.
Se vuoi condividere il tuo pensiero o eventuali suggerimenti lascia un commento oppure contattami direttamente.
Buon lavoro e grazie per l’attenzione.
Con il mio lavoro posso dare più valore al tuo tempo, rendere più semplici e leggere le tue giornate e permetterti di focalizzare attenzione ed energie sulle attività fondamentali per il tuo business o sui tuoi interessi privati. In breve, il mio obiettivo è essere, sempre, la giusta soluzione alle tue esigenze.