Wolf.

Risolve problemi. Gestisce la complessità.

La tua checklist per il GDPR

Vincenzo Tiani

Vincenzo Tiani

Bene. Finiti i preamboli su come siamo arrivati a parlare di privacy ad un aperitivo e del perché è così importante tutelarla, è giunto il momento di capire meglio come dobbiamo muoverci quando vogliamo far partire un servizio o una startup e quali sono i pilastri del GDPR che dobbiamo tenere in considerazione dal principio.

___STEADY_PAYWALL___

I principi alla base di ogni trattamento di dati personali (art. 5 GDPR)

Come dicevamo nel primo articolo di questa serie, la privacy non è più una questione burocratica cui pensare nelle fasi finali bensì uno dei perni su cui ruoteranno i servizi della nostra azienda. Qualsiasi prodotto o servizio vorrò proporre, oltre a seguire il principio di accountability di cui abbiamo parlato nel primo articolo, dovrà farlo:

  1. in modo lecito, corretto e trasparente (liceità, trasparenza, correttezza)
  2. per fini determinati, espliciti e legittimi (limitazione delle finalità)
  3. in modo adeguato, pertinente e limitato a quanto necessario al perseguimento dei nostri fini (principio di minimizzazione)
  4. usando dati esatti e aggiornati (esattezza)
  5. conservando i dati per il tempo necessario al conseguimento delle finalità prestabilite (limitazione della conservazione)
  6. garantendone la sicurezza (integrità e riservatezza)

Questo vuol dire che dovrò dichiarare ai clienti/utenti per quali motivi chiederò loro certi dati e per quali fini. Ad esempio non posso usare l’email che mi è stata data per ricevere una newsletter per fare email marketing. 

Qualsiasi prodotto o servizio vorrò proporre, dovrà rispettare il principio di minimizzazione dei dati. Questo comporta che potrò chiedere all’utente di darmi solamente i dati necessari al servizio che gli sto offrendo. Se lancio una newsletter potrò chiedere l’email ma non potrò chiedere come campo obbligatorio il numero di telefono, l’indirizzo di casa o la carta di credito.
Non solo, il servizio che voglio lanciare dovrà essere progettato mettendo la privacy al centro (privacy by design e by default, art. 25). Ove possibile, tenendo conto dello stato dell’arte e dei costi di attuazione nonché del tipo di dati che sto trattando, tra più opzioni possibili di progettazione di un servizio o di un prodotto dovrò scegliere quella che può raggiungere lo scopo usando meno dati possibili. 

Sarà poi importante che quei dati siano aggiornati. Questo è possibile farlo sia al momento della raccolta, facilitando ad esempio nel profilo utente la possibilità di modificare le proprie informazioni con facilità, sia, in casi diversi, andandoli a modificare su richiesta dell’utente.

Non potrò conservare quei dati per un tempo indefinito ma dovrò stabilire qual è il tempo giusto, o i criteri da seguire, per dare una data di scadenza a quei dati. Oltre quella data potrei cancellare in automatico i dati o chiedere un nuovo consenso. 

Infine dovrò mantenere in sicurezza quei dati garantendo che non vadano persi, distrutti, o utilizzati in modo illecito. Il tipo di misure di sicurezza da adottare dipenderà da diversi fattori come il tipo di dati che tratto (sono un ambulatorio medico o una macelleria) e la mia disponibilità economica (sono una società quotata o una PMI).

I motivi per cui si possono trattare i dati personali (art. 6 GDPR)

È importante dunque prima di tutto capire se ho un motivo valido per poter trattare i dati personali in modo lecito. Il GDPR prevede sei condizioni possibili:

  1. l’interessato ha espresso il consenso
    Es: ti chiedo il consenso per inviarti la newsletter o proposte commerciali
  2. il trattamento dei dati è necessario all’esecuzione di un contratto
    Es: ti chiedo la carta di credito e l’indirizzo di casa per effettuare il pagamento e spedirti il pacco
  3. il trattamento dei dati è necessario ad adempiere un obbligo legale
    Es: ti chiedo nome e cognome e indirizzo perché necessari per la fattura e non posso cancellarli prima di 10 anni perché questo è il termine previsto dalla legge
  4. il trattamento dei dati è necessario per la salvaguardia degli interessi vitali dell’interessato
    Es: non chiedo il consenso al paziente che arriva in pronto soccorso per trattare i suoi dati come nome e cognome
  5. il trattamento dei dati è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
  6. il trattamento dei dati è necessario per il perseguimento del legittimo interesse del titolare del trattamento (l’azienda) a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato
    Questo è il più delicato perché consente più spazio di manovra all’azienda ma va maneggiato con cautela perché l’interesse aziendale non deve prevalere su quello degli utenti. Potrò dunque inviare una email al cliente che si sia iscritto alla newsletter per chiedergli se vuole ricevere anche comunicazioni commerciali (soft spam) ma non potrò automaticamente mandargli quelle stesse comunicazioni tre volte a settimana solo perché mi ha già dato la sua email.

L’informativa: conosci te stesso (art. 13 GDPR)

Uno dei pilastri del GDPR è poi l’informativa, comunemente chiamata privacy policy. Si posiziona solitamente nel footer di ogni sito ed è il primo segnale per capire se a monte è stato fatto un lavoro serio sulla protezione dei dati. L’informativa è il documento che dimostra, almeno all’apparenza, se ci teniamo davvero al nostro cliente/utente. Non va confusa con la cookie policy, che può essere integrata nella privacy policy, ma di cui parleremo nel prossimo articolo.

La privacy policy è la nostra checklist utilissima, prima che per informare clienti e utenti, per verificare di aver pensato a tutto. Di seguito troverete dunque un elenco di domande che traducono in concreto quanto richiesto dall’art. 13.

  1. Chi è il titolare?
    (azienda, p.iva, sede..)
  2. Dove si può contattare?
    (es: privacy@nomeazienda.it, tel.)
  3. C’è un rappresentante in Italia? Chi è? Dove si può contattare?
  4. C’è un DPO (responsabile per la protezione dei dati)? qual è il suo contatto?
  5. Come uso i dati che sto chiedendo? 
    Per inviare una newsletter? Per inviare pubblicità? Con che cadenza la invierò? Cederò questi dati a terzi? Per motivi tecnico-organizzativi? per venderli?
  1. Qual è la base giuridica in base alla quale chiedo questi dati? (V. paragrafo precedente)
  2. Se la base giuridica è un legittimo interesse, quali sono in concreto i legittimi interessi cui si fa riferimento? 
  3. Mi avvalgo di fornitori cui trasmetto i dati che tratto? Posso identificarli? Sono affidabili? Ho verificato che rispettino il GDPR? Come trattano i dati che fornisco loro? Ho letto la loro privacy policy? Cosa è previsto nel loro contratto di fornitura? Sono in regola con la licenza del servizio che sto usando?
  4. Questi fornitori dove hanno sede? Nell’UE o fuori dall’UE? Lo Stato dove hanno sede ha un accordo con la Commissione Europea che garantisca una protezione di pari livello? Se non ce l’hanno, prevedono tutele contrattuali adeguate? Posso ottenere facilmente i dati dei miei clienti/utenti che ho trasferito al fornitore?
  5. Per quanto tempo conserverò questi dati? Lo posso prevedere in anticipo? Se non lo posso prevedere quali sono i criteri per capirlo?

Es: in caso di landing page per preventivo in cui chiedo diversi dati personali, provvederò a cancellarli se entro 6 mesi non si arriverà ad alcun rapporto di lavoro.

  1. Ho informato l’ “interessato” (cliente, utente) di tutti i suoi diritti? Gli ho detto che può cancellarsi dalla newsletter? Che può chiedermi quali dati ho su di lui? Che può scaricare i dati che ho su di lui (se possibile tecnicamente)?
  2. Ho informato l’ “interessato” se ho bisogno di quei dati per un motivo previsto dalla legge (indicandola) o per obbligo contrattuale (es. Codice fiscale, carta d’identità, etc)? 
  3. Gli ho detto quali sono le possibili conseguenze? (es. Non si potrà fornire il servizio richiesto)
  4. Ho informato l’ “interessato” che in base ai dati che mi ha fornito verranno prese delle decisioni automatiche nei suoi confronti? Gli ho detto qual è la logica sottesa e le conseguenze? Gli ho detto che può chiedere che la decisione può essere rivista da un intervento umano, e che può contestare la decisione ed esprimere la propria opinione?
  5. Se voglio usare i dati in mio possesso per uno scopo ulteriore, non previsto quando li ho ottenuti, ho informato l’ “interessato” di questo nuovo scopo? Gli ho ricordato che può opporsi?
  6. Le informazioni devono essere rese in forma:
    – Concisa
    – Trasparente
    – Intellegibile
    – Facilmente accessibile
    – Con linguaggio semplice e chiaro (soprattutto se destinato a minori)
    – Per iscritto o altra forma (elettronica)
    – Oralmente su richiesta dell’interessato se comprovata la sua identità

Un modo per migliorare la leggibilità e comprensione e passare dal legalese a un’informativa chiara è l’uso di icone.

Un accordo con i fornitori (art. 28 GDPR)

Altra cosa importante da fare, più per una startup che per far partire una newsletter, è l’atto di nomina con i fornitori. Se offro un servizio mediante un fornitore esterno ad esempio, dovrò allegare al contratto un atto di nomina. Potrebbe trattarsi del reparto IT, di quello marketing o HR. Si tratta di un documento che regola cosa può fare il fornitore con i dati personali che tratterà per conto della mia azienda. Questo documento è molto importante perché in caso ad esempio di data breach, benché siamo sempre i primi responsabili, potremo rifarci sul fornitore se non ha seguito le nostre istruzioni. La scelta di fornitori affidabili è dunque fondamentale.

Il registro (art. 30 GDPR)

L’altro documento fondamentale è il registro dei trattamenti. Si tratta della mappa dove indichiamo che tipo di dati trattiamo (nome, cognome, email, cellulare..), qual sonoi categorie di interessati (clienti, fornitori, dipendenti..) e quali quelle dei destinatari (al fisco certi dati, al commercialista altri dati, al fornitore 1 altri dati..), per quali fini (la mail per newsletter, l’indirizzo per la consegna della merce..), per quanto tempo (12 mesi dall’iscrizione..), se trasferiamo i dati all’estero (extra UE), quali misure di sicurezza adottiamo.

Questo documento sarà uno dei primi ad essere richiesto dalle Autorità in caso di controllo. È il modo più veloce per capire se abbiamo tutto sotto controllo e va aggiornato periodicamente.

Nel prossimo articolo parleremo di qualche strumento utile per gestire questa documentazione.

***

Photo by Markus Spiske on Unsplash

Colophon, Privacy e Cookie Policy

Wolf è un supplemento di Slow News
Edito da Slow News StP Srl- via Eugenio Carpi 23, 20131 Milano (MI)
C.F. 09962490968
P.I. 09962490968
Registrazione n. 43 dell’8 febbraio 2016 presso il Tribunale di Milano
ISSN 2499-4928
direttore responsabile: Alberto Puliafito
mail: info[at]slow-news.com
pec: slownewssrl[at]legalmail.it

Privacy Policy
Cookie Policy
Abbiamo a cuore la tua privacy e pensiamo che non sia solo una questione di farti leggere una policy. Ecco perché ti spieghiamo come difenderla.