Business

GDPR - Professionisti e PMI: come adeguarsi? (2020)

Area legale: Diritto di impresa
Tempo di lettura:
9 min

Perché il GDPR è importante per professionisti e PMI? La crescente diffusione delle tecnologie informatiche e il massivo utilizzo di internet e dei social network pongono nuove, significative sfide nel campo della tutela della privacy.  Gli operatori dei vari settori commerciali e professionali sono costretti ad apportare considerevoli modifiche all’organizzazione della propria attività, non ultimo per evitare le pesantissime sanzioni che le nuove norme hanno previsto in caso di violazioni nella tutela dei dati personali. In questa guida comprenderai in maggior dettaglio come affrontare il tema della privacy nel contesto della tua organizzazione imprenditoriale.  

 

 Indice: 

1. Come ci si adegua? 

2. Quali sono le sanzioni previste in caso di violazione? 

3. E se si ha un sito web? Privacy e cookie policy

4. Normativa di riferimento

 

1. Come ci si adegua?

Le norme contenute nel GDPR hanno ad oggetto le attività di raccolta e di trattamento dei dati personali.  

La nozione di “dati personali” fornita dal legislatore europeo ha una portata molto ampia, con ciò intendendosi “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. L’ampiezza di tale definizione, pertanto, fa sì che il nuovo Regolamento abbia un campo di applicazione vastissimo ed investa quasi tutte le attività di natura commerciale e professionale. 

1.2. Informativa sulla privacy 

Ai sensi della nuova normativa, la raccolta ed il trattamento di dati personali debbono essere informati a principi di trasparenza, correttezza e liceità. 

Dal punto di vista pratico, ciò significa che l’impresa e/o il professionista dovranno fornire, preventivamente rispetto allo svolgimento dell’incarico e/o dell’attività, un’adeguata informativa privacy all’interessato, consistente in un documento sintetico e di agevole comprensione nel quale siano espressamente indicate: 

- l’identità ed i dati di contatto del titolare e/o del responsabile del trattamento dei dati; 

- l’accessibilità alle informazioni fornite da parte di collaboratori, ausiliari e/o soggetti terzi; 

- le finalità per le quali viene effettuata l’attività di raccolta e trattamento dei dati personali; 

- la base giuridica del trattamento; 

- la durata del trattamento (che deve essere proporzionata all’attività da svolgere e limitata al tempo strettamente necessario allo svolgimento dell’incarico e all’adempimento di eventuali obblighi previsti da norme di legge o regolamenti); 

- i diritti riconosciuti in favore dell’interessato dagli artt. 15 e 22 del GDPR, e segnatamente il diritto di: 

- chiedere la conferma dell’esistenza o meno di propri dati personali;

- ottenere indicazioni circa le finalità e la durata del trattamento; 

- ottenere la rettifica e la cancellazione dei dati raccolti (c.d. “diritto all’oblio”); 

- ottenere la limitazione del trattamento;

- ottenere la portabilità dei dati, trasmettendoli ad un altro titolare del trattamento, senza impedimenti; 

- opporsi al trattamento dei dati in qualsiasi momento e proporre reclamo alle competenti autorità di controllo; 

- opporsi ad un processo decisionale automatizzato, ivi ricompresa la profilazione; 

- revocare il consenso al trattamento dei dati in qualsiasi momento. 

1.3. Consenso al trattamento dei dati 

Ai sensi del GDPR, il trattamento dei dati personali può considerarsi lecito nel caso in cui sia reso necessario dall’esecuzione dell’incarico o da un obbligo legale o quando l’interessato abbia prestato il suo espresso consenso al trattamento. 

In questa ultima ipotesi, la normativa in esame richiede che il consenso sia informato, specifico, espresso, documentabile, revocabile in qualsiasi momento e liberamente prestato. 

Al fine di conformarsi alle prescrizioni del GDPR, pertanto, ove non sussista un'altra base giuridica che legittimi il trattamento dei dati, imprese e professionisti dovranno acquisire il consenso al trattamento dei dati da parte dell’interessato con modalità tali da rispettare i suddetti requisiti, ottenendo la relativa autorizzazione per iscritto e specificando le finalità di trattamento per le quali l’attività di trattamento potrà essere svolta. 

1.4. Registro delle attività svolte 

Il GDPR prevede, infine, l’obbligo di tenuta per il titolare e/o il responsabile del trattamento di dati personali di un apposito registro delle attività svolte, contenente l’indicazione dei dati di contatto del soggetto incaricato dell’attività di trattamento, delle finalità di quest’ultimo e delle misure di salvaguardia della privacy adottate in concreto.  

Il registro deve essere tenuto in forma scritta o digitale e, laddove ne sia fatta richiesta da parte dell’autorità di controllo, deve essere messo a disposizione di quest’ultima. 

1.5. “Privacy by design” 

Importanti riflessi della normativa in materia di privacy si producono anche con riferimento all’organizzazione dell’attività di trattamento dei dati personali. Il titolare e/o il responsabile del trattamento dei dati personali dovranno, infatti, integrare la tutela dei dati personali già dalla fase di progettazione della tecnologia della piattaforma di servizio (c.d. “privacy by design”), in modo da dotare il sistema di tutte le cautele necessarie ad un’adeguata protezione dei dati, fra cui, a titolo esemplificativo: 

-ricorrere all’installazione di sistemi di firewall e di antivirus atti ad impedire abusivi accessi al sistema di raccolta delle informazioni personali; 

-adottare sistemi di backup funzionali alla conservazione dei dati; 

-adottare sistemi di cifratura e/o pseudonomizzazione idonei ad evitare che le informazioni raccolte siano riconducibili ad una persona determinata o comunque identificabile. 

L’incaricato del trattamento dei dati personali è, inoltre, tenuto ad implementare nel sistema di trattamento dei dati personali: 

-delle misure volte a neutralizzare tempestivamente gli effetti di eventuali data breaches; 

-delle procedure volte a verificare periodicamente l’efficacia delle misure adottate per garantire la sicurezza dei dati conservati. 

1.6. Obbligo di comunicazione di data breaches e DPO 

Il GDPR prevede altresì l’obbligo di comunicazione all’autorità di controllo di eventuali data breaches – trattasi di violazioni che possono compromettere la normale tutela e protezione dei dati personali custoditi dall’impresa - entro 72 ore dall’avvenuta violazione, unitamente all’indicazione delle misure poste in essere al fine di porre rimedio all’evento pregiudizievole. 

Infine, il Regolamento prevede che, per le aziende la cui attività comporta il trattamento di dati personali su vasta scala, sia nominato un DPO (“Data Protection Officer”), preposto a garantire il rispetto della normativa in materia di privacy e a vigilare sull’adozione di adeguati sistemi di data protection. 

 

2. Quali sono le sanzioni previste in caso di violazione?

L’art. 82 del GDPR prevede espressamente il diritto dell’interessato ad ottenere il risarcimento del danno subito per effetto di violazioni della normativa in materia privacy. 

L’onere della prova grava sull’incaricato del trattamento, che dovrà dimostrare che l’evento dannoso non è ad esso imputabile in alcun modo. 

Oltre a tale, generale previsione, il Regolamento ha introdotto ingenti sanzioni amministrative pecuniarie applicabili in ipotesi di violazione di norme del GDPR: 

-sanzioni fino a 10 milioni di euro ovvero, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per l’ipotesi di violazioni degli obblighi gravanti sull’incaricato del trattamento del dati; 

-sanzioni fino a 20 milioni di euro  ovvero, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per l’ipotesi di violazione delle norme poste a tutela dei diritti dell’interessato, per la violazione dei principi dettati in materia di trattamento dei dati personali, ovvero per l’inadempimento ad un provvedimento da parte dell’autorità di controllo. 

 

 3. E se si ha un sito web? Privacy e cookie policy

Il requisito della specificità del consenso prescritto dal GDPR ha reso altresì necessario un adeguamento della privacy policy dei siti web di professionisti e imprese che, per la maggior parte, contengono dei meccanismi di tracciamento dei dati degli utenti. 

Ai fini della conformità alla nuova normativa, il sito web deve, pertanto, dotarsi di una privacy policy che sia facilmente accessibile e comprensibile per gli utenti, da inserire all’interno del sito come pagina a sé stante oppure, in alternativa, raggiungibile mediante collegamento link.  

La privacy policy, al pari dell’informativa predisposta per il trattamento dei dati personali, dovrà esplicitare i dati personali che vengono trattati dal sito web, la finalità di trattamento, la base giuridica del trattamento e le tipologie di tutela adottate dal titolare del sito, oltre che i dati di contatto di quest’ultimo e l’eventuale accessibilità ai dati forniti da parte di terzi. 

La necessità di tutela dei dati personali incide, inoltre, sulla cookie policy adottata dai siti web. 

I cookies sono, infatti, file che vengono solitamente scaricati dall’utente mentre naviga su un sito web e che consentono in tal modo al sito stesso di tracciare e registrare le attività di navigazione degli utenti. 

Ad eccezione dei c.d. “cookies di sessione”, che sono strettamente necessari per il funzionamento del sito web e che sono esentati dall’applicazione della normativa GDPR, è necessario che l’utente autorizzi preventivamente ed esplicitamente il sito all’attivazione dei cookies. 

Per tale ragione, il sito web dovrà dotarsi di una cookie policy chiara e sintetica, che informi gli utenti, tra l’altro, sulle modalità di raccolta dei dati, sulle finalità di trattamento, sui sistemi di tutela adottati, nonché sull’identità del provider dei cookies. 

L’informativa dovrà, inoltre, essere costantemente aggiornata. 

Per quanto riguarda, infine, la modalità di acquisizione del consenso dell’utente all’attivazione dei cookies, il sito web dovrà rispettare le seguenti prescrizioni: 

- prevedere un cookie banner (ossia l’elemento interattivo che informa gli utenti in ordine all’attivazione dei cookies sul sito web) che consenta agli utenti  di selezionare i cookies dei quali intendono autorizzare l’attivazione e che non costringa, al contrario, gli stessi a dover accettare necessariamente tutti      i cookies per poter visitare il sito web; 

- consentire all’utente di poter ritirare in qualsiasi momento il consenso prestato; 

- chiedere conferma del consenso ogni dodici mesi; 

- consentire la documentabilità dell’acquisizione del consenso prestato. 

 

Per maggiori informazioni sull’applicazione dei temi privacy nel contesto dei siti web si rinvia all’articolo dell’avvocato esperto dell’argomento: clicca qui 

 

 4. Normativa di riferimento

Il Regolamento europeo n. 679/2016 (di seguito “GDPR”), entrato in vigore in data 25.05.2018, ha determinato una significativa innovazione della disciplina italiana in materia di tutela della privacy. Il D. Lgs. n. 101/2018, entrato in vigore in data 19.09.2018, ha costituito il provvedimento di adeguamento nazionale della normativa italiana, contenuta nel D. Lgs. n. 196/2003 (c.d. “Codice Privacy”), alla nuova disciplina europea. 

Tutti i professionisti e le imprese che gestiscono il trattamento di dati personali all’interno del territorio dell’Unione Europea si sono, dunque, trovati dinanzi alla necessità di conformarsi ai principi dettati dalla nuova disciplina, nell’ottica di garantire alla propria utenza quel diritto alla riservatezza e al legittimo utilizzo dei propri dati personali che trovano diretto fondamento nella Carta Costituzionale agli articoli 2, 15 e 21. 

Data aggiornamento: 04/01/2022
CONTATTA L’AVVOCATO
Prenota subito online
Domande e Risposte correlate
Pensione di reversibilità del coniuge divorziato: è necessario l’assegno divorzile?
È orientamento giurisprudenziale davvero consolidato e pressoché univoco all’interno del nostro Ordinamento che, per poter conseguire la pensione di reversibilità dell'ex coniuge deceduto (e ciò ...
CONTINUA A LEGGERE
Padre assente da tutta la vita. Quale illecito e quale risarcimento?
Potrebbe valutare una azione per risarcimento del danno da privazione genitoriale. Il genitore assente, infatti, consuma un illecito e viola i diritti costituzionalmente garantiti del figlio. Non si ...
CONTINUA A LEGGERE
Deposito cauzionale: quando deve essere restituito al conduttore?
La somma pari a 3 mensilità versata al momento della sottoscrizione del contratto di locazione costituisce il “deposito cauzionale”, la cui funzione è quella di garantire preventivamente il locatore ...
CONTINUA A LEGGERE
Come fare un testamento valido: Garantire la tua volontà senza rischi di contestazioni
Quando si tratta di pianificare il proprio testamento, assicurarsi che sia valido e immune da controversie future è fondamentale. La contestazione di un testamento, infatti, può provocare ...
CONTINUA A LEGGERE
Mensa scolastica: mantenimento ordinario o spesa straordinaria?
Secondo i protocolli[1] adottati dai Tribunali la mensa scolastica rientrerebbe nelle spese da sostenere con il mantenimento ordinario. Infatti, la mensa scolastica viene considerata dalla ...
CONTINUA A LEGGERE
Chi si assume il rischio nell'ambito dell'esecuzione di un contratto di appalto?
La situazione che ci presenta nel Suo quesito sembra rientrare nell'ambito del contratto di appalto, nel quale un soggetto, definito committente, affida a un altro soggetto (es. impresa esecutrice) ...
CONTINUA A LEGGERE
I partner si lasciano: prezzo del trasferimento della quota dell’immobile in comproprietà?
In fattispecie come quelle da lei rappresentata, il corrispettivo per l'acquisto della quota del 50% della partner è pari a quanto la stessa abbia già versato come prezzo di acquisto. Pertanto ...
CONTINUA A LEGGERE
Pubblicazione foto immobile per scopi promozionali. È lecita?
Una recente sentenza della Corte di Cassazione (Sent. Cass. Civ. sez. III, 29/10/2019 n.27613), occupandosi di un caso simile, ha rigettato la richiesta di risarcimento avanzata dai proprietari di ...
CONTINUA A LEGGERE
Recupero del credito nei confronti di un debitore defunto: è possibile?
In risposta alla sua richiesta, prima di tutto è bene sapere che la morte di un debitore non annulla automaticamente il diritto del creditore di recuperare il proprio credito. Tuttavia, il processo ...
CONTINUA A LEGGERE
Mio padre si è disinteressato a me da sempre. È possibile chiedere il risarcimento del danno?
È possibile. Si tratta di un credito che sua madre avrebbe vantato nei confronti di suo padre. Sulla scorta di un provvedimento (pare di capire, non è precisato nella sua domanda) suo padre era ...
CONTINUA A LEGGERE
Padre scomparso dalla vita del figlio. È possibile il risarcimento?
La fattispecie rappresentata solleva due questioni. La prima è senza dubbio il rimborso alla madre delle spese di mantenimento ordinario e straordinarie sostenute in via esclusiva e integrale per la ...
CONTINUA A LEGGERE
Preliminare di compravendita immobiliare con erede apparente. Cosa succede con il rogito?
Per un riscontro scevro da ogni dubbio sarebbe opportuno conoscere dettagliatamente la disciplina belga in tema di successioni. Non è, infatti, la normativa italiana quella di riferimento per il ...
CONTINUA A LEGGERE
Il marito ha condotte di violenza di natura psicologica anche davanti ai figli. Cosa succede?
La situazione che descrive pare piuttosto grave e certamente le condotte ascritte a suo marito sono illecite, lesive dei doveri familiari e contrarie alle obbligazioni assunte con il matrimonio, in ...
CONTINUA A LEGGERE
Premi assicurativi e successione ereditaria. È possibile che operi la collazione o la riduzione?
Le polizze vita, o meglio i frutti che ne derivano, non cadono in successione. Si tratta di contratti e il relativo diritto del beneficiario sorge per la causale negoziale e non successoria. ...
CONTINUA A LEGGERE
Il padre non paga il mantenimento dei figli: posso rivolgermi al suo datore di lavoro?
In caso di inadempimento del padre alle obbligazioni di mantenimento a beneficio dei figli, può direttamente rivolgersi al datore di lavoro del genitore inadempiente. Il riformato articolo 473bis.37 ...
CONTINUA A LEGGERE
Scopri come funziona
Avvocato Accanto ti consente di gestire senza stress e con comodità le tue questioni legali. Hai accesso ad un avvocato esperto sempre e ovunque tu sia per chiedere consulenza legale ed assistenza quando ti serve
1.
Seleziona il servizio che ti serve

Puoi contattare un avvocato, fissare un appuntamento, fare una domanda gratis o richiedere un preventivo gratuito

2.
Ricevi quello che hai chiesto

Consulenza telefonica, consulenza online, incontro presso uno spazio fisico, revisione documenti e preventivo

3.
Paga solo alla fine

Dopo aver ricevuto quello che hai chiesto

lawyer
Dove ci trovi
se vuoi incontrarci di persona
Se vuoi incontrarci di persona e conoscerci ci trovi in Via Crocefisso 6 a Milano, presso gli uffici di Avvocato Accanto, tutti i giorni da lunedì a venerdì e su appuntamento anche il sabato. Ti aspettiamo.
Avvocato Accanto
Via Crocefisso 6 Milano 20122
tel. 02 3664 4280
mappa avvocato accanto
annulla