La privacy al giorno d’oggi deve essere intesa non come mera presentazione della documentazione, ma come metodo, come logica formativa e informativa che deve permeare l’aspetto della tutela legale, dell’organizzazione e della predisposizione di sistemi informatici ad hoc per assicurare la migliore protezione dei dati personali di che tutti hanno nel proprio database.
Per questo motivo il 25 Maggio 2018 con l’entrata in vigore del Regolamento (UE) 2016/679 (cosiddetto “GDPR”) non avverrà l’abrogazione del già noto D.Lgs. n. 196/2003, ma queste due fonti normative dovranno trovare applicazione in combinato disposto, in quanto il GDPR è inteso come misura di implementazione e armonizzazione a livello europeo di quanto già normato dai singoli Stati membri sul tema protezione e trattamenti dei dati personali.
L’aspetto della privacy in azienda non deve essere visto e affrontato come un “calderone”, anzi devono essere ben distinte le informative in base al tipo di trattamento, alla finalità del trattamento e al fatto che ci si stia riferendo a dati di clienti esterni all’azienda ovvero ai dati dei dipendenti dell’azienda stessa.
La tematica della videosorveglianza è strettamente collegata al tema del trattamento dei dati, ma anche in questo caso è necessario calibrare gli adempimenti: ad esempio, il cartello indicativo della presenza di videosorveglianza potrebbe di per sé sostituire l’informativa per il trattamento dei dati, ma in realtà è sempre meglio avere un modello di informativa “sintetica” e un modello di informativa “estesa” in modo da poter eventualmente rispondere in modo puntuale e pronto nel caso in cui una persona (cliente o potenziale) entrando in azienda richieda l’informativa per il trattamento dei dati.
Per quel che riguarda invece il tema delle fidelity card, la problematica è differente a seconda che si tratti di una fidelity non nominativa e per la quale non siano stati raccolti dati che consentono l’identificazione e tanto meno la profilazione della persona, dal caso in cui la fidelity sia invece nominativa e siano stati raccolti i dati personali per il rilascio.
Nel primo caso non sussiste alcuna problematica di privacy; diversamente, nel secondo caso esiste sia un problema di informativa corretta per la raccolta dati (informativa che deve prevedere in un paragrafo separato ed in maniera espressa il consenso della persona per la raccolta dati, deve essere indicato lo scopo del trattamento, chi è abilitato ad effettuare il trattamento e per quanto tempo i dati possono essere conservati, in che modo vengono protetti i dati da conservare e come si esplica il diritto all’oblio), sia un problema legato alle finalità per le quali vengono trattati i dati personali e, in particolare, per la finalità di profilazione del cliente e delle sue preferenze.
QUALI SONO LE REGOLE DI BASE E LE NOVITÀ PRINCIPALI PORTATE DALL’ENTRATA IN VIGORE DEL REGOLAMENTO 2016/679 GDPR
– Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche; infatti se il titolare del trattamento è una persona giuridica che tratta dati di altre persone giuridiche il problema non si pone. Se invece la persona giuridica tratta dati delle persone fisiche allora il titolare dei dati è la persona fisica, che deve dare il consenso alla persona giuridica per poter trattare i dati e in eventuale giudizio la persona giuridica sarà rappresentata dal rappresentante legale pro tempore;
– onere della prova in capo all’azienda: in tema di privacy è l’azienda che deve dimostrare in un eventuale sviluppo processuale di aver implementato in maniera corretta il sistema di gestione
– Concetto di scadenza dei dati: è un concetto nuovo, bisogna informare del tipo di trattamento che si intende fare dei dati e anche del periodo di tempo per il quale questi dati verranno conservati e come vengono conservati, cioè se in cartaceo o in archivio informatico, quali sono i sistemi di protezione dei dati e chi ha accesso a quei dati, per quale motivo e con quale finalità. Ogni azienda nella propria informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo;
– E’ indispensabile assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali e assicurare e informare del relativo diritto all’oblio; in merito a quest’ultimo, il consumatore/ cliente potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento;
– per quel che riguarda la gestione dei dati in via telematica, è necessario analizzare la situazione caso per caso: 1) la conservazione dei dati avviene mediante un server? A questo server hanno accesso tutti oppure solo determinate persone con psw dedicate? 2) i dati presenti a gestionale vengono gestiti da tutti o ci sono addetti deputati in maniera specifica all’utilizzo del gestionale e al trattamento dei relativi dati? 3) l’accesso ai dati anagrafici e ai dati relativi alla contabilità avviene da parte della stessa persona? Ci sono sistemi di psw adeguati per la protezione di questi dati? 4) Se c’è un sito, sono presenti banner o cookies? In questo caso a chi visita la pagina viene data la possibilità di visualizzare e accettare il documento informativo per il trattamento dei dati? 5) Se dalla pagina del sito è possibile accedere alla sezione “contattaci” con un form dedicato per la compilazione, viene data la possibilità di visualizzare e accettare il documento informativo per il trattamento dei dati (perché vengono raccolti i dati? Quali sono i diritti? Tempo di conservazione? Tipo e finalità del trattamento?) prima dell’invio del form compilato? 6) Se viene usato un sistema di invio automatico delle newsletter, quando la mail arriva c’è anche l’informativa per accettare che i dati vengano trattati per espressa finalità di promozione?
– l’informativa deve essere “personalizzata” indicando in modo specifico le finalità del trattamento, da chi verrà effettuato il trattamento, per quanto tempo i dati verranno conservati e il diritto di recesso; l’informativa deve essere diversa anche a seconda che si stia parlando di dati dei clienti o di dati dei dipendenti; in quest’ultimo caso c’è un’altra problematica collegata, ossia il conferimento di incarico e il relativo consenso al trattamento dei dati per specifiche finalità da parte di professionisti esterni all’azienda (ad esempio: consulente del lavoro, commercialista e altre figure di consulenti). Poiché la ditta per la quale il dipendente lavora è persona fisica titolare dei dati dei dipendenti, nel momento in cui i dati devono essere trasmessi al commercialista o al consulente del lavoro, la ditta stessa dovrà conferire specifico incarico per il trattamento dei dati;
– non viene fissata una scadenza degli adempimenti privacy, ma è importante che venga a determinarsi un metodo, in base al quale nel tempo ogni nuovo cliente, ogni nuovo dipendente, ogni nuovo fornitore, ogni nuovo contatto in rete ecc deve essere informato di tutto quanto concerne lo specifico trattamento dei dati che lo interessa.
QUALI SONO LE PRINCIPALI INFORMAZIONI PER POTER FARE IL QUADRO DELLA SITUAZIONE ?
1) è la prima volta che l’azienda affronta la questione privacy? (quindi non è adeguata nemmeno al D.Lgs. 196/2003?)
2) che attività vengono svolte in azienda?
3) a livello sito internet e newsletter, come opera l’azienda?
4) quanti dipendenti ha l’azienda?
5) quanti fornitori?
6) ci sono agenti?
7) quanti clienti?
8) ci sono problematiche di videosorveglianza?
9) viene fatta attività di web marketing e gestiti funnel di vendita?
10) vengono gestiti social network dell’azienda oppure per conto dei clienti?
11) ci sono server centrali? o i dati sono su dropbox, skydrive, google drive, ecc ?
12) viene adottato un sistema antivirus?
13) c’è una società/professionista esterno che si occupa di software e gestionale?
14) c’è un regolamento per la gestione e il trattamento dei dati su piattaforma sito internet?
15) vengono portati all’esterno dall’azienda cellulari o computer?
16) viene fatta una gestione cartacea o informatizzata dei dati dei dipendenti?
17) viene fatta una gestione cartacea o informatizzata dei dati dei clienti?
18) si utilizzano fidelity card? Le fidelity card utilizzate contengono dati che permettano di effettuare una profilazione dei clienti oppure no?
COME RICEVERE AIUTO PER SAPERE ESATTAMENTE COSA FARE
La situazione va analizzata e scritta su procedure e moduli finalizzati alla richiesta di autorizzazione e i documenti vanno fatti firmare ai clienti, fornitori e consulenti. È come elaborare qualcosa un DVR o un HACCP: sequenza di sopralluogo, rilievi, consulenza, elaborazione!
Siamo a disposizione per elaborare assieme il tuo documento al nuovo GDPR e al D.Lgs. 196/2003 se ancora da adeguare.
Costo:
- FORMULA INFO: consulenza e formazione base: per chi ha già strutturato o è seguito da altri consulenti e desidera indicazioni su come muoversi;
- FORMULA COMPLIANCE: consulenza + redazione documenti (quali informativa, incarichi, ecc): permette di essere in regola con gli obblighi imposti dal Regolamento 2016/679 “GDPR” (comprende il punto 1.);
- FORMULA FULL: Consulenza + redazione documenti + redazione procedura di gestione ad hoc + organigramma privacy: si aggiunge la stesura una procedure da parte di ns tecnico legale esperto in privacy dove si scrive la prassi da seguire detta a verbalmente durante la consulenza (comprende il punto 2.);
- By: Sara Casarotti
- Category: Non categorizzato
- 0 Comments
