Salta al contenuto

Il GDPR spiegato in modo semplice

gdpr privacy consulenza shift comoIl GDPR entrerà in vigore il 25 Maggio 2018 e avrà un notevole impatto su come le aziende possono utilizzare i dati personali e sensibili degli individui. Ecco perché abbiamo pensato che ti avrebbe fatto comodo una guida che abbiamo chiamato il GDPR spiegato in modo semplice.

Avrai sicuramente ricevuto millemila newsletter e letto di tutto e di più sul GDPR ma il 90% di quello che ho avuto modo di leggere è scritto nel solito misto di legalese/burocratichese che lo rende praticamente incomprensibile.

Il testo che segue non è fatto per le grandi aziende che sicuramente hanno uno studio che le segue e lavora per loro sul GDPR; è invece fatto per le micro e piccole imprese che non sanno a chi rivolgersi ma vogliono che qualcuno parli loro in modo chiaro e semplice senza tanti termini pomposi che non servono a nulla.

Ecco lo scopo di questo GDPR spiegato in modo semplice.

Per inciso, ci sono un sacco di cose del GDPR che sono ancora soggette a interpretazioni, quindi se cerchi su internet troverai come al solito tutto e il contrario di tutto ma le linee guida di massima ci sono e per il resto lasciamo ai legali il loro mestiere.

aggiornato il giorno 29 Maggio 2018


Cosa significa GDPR?

Significa General Data Protection Regulation ed è una normativa a livello Europeo, non italiano. Quindi in vigore in tutta Europa. L’Italia non ha fatto altro che recepire la direttiva Europea. È anche noto come Regolamento (UE) 2016/679 del 27 aprile 2016.

Ma non c’era già qualcosa prima sulla privacy?

Sì, c’era il Codice per la protezione dei dati personali (D.lgs. n.196/2003) che rimane in vigore fino al 25 Maggio 2018. Il GDPR abrogherà le norme del Codice per la protezione dei dati personali (D.lgs. n.196/2003) che risulteranno con esso incompatibili.

È vero che il GDPR è stato rimandato di 6 mesi?

No, assolutamente no! Tutto è nato da un’interpretazione sbagliata di provvedimento del garante che parlava di un generico “differimento di 6 mesi” ma successivamente il Garante stesso ha precisato che non essendo questa una normativa italiana ma europea, il Garante stesso non può prorogarne l’entrata in vigore in alcun modo. L’equivoco è nato dal fatto che il garante francese ha detto che, visto il clima di incertezza totale, non sanzionerà le aziende per un periodo di 6 mesi dall’entrata in vigore proprio per permettere a tutti di mettersi a norma.

Che scopo ha il GDPR?

Il GDPR si pone l’obiettivo di uniformare e normalizzare, nell’ambito dell’Unione Europea, le diverse norme che regolano il trattamento dei dati personali, disciplinando in via definitiva le modalità con cui i dati e le informazioni dovranno essere archiviate, protette e rese accessibili da parte delle aziende

Cosa me ne frega?

Te ne frega nei limiti in cui la tua azienda, o tu come partita Iva, hai a che fare con dei dati personali di persone fisiche. Attenzione perché si applica anche ad aziende extra-UE che forniscano beni o servizi a residenti nell’Unione Europea. Se quindi la tua azienda è svizzera ma lavori con dati di cittadini italiani o di stati facenti parte della UE, allora sei dentro.

Cosa sono i dati personali?

In pratica tutte le informazioni relative a un individuo e connesse alla sua vita sia professionale che privata. Si va dai nomi alle fotografie, dall’indirizzo email ai dettagli bancari fino all’indirizzo IP. C’è ancora molta confusione su questo aspetto. In pratica il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo.

Secondo la Commissione Europea “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.

Esempi di dati personali includono:

  • Nome e cognome
  • Numero di telefono
  • Indirizzo di residenza
  • Genere e nazionalità
  • Dati bancari
  • Informazioni mediche
  • Qualsiasi dato inerente agli interessi e alle inclinazioni personali
  • Un indirizzo email quale ad esempio nome.cognome@azienda.com
  • Comportamento su un sito internet
  • Un numero di carta d’identità
  • Dati di localizzazione (ad esempio la funzione di localizzazione su un telefono cellulare)
  • Un indirizzo Internet Protcol (IP)
  • Un ID cookie

E allora cosa sono i dati sensibili?

Esiste una categoria speciale di dati personali: i dati personali sensibili.

Di questi fanno parte informazioni mediche, dati sull’origine razziale o etnica di una persona, opinioni politiche, credo religiosi, informazioni sessuali, l’appartenenza sindacale, dati biometrici (per esempio impronte digitali o scansioni della retina o del viso), dati genetici. I dati finanziari non sono invece considerati dati sensibili.

Se un’azienda elabora dati sensibili, è necessario adottare ulteriori misure di sicurezza e tecniche di sicurezza.

Alcuni dati aziendali potrebbero anche essere dati personali. mario.rossi@fiat.com è un dato personale in quanto l’indirizzo email può essere ricollegato a una persona fisica e identificabile.

Indirizzi email come info@shift.it non sono invece considerati dati personali.

Ma riguarda anche me come libero professionista o la mia azienda?

Certo. Riguarda tutti purtroppo, nessuno (quasi) escluso. Come ho scritto sopra si applica anche ad aziende extra-UE che forniscano beni o servizi a residenti nell’Unione Europea.

Detto in parole povere, cosa comporta?

Sostanzialmente le aziende e le organizzazioni dovranno utilizzare un linguaggio semplice quando chiedono il consenso alla raccolta di dati personali. Dovranno essere chiare le finalità per cui questi dati vengono chiesti e, soprattutto, d’ora in poi silenzio o inazione non saranno più un consenso implicito. Inoltre tu come proprietario dei tuoi dati potrai chiederne, per esempio, la cancellazione, ma questo lo vediamo dopo.

Hai presente quando qualcuno ti fa compilare un modulo per chiedere i tuoi dati online? Già prima del 25 maggio c’erano degli obblighi che moltissimi non li prendevano in considerazione. Adesso il non prenderli in considerazione diventa molto pesante in termini di multe.

Che diritti ha un soggetto privato?

  • Essere informato sul perché i suoi dati vengono raccolti e come vengono utilizzati.
  • Avere libero accesso ai dati che ha fornito e poterli trasferire liberamente da un fornitore a un altro (portabilità dei dati).
  • Poter chiedere la modifica, la cancellazione e la rimozione dei propri dati e inoltre tutte queste operazioni devono essere facilmente eseguibili.
  • Essere informato immediatamente in caso di perdita o furto dei dati.

Che doveri hanno le aziende?

  • Devono poter provare che la persona abbia fornito un consenso esplicito per il trattamento dei suoi dati. I dati devono essere trattati in modo trasparente e appropriato.
  • Devono proteggere questi dati dalla distruzione, dalla perdita o dalla loro modifica oltre a proteggerli da accessi non autorizzati.
  • Devono avere una documentazione della valutazione del rischio e delle misure messe in atto per proteggere i dati della persona.
  • Devono notificare entro 72 ore ogni caso di perdita o furto o distruzione dei dati.

Una pagina molto chiara sul sito del Garante sui diritti e doveri

Incredibilmente ho trovato una pagina scritta in modo semplice e chiaro, e non nel solito legalese, sul sito del Garante che spiega molto bene alcuni passaggi importanti.è

[Sito del Garante – Doveri e Responsabilità]

Cosa cavolo è il DPO?

Acronimo che significa Data Protection Officer (DPO), cioè colui che è responsabile della protezione dei dati.

È obbligatorio anche per me il DPO?

No, non ci pensare neanche a meno che

  • tu non sia un ente pubblico
  • tratti dati personali su larga scala
  • tratti categorie particolari di dati su larga scala o dati relativi a condanne penali o giuridiche
  • non lo voglia fare per una questione organizzativa o di immagine

Quindi tranquillizzati. Anche se ognuna di queste norme è soggetta a interpretazione, quasi sicuramente se hai un’azienda piccola o media o anche grande ma non tratti in modo sistematico dati personali su larga scala non dovresti avere alcun problema.

A meno che tu non rientri in categorie che di lavoro analizzano e monitorizzano i dati personali come aziende che fanno marketing, pubblicità comportamentale, gestione di campagne di fidelizzazione o dove comunque si analizzi il comportamento delle persone per finalità pubblicitarie o di marketing.

E invece cosa è il DPIA?

Come in tutte le normative, non appena qualcuno si può buttare sugli acronimi lo fa alla grande, tanto per cambiare. Il DPIA è il Data Protection Impact Assessment o valutazione d’impatto sulla protezione dei dati o ancora registro del trattamento dei dati, cioè un documento che descrive il trattamento di dati personali, ne valuta la necessità e la proporzionalità e gestisce gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Cavolo, ma devo fare anche io questo DPIA?

Non credo, a meno che tu non rientri in una delle categorie specifiche. L’articolo 35, comma 1, del GDPR prevede che il DPIA sia obbligatorio quando un trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche“.

Sostanzialmente se il tuo lavoro non è quello di trattare in modo massiccio e sistematico i dati dei privati oppure se tale trattamento non presenta rischi per questi dati, non devi fare il DPIA.

Se invece il tuo lavoro è quello di raccogliere, analizzare e profilare i dati, anche sensibili, di un grandissimo numero di persone, allora lo dovresti fare, ma sicuramente sarai già attrezzato per conto tuo per affrontare il GDPR in un modo più profondo della maggioranza delle aziende.

Però attenzione. Lo stesso Garante dice che se anche non hai l’obbligo di tenere questo registro dei trattamenti, sarebbe bene comunque farlo perché, in seguito a un controllo, potrai dimostrare di esserti comunque adeguato e di non essertene fregato, cosa che potrebbe portare a controlli più approfonditi e problemi conseguenti.

Sostanzialmente, ma è un mio pensiero, se dovesse esserci un controllo, consegnando questo documento tu saresti a posto perché dimostreresti comunque di avere fatto qualcosa in merito.

Senza il documento invece, nonostante tu non ne abbia l’obbligo, chi controlla non ha alcun elemento per determinare cosa ci fai tu coi dai e se ci fai qualcosa, quindi questa mancanza preluderebbe a un’indagine più in profondità di come lavori e cosa fai.

Come faccio a fare questo registro?

Domanda da un milione di dollari. In teoria è un documento che indica cosa fai, che dati tratti e come li tratti, proprio per capire se c’è o meno un rischio, ma il Garante francese ha pubblicato uno strumento gratuito per redigere il documento del trattamento dei dati!

Sia chiama PIA, è – udite udite – anche in italiano, ed è sotto forma di un software disponibile per Mac, Windows e Linux, scaricabile in modo del tutto gratuito dal sito del Garante francese.

software gratuito registro trattamento dati shift como

Scarica il software gratuito PIA

Scaricalo, provalo e, anche se non è semplice non tanto usarlo quanto capire cosa scriverci dentro, è un ottimo punto di partenza e soprattutto è del tutto gratuito.

Posso mandare newsletter ai miei clienti?

Questo in teoria lo puoi tranquillamente fare anche se non hai il loro consenso esplicito. Lo puoi fare perché sono già tuoi clienti e sono già in contatto con te ma ricorda che lo puoi fare solo a condizione che si tratti di email relative a servizi o prodotti già acquistati o simili a quelli che il cliente ha già acquistato e che il cliente abbia la possibilità di rimuoversi dalla lista in qualsiasi momento cliccando sul link che obbligatoriamente ci deve essere in ogni newsletter.

Questo significa che chi è già mio cliente molto probabilmente si aspetta che io ogni tanto mandi qualche email informandolo, per esempio, di nuovi prodotti o servizi o promozioni. Questi invii però non devono ledere alcun diritto del cliente, non devono essere invasivi – quindi non posso mandargli 10 email al giorno – e il cliente deve avere la possibilità di interrompere l’invio in qualsiasi momento.

Giusto per amore di precisione il Garante dice

2.7 L’eccezione del “soft spam” per l’invio di posta elettronica promozionale

Per la sola posta elettronica, tuttavia, può ricorrere l’eccezione del c.d. “soft spam”, di cui all’art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso.

Ho una mailing list di millemila nominativi che non sono tutti clienti, cosa devo fare?

In realtà la risposta è molto semplice ma prima devi chiederti una cosa importante.

Di tutte queste email inserite nella tua mailing list, hai il consenso?

Sicuramente no perché o non lo hai tenuto oppure hai acquistato delle liste o le hai prese un po’ dove capitava.

Se è così, come è in effetti nella stragrande maggioranza dei casi, allora devi chiedere a tutti di darti il consenso esplicito facendoli iscrivere nuovamente alla tua newsletter.

Se non lo fai basta che uno solo di questi nominativi ti denunci al Garante dicendo che lui non ha dato il consenso e tu sei fregato e passibile di sanzioni pesanti.

Tutto qui, molto semplice.

Eh no! Allora mi spieghi come mai aziende anche molto conosciute mi hanno solo mandato una semplice informativa?

Anche qui la risposta è più semplice di quello che sembri.

In sostanza le due scuole di pensiero che si sono attivate pre 25 Maggio sono diametralmente opposte:

  • Ti mando l’informativa aggiornata e fine (leggasi il mio db aziendale rimane immutato e non perdo contatti)
  • Ti richiedo consenso esplicito e vedo la mia mailing list ridotta ai minimi termini

Il fatto è che l’informativa l’hanno mandata aziende di un certo rilievo e non si può pensare che abbiano preso sottogamba il GDPR dato che saranno munite di uffici legali di tutto rispetto.

E quindi?

Come dicevo, la risposta è molto semplice.

Queste aziende hanno già raccolto il consenso di tutti coloro a cui mandano newsletter, quindi devono solo mandarti l’informativa dell’aggiornamento della privacy, non hanno bisogno di chiedertelo ancora il consenso, perché lo hanno già.

Ricordo che la normativa della privacy risale al 2016; non è che prima del 25 Maggio 2018 non esistesse niente; gran parte della normativa era già presente ed era molto simile al GDPR attuale, quindi le aziende con uffici legali puntigliosi si sono già messe a posto ai tempi, tutto qui.

Sì ma in caso di controllo come fa il Garante a controllare che io abbia il consenso?

Bella domanda. In teoria il software che usi per conservare il consenso dovrebbe essere compliant col GDPR ma come puoi questo venga controllato non si sa ancora.

Cosa è il diritto all’oblìo?

È il diritto della persona di vedere cancellati totalmente i suoi dati che deve essere eseguito prontamente dietro richiesta.

Ci sono delle sanzioni?

Ci sono e sono anche belle pesanti perché possono arrivare fino a 20 milioni di euro o al 4% del fatturato che, se ci pensi, non è proprio una cifra risibile anche se sei una piccolissima azienda.

Ci sono delle cose che posso fare subito?

Purtroppo non esiste una checklist delle cose da fare perché ogni azienda è diversa dalle altre e ha le sue esigenze quindi ti consigliamo di contattarci per capire cosa possiamo fare per te dal punto di vista informatico per essere adeguato a questa normativa che a breve entrerà in vigore. Sicuramente devi redigere, anche se non è obbligatorio, il Privacy Impact Assessment.

Nel mio sito devo mettere la privacy e cookie policy?

Assolutamente sì, anche se non raccogli dati degli utenti è meglio metterla per evitare problemi e incorrere in sanzioni che vanno dai 6.000 ai 36.000 Euro. Attenzione che non è sufficiente copiare e incollare una politica della privacy che trovi su internet perché tutti i siti sono differenti e questa policy deve riguardare quello che il tuo sito fa, non quello che fanno gli altri.

Se vuoi evitare problemi ed essere sicuro di essere a norma fatti contattare e ti spiegheremo quello che possiamo fare per il tuo sito. Il costo è veramente risibile e ampiamente giustificato dalle sanzioni che ti permette di evitare.

Il consenso esplicito e il consenso a voce

Abbiamo pubblicato un articolo specifico che riguarda l’art. 32 del GDPR relativamente alla necessità del consenso esplicito e che spiega nel dettaglio cosa è il consenso a voce di cui parla lo stesso articolo. Questo per chiarezza perché è facile un fraintendimento che può avere conseguenze non piacevoli.

[Leggi l’articolo che spiega il consenso esplicito e il consenso a voce]

E in campo informatico cosa posso fare?

Le prime e più urgenti cose da fare sono queste:

  • Devi avere un firewall per la sicurezza della rete e dei computer – Shift tratta i prodotti di sicurezza GFI e Kerio Control
  • Devi avere un antivirus serio per la protezione dei PC – Shift tratta AVG
  • Devi avere un sistema di backup che protegga i dati – Shift tratta QNap e molti altri sistemi di backup, vedi le soluzioni di backup di Shift.
  • Devi verificare di non usare sistemi operativi obsoleti e non supportati come, per esempio, Windows XP o Vista. Leggi qui sulla fine supporto di Windows.
  • Devi verificare di non usare sistemi operativi server non più supportati come Windows Server 2003 per esempio. Leggi qui sulla fine supporto di Windows.

Non sai come verificare? Chiamaci e lo faremo noi per te con la sicurezza di chi si occupa di questo da anni!

CLICCA PER FARTI CONTATTARE!