GDPR - Professionisti e PMI: come adeguarsi? (2020)
Perché il GDPR è importante per professionisti e PMI? La crescente diffusione delle tecnologie informatiche e il massivo utilizzo di internet e dei social network pongono nuove, significative sfide nel campo della tutela della privacy. Gli operatori dei vari settori commerciali e professionali sono costretti ad apportare considerevoli modifiche all’organizzazione della propria attività, non ultimo per evitare le pesantissime sanzioni che le nuove norme hanno previsto in caso di violazioni nella tutela dei dati personali. In questa guida comprenderai in maggior dettaglio come affrontare il tema della privacy nel contesto della tua organizzazione imprenditoriale.
Indice:
2. Quali sono le sanzioni previste in caso di violazione?
3. E se si ha un sito web? Privacy e cookie policy
1. Come ci si adegua?
Le norme contenute nel GDPR hanno ad oggetto le attività di raccolta e di trattamento dei dati personali.
La nozione di “dati personali” fornita dal legislatore europeo ha una portata molto ampia, con ciò intendendosi “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. L’ampiezza di tale definizione, pertanto, fa sì che il nuovo Regolamento abbia un campo di applicazione vastissimo ed investa quasi tutte le attività di natura commerciale e professionale.
1.2. Informativa sulla privacy
Ai sensi della nuova normativa, la raccolta ed il trattamento di dati personali debbono essere informati a principi di trasparenza, correttezza e liceità.
Dal punto di vista pratico, ciò significa che l’impresa e/o il professionista dovranno fornire, preventivamente rispetto allo svolgimento dell’incarico e/o dell’attività, un’adeguata informativa privacy all’interessato, consistente in un documento sintetico e di agevole comprensione nel quale siano espressamente indicate:
- l’identità ed i dati di contatto del titolare e/o del responsabile del trattamento dei dati;
- l’accessibilità alle informazioni fornite da parte di collaboratori, ausiliari e/o soggetti terzi;
- le finalità per le quali viene effettuata l’attività di raccolta e trattamento dei dati personali;
- la base giuridica del trattamento;
- la durata del trattamento (che deve essere proporzionata all’attività da svolgere e limitata al tempo strettamente necessario allo svolgimento dell’incarico e all’adempimento di eventuali obblighi previsti da norme di legge o regolamenti);
- i diritti riconosciuti in favore dell’interessato dagli artt. 15 e 22 del GDPR, e segnatamente il diritto di:
- chiedere la conferma dell’esistenza o meno di propri dati personali;
- ottenere indicazioni circa le finalità e la durata del trattamento;
- ottenere la rettifica e la cancellazione dei dati raccolti (c.d. “diritto all’oblio”);
- ottenere la limitazione del trattamento;
- ottenere la portabilità dei dati, trasmettendoli ad un altro titolare del trattamento, senza impedimenti;
- opporsi al trattamento dei dati in qualsiasi momento e proporre reclamo alle competenti autorità di controllo;
- opporsi ad un processo decisionale automatizzato, ivi ricompresa la profilazione;
- revocare il consenso al trattamento dei dati in qualsiasi momento.
1.3. Consenso al trattamento dei dati
Ai sensi del GDPR, il trattamento dei dati personali può considerarsi lecito nel caso in cui sia reso necessario dall’esecuzione dell’incarico o da un obbligo legale o quando l’interessato abbia prestato il suo espresso consenso al trattamento.
In questa ultima ipotesi, la normativa in esame richiede che il consenso sia informato, specifico, espresso, documentabile, revocabile in qualsiasi momento e liberamente prestato.
Al fine di conformarsi alle prescrizioni del GDPR, pertanto, ove non sussista un'altra base giuridica che legittimi il trattamento dei dati, imprese e professionisti dovranno acquisire il consenso al trattamento dei dati da parte dell’interessato con modalità tali da rispettare i suddetti requisiti, ottenendo la relativa autorizzazione per iscritto e specificando le finalità di trattamento per le quali l’attività di trattamento potrà essere svolta.
1.4. Registro delle attività svolte
Il GDPR prevede, infine, l’obbligo di tenuta per il titolare e/o il responsabile del trattamento di dati personali di un apposito registro delle attività svolte, contenente l’indicazione dei dati di contatto del soggetto incaricato dell’attività di trattamento, delle finalità di quest’ultimo e delle misure di salvaguardia della privacy adottate in concreto.
Il registro deve essere tenuto in forma scritta o digitale e, laddove ne sia fatta richiesta da parte dell’autorità di controllo, deve essere messo a disposizione di quest’ultima.
1.5. “Privacy by design”
Importanti riflessi della normativa in materia di privacy si producono anche con riferimento all’organizzazione dell’attività di trattamento dei dati personali. Il titolare e/o il responsabile del trattamento dei dati personali dovranno, infatti, integrare la tutela dei dati personali già dalla fase di progettazione della tecnologia della piattaforma di servizio (c.d. “privacy by design”), in modo da dotare il sistema di tutte le cautele necessarie ad un’adeguata protezione dei dati, fra cui, a titolo esemplificativo:
-ricorrere all’installazione di sistemi di firewall e di antivirus atti ad impedire abusivi accessi al sistema di raccolta delle informazioni personali;
-adottare sistemi di backup funzionali alla conservazione dei dati;
-adottare sistemi di cifratura e/o pseudonomizzazione idonei ad evitare che le informazioni raccolte siano riconducibili ad una persona determinata o comunque identificabile.
L’incaricato del trattamento dei dati personali è, inoltre, tenuto ad implementare nel sistema di trattamento dei dati personali:
-delle misure volte a neutralizzare tempestivamente gli effetti di eventuali data breaches;
-delle procedure volte a verificare periodicamente l’efficacia delle misure adottate per garantire la sicurezza dei dati conservati.
1.6. Obbligo di comunicazione di data breaches e DPO
Il GDPR prevede altresì l’obbligo di comunicazione all’autorità di controllo di eventuali data breaches – trattasi di violazioni che possono compromettere la normale tutela e protezione dei dati personali custoditi dall’impresa - entro 72 ore dall’avvenuta violazione, unitamente all’indicazione delle misure poste in essere al fine di porre rimedio all’evento pregiudizievole.
Infine, il Regolamento prevede che, per le aziende la cui attività comporta il trattamento di dati personali su vasta scala, sia nominato un DPO (“Data Protection Officer”), preposto a garantire il rispetto della normativa in materia di privacy e a vigilare sull’adozione di adeguati sistemi di data protection.
2. Quali sono le sanzioni previste in caso di violazione?
L’art. 82 del GDPR prevede espressamente il diritto dell’interessato ad ottenere il risarcimento del danno subito per effetto di violazioni della normativa in materia privacy.
L’onere della prova grava sull’incaricato del trattamento, che dovrà dimostrare che l’evento dannoso non è ad esso imputabile in alcun modo.
Oltre a tale, generale previsione, il Regolamento ha introdotto ingenti sanzioni amministrative pecuniarie applicabili in ipotesi di violazione di norme del GDPR:
-sanzioni fino a 10 milioni di euro ovvero, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per l’ipotesi di violazioni degli obblighi gravanti sull’incaricato del trattamento del dati;
-sanzioni fino a 20 milioni di euro ovvero, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per l’ipotesi di violazione delle norme poste a tutela dei diritti dell’interessato, per la violazione dei principi dettati in materia di trattamento dei dati personali, ovvero per l’inadempimento ad un provvedimento da parte dell’autorità di controllo.
3. E se si ha un sito web? Privacy e cookie policy
Il requisito della specificità del consenso prescritto dal GDPR ha reso altresì necessario un adeguamento della privacy policy dei siti web di professionisti e imprese che, per la maggior parte, contengono dei meccanismi di tracciamento dei dati degli utenti.
Ai fini della conformità alla nuova normativa, il sito web deve, pertanto, dotarsi di una privacy policy che sia facilmente accessibile e comprensibile per gli utenti, da inserire all’interno del sito come pagina a sé stante oppure, in alternativa, raggiungibile mediante collegamento link.
La privacy policy, al pari dell’informativa predisposta per il trattamento dei dati personali, dovrà esplicitare i dati personali che vengono trattati dal sito web, la finalità di trattamento, la base giuridica del trattamento e le tipologie di tutela adottate dal titolare del sito, oltre che i dati di contatto di quest’ultimo e l’eventuale accessibilità ai dati forniti da parte di terzi.
La necessità di tutela dei dati personali incide, inoltre, sulla cookie policy adottata dai siti web.
I cookies sono, infatti, file che vengono solitamente scaricati dall’utente mentre naviga su un sito web e che consentono in tal modo al sito stesso di tracciare e registrare le attività di navigazione degli utenti.
Ad eccezione dei c.d. “cookies di sessione”, che sono strettamente necessari per il funzionamento del sito web e che sono esentati dall’applicazione della normativa GDPR, è necessario che l’utente autorizzi preventivamente ed esplicitamente il sito all’attivazione dei cookies.
Per tale ragione, il sito web dovrà dotarsi di una cookie policy chiara e sintetica, che informi gli utenti, tra l’altro, sulle modalità di raccolta dei dati, sulle finalità di trattamento, sui sistemi di tutela adottati, nonché sull’identità del provider dei cookies.
L’informativa dovrà, inoltre, essere costantemente aggiornata.
Per quanto riguarda, infine, la modalità di acquisizione del consenso dell’utente all’attivazione dei cookies, il sito web dovrà rispettare le seguenti prescrizioni:
- prevedere un cookie banner (ossia l’elemento interattivo che informa gli utenti in ordine all’attivazione dei cookies sul sito web) che consenta agli utenti di selezionare i cookies dei quali intendono autorizzare l’attivazione e che non costringa, al contrario, gli stessi a dover accettare necessariamente tutti i cookies per poter visitare il sito web;
- consentire all’utente di poter ritirare in qualsiasi momento il consenso prestato;
- chiedere conferma del consenso ogni dodici mesi;
- consentire la documentabilità dell’acquisizione del consenso prestato.
Per maggiori informazioni sull’applicazione dei temi privacy nel contesto dei siti web si rinvia all’articolo dell’avvocato esperto dell’argomento: clicca qui.
4. Normativa di riferimento
Il Regolamento europeo n. 679/2016 (di seguito “GDPR”), entrato in vigore in data 25.05.2018, ha determinato una significativa innovazione della disciplina italiana in materia di tutela della privacy. Il D. Lgs. n. 101/2018, entrato in vigore in data 19.09.2018, ha costituito il provvedimento di adeguamento nazionale della normativa italiana, contenuta nel D. Lgs. n. 196/2003 (c.d. “Codice Privacy”), alla nuova disciplina europea.
Tutti i professionisti e le imprese che gestiscono il trattamento di dati personali all’interno del territorio dell’Unione Europea si sono, dunque, trovati dinanzi alla necessità di conformarsi ai principi dettati dalla nuova disciplina, nell’ottica di garantire alla propria utenza quel diritto alla riservatezza e al legittimo utilizzo dei propri dati personali che trovano diretto fondamento nella Carta Costituzionale agli articoli 2, 15 e 21.