Adeguare il proprio business online alla normativa sulla privacy non significa solamente renderlo conforme al GDPR o al Codice della Privacy. La protezione dei dati personali è una scelta strategica per guadagnare la fiducia di clienti e consumatori. Adeguarsi alla normativa sulla privacy significa pertanto investire nella crescita della propria impresa o studio professionale.
Come fare per assicurare a clienti e consumatori che i loro dati personali sono protetti?
Il punto di partenza è certamente da trovarsi nel GDPR che delinea i principi da seguire per il trattamento dei dati personali. Per assicurare la conformità (compliance) al GDPR sarà necessario implementare questi principi al trattamento dei dati personali.
1. Obiettivo GDPR compliance
3. Creazione del report e verifica della corrispondenza ai principi del GDPR
6. Limitazione delle Finalità e Limitazione della Conservazione
1. Obiettivo GDPR compliance
La domanda più frequente che viene posta quando si parla di privacy è:
Come faccio ad adeguarmi al GDPR?
Anche se per imprese e studi professionali la domanda è la stessa, non esiste purtroppo una risposta univoca. Ogni realtà aziendale o studio professionale è differente dall’altro, e diverse sono le misure da adottare.
Come anticipato nel precedente articolo, la conformità alla normativa sulla privacy richiede uno sforzo che si delinea in tre distinte fasi. La prima di queste riguarda i processi interni legati al trattamento dei dati personali. Ogni attività che comporta il trattamento dati personali deve rispettare i seguenti principi:
- Principio di liceità, correttezza e trasparenza
- Principio di limitazione delle finalità
- Principio di minimizzazione dei dati
- Principio di esattezza
- Principio di limitazione della conservazione
- Principio di integrità e riservatezza
- Principio di responsabilizzazione
I principi posti dal GDPR non sono destinati a rimanere solo sulla carta, ma saranno la lente sotto la quale esaminare i processi interni. L’esame della conformità di queste procedure di trattamento alla normativa è solitamente noto con il termine di Audit. Proprio in ragione della diversità delle attività di trattamento e del grado di implementazione della normativa al livello aziendale, l’audit costituisce il primo e più importante passo verso la GDPR compliance.
2. Audit
A seconda della disponibilità delle risorse da destinare alla privacy, l’audit potrà interessare tutta l’impresa o solo alcuni dipartimenti. Se le risorse a disposizione sono limitate, l’attenzione dovrà essere posta su quei dipartimenti dove il potenziale di rischio per la privacy è maggiore. In tema di business online, il dipartimento marketing rappresenta un tipico esempio dove il rischio è tra i più elevati e andrà esaminato tra i primi.
L’audit presuppone che vi sia un’attività imprenditoriale già avviata. Se il progetto imprenditoriale è ancora nella fase di progettazione, l’audit può ancora essere svolto, con i dovuti adattamenti, usando come base il business plan. Questo aiuterà a rendere il progetto ancora più dettagliato e rappresentativo delle attività che si andranno a svolgere.
Affinché questo processo sia efficace è necessario il coinvolgimento di tutte le figure chiave dell’impresa o studio professionale. Sempre in base alle risorse a disposizione, l’audit potrà essere svolto a distanza, mediante questionario, o tramite colloquio in sede.
Il questionario consente un notevole risparmio di tempo, ma è meno efficace del colloquio. La difficoltà connesse alla comprensione delle domande o la deresponsabilizzazione degli intervistati potrebbe falsare il risultato.
L’audit servirà ad ottenere una mappatura di tutti i processi che riguardano i dati personali e aiuterà a conoscere quali sono:
- I dati personali trattati e con quali modalità
- Le finalità per cui i dati vengono trattati
- Le basi giuridiche usate per i trattamenti
- Le modalità e tempo di conservazione
- Adeguatezza dei sistemi di sicurezza dei dati personali
3. Creazione del report e verifica della corrispondenza ai principi del GDPR
A conclusione dell’audit si produrrà un report. Usando il report come base, si andrà ad esaminare quelle attività dove si è riscontrato un maggior livello di rischio per i dati personali. Le attività di trattamento dei dati personali andranno poste sotto la lente dei principi fissati dal GDPR.
4. Liceità
Il GDPR impone che il trattamento dei dati personali sia lecito.
Il principio di liceità richiede che il trattamento dei dati personali sia basato sul consenso dell’interessato o su altra base giuridica. Oltre al consenso, anche la legge, il contratto o l’interesse legittimo possono costituire valide basi su cui fondare il trattamento.
4.1 Il Consenso come base giuridica per il trattamento
Il consenso ha dei requisiti molto stringenti perché collegato a diritti fondamentali dei titolari dei dati. Affinché il consenso prestato sia valido, il GDPR richiede che esso sia:
Libero
Il consenso è libero se all’interessato è data la possibilità di scegliere se prestare il consenso, senza dover incorrere in conseguenze negative in caso di mancata prestazione.
Come adeguarsi
L’interessato deve avere la possibilità di effettuare una scelta incondizionata.
Esempio
Non è libero il consenso fornito per il trattamento dei dati personali ai fini marketing se per ricevere uno sconto sui prodotti acquistati l’interessato deve prestare il proprio consenso.
Il titolare del trattamento deve poter dimostrare che l’interessato abbia acconsentito al trattamento.
L’interessato deve avere la possibilità di ritirare il consenso con la stessa semplicità con cui lo ha prestato.
Specifico
È tale il consenso dato per uno o più scopi specifici e l’interessato ha avuto la possibilità di esprimersi su ognuno di questi. Legato al concetto di consenso informato, esso impone che l’interessato riceva specifica informazione circa l’uso che verrà fatto dei suoi dati personali.
Come adeguarsi
Se viene chiesto il consenso, questo dovrà essere riferito allo scopo per cui il consenso viene chiesto e non per scopi ulteriori.
Se il trattamento avviene per scopi distinti, far sì che l’interessato possa scegliere se prestare il consenso per ciascun distinto scopo.
Informato
Il GDPR richiede che l’interessato sia informato su cosa sta prestando il proprio consenso.
Come adeguarsi
Le informative sulla privacy dovranno essere accessibili all’interessato e rese in un linguaggio comprensibile.
La richiesta di consenso dovrà essere distinguibile dal resto del testo.
Le informative sulla privacy vanno rese trasparenti circa lo scopo del trattamento.
Fornire informazioni chiare sulla possibilità di revocare il consenso e semplificare le procedure di revoca.
Non ambiguo
Il consenso è valido solamente se prestato mediante un atto positivo e inequivocabile con il quale l’interessato manifesta l’intenzione di accettare il trattamento dei dati personali che lo riguardano.
Come adeguarsi
Le procedure di prestazione del consenso andranno riviste per evitare quelle che fanno affidamento sul silenzio o la mancata azione.
Saranno contrarie al principio di liceità e vanno rimosse le richieste di consenso effettuate mediante caselle preselezionate.
Esigere un’azione da parte dell’interessato ogni volta che si chiede il consenso per il trattamento.
Nei contratti, si dovrà porre in risalto la richiesta di consenso per attività di trattamento che non fanno parte del servizio offerto con quel contratto.
4.2 In breve
La procedura di verifica della conformità deve essere svolta per tutte quelle attività di trattamento che necessitano del consenso.
Bisogna ricordare che il consenso può essere ritirato in ogni momento dall’interessato. Per quanto riguarda il consenso espresso dai minori, il Codice della Privacy fissa in 14 anni il requisito di età affinché il consenso possa essere considerato come valido. Se si opera in diversi Stati Membri, fare attenzione all’età richiesta per la valida prestazione del consenso per i minori.
5. Correttezza e Trasparenza
Collegati al principio di legalità sono quelli di correttezza e trasparenza. Secondo il Regolamento, questi principi comportano che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità.
Da un lato, si vuole impedire che il raccoglimento dei dati personali avvenga senza la consapevolezza dell’interessato. Dall’altro, si vuole assicurare che le informazioni sul trattamento dei dati siano facilmente accessibili e rese in modo semplice e comprensibile.
Come adeguarsi
I dati personali vanno trattati solamente per lo scopo dichiarato evitando il trattamento per fini ulteriori e non necessari.
Se il trattamento dei dati era stato fondato su una base giuridica venuta meno, evitare di proseguire il trattamento sotto altra base giuridica.
Esempio
Se la base giuridica dichiarata per il trattamento dei dati era stata individuata nel consenso, non si potrà fondare il trattamento sull’interesse legittimo del titolare del trattamento se il consenso viene ritirato.
Le informazioni riguardanti il trattamento dei dati personali devono comprendere tutte le attività poste in essere (es. modalità di raccolta, utilizzo, consultazione).
Revisionare le informative privacy affinché queste siano accessibili e redatte con un linguaggio semplice e comprensibile.
Assicurarsi che informative diano informazione chiara della possibilità di revocare il consenso se questo viene usato come base giuridica.
Se vengono trattati dati personali dei minori, prestare particolare attenzione al linguaggio usato affinché questo sia da questi facilmente comprensibile. Se il trattamento è basato sul consenso, bisognerà informare il minore della possibilità di revocarlo.
6. Limitazione delle Finalità e Limitazione della Conservazione
Il GDPR impone ai titolari del trattamento di raccogliere i dati per finalità determinate, esplicite e legittime. Una volta indicate le finalità per cui i dati sono stati raccolti, sarebbe incompatibile con il Regolamento un trattamento effettuato per finalità diverse. È pertanto necessario che i dati vengano conservati per un tempo strettamente limitato a conseguire lo scopo del trattamento, in applicazione del principio di limitazione della conservazione.
Come adeguarsi
Se il trattamento ha ad oggetto più finalità, ottenere il consenso per ogni finalità di trattamento.
Se si intende trattare i dati personali per finalità diversa da quella per cui il consenso veniva prestato, fornire all’interessato tutte le informazioni riguardanti la diversa finalità.
Limitare il trattamento dei dati personali per le sole finalità indicate al momento della raccolta.
Non usare i dati raccolti per attività ulteriori che siano diverse o incompatibili con gli scopi per cui sono stati raccolti.
Stabilire delle procedure che consentano di verificare periodicamente i dati personali conservati e fissare un termine per la loro cancellazione.
7. Minimizzazione dei Dati
I moderni sistemi informatici possono consentire ai titolari del trattamento di poter raccogliere un vasto quantitativo di dati personali. Dati che possono anche essere estranei alle finalità perseguite. In un’ottica di tutela dei diritti degli interessati, il Regolamento impone che i dati personali trattati siano solamente quelli adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono raccolti.
Come adeguarsi
I dati personali da raccogliere devono essere sufficienti al perseguimento delle finalità dichiarate.
Evitare di raccogliere dati personali scollegati dalle finalità per cui i dati vengono trattati.
Non raccogliere dati personali, o procedere subito alla cancellazione di quelli eventualmente già raccolti, che eccedono le finalità dichiarate.
8. Esattezza
Può accadere che l’interessato abbia fornito dei dati inesatti o che questi non siano più attuali. L’inesattezza dei dati personali può avere conseguenze negative per gli interessati. Per assicurare che i dati personali siano esatti, il GDPR impone ai titolari del trattamento di adottare le misure appropriate per cancellare o rettificare i questi dati.
Come adeguarsi
Implementare strumenti tecnici per permettere agli interessati di accedere al proprio profilo per rettificare o cancellare autonomamente i dati personali inesatti.
Sviluppare linee guida interne per la gestione delle richieste di rettifica o cancellazione dei dati inesatti.
Programmare verifiche periodiche sui dati personali in possesso affinché rimangano aggiornati durante il periodo di conservazione e prevenire inesattezze.
9. Integrità e Riservatezza
I principi di integrità e riservatezza impongono al titolare del trattamento di implementare misure tecniche ed organizzative per conseguire un duplice scopo: da un lato, garantire la riservatezza, l’integrità e la disponibilità dei dati personali; dall’altra, l’immediata comunicazione all’autorità di controllo e all’interessato in caso di violazione.
Come adeguarsi
È bene avere a mente che il livello di sicurezza da garantire e le misure tecniche ed organizzative da adottare dovranno essere comparate al livello di rischio.
I dipendenti andranno istruiti nel riconoscere e agire senza ritardo al verificarsi di violazioni dei dati personali.
Designare coloro che saranno addetti al trattamento e implementare misure di sicurezza per far sì che altri non possano avere accesso ai dati personali trattati.
Si potrà usare la cifratura dei dati personali per scongiurare trattamenti non autorizzati o illeciti.
L’attivazione di sistemi di conservazione e back-up potrà aiutare a prevenire la perdita, distruzione o danneggiamento accidentale dei dati personali.
Realizzare procedure interne volte a testare periodicamente la riservatezza, l’integrità e la disponibilità dei dati personali.
Lavorare per costruire la resilienza dei sistemi interni per garantire l’operatività anche in presenza di condizioni sfavorevoli e ristabilire il funzionamento dei sistemi nel più breve tempo possibile.
10. Responsabilizzazione
Assente nel previgente Codice della Privacy, il principio di responsabilizzazione costituisce un’innovazione introdotta dal GDPR. Prima delle modifiche apportate con il Regolamento, il Codice della Privacy obbligava il titolare del trattamento a notificare al Garante l’intenzione di procedere al trattamento di particolari tipologie di dati personali.
Con l’introduzione del principio di responsabilizzazione decade l’obbligo di notifica preventiva. Il titolare del trattamento deve però essere in grado di provare la sua conformità ai principi.
Il principio di responsabilizzazione e il rapporto del titolare del trattamento con le autorità di controllo saranno esaminate più attentamente in un successivo contributo.
