✆ 0587 53675
mercoledì 16 maggio 2018

Arriva la nuova legge sulla privacy (GDPR). Siete preparati?

Di Mauro Fedele
Arriva la nuova legge sulla privacy (GDPR). Siete preparati?

Ci siamo. Il 25 Maggio 2018, in tutta Europa, entrerà in vigore il "General Data Protection Regulation", noto anche come GDPR.

Quello che di fatto è il nuovo regolamento sulla privacy prevede sanzioni più severe rispetto alla passata normativa. Si prevedono sanzioni che arrivano fino al maggiore tra 20 milioni di euro e il 4% del fatturato annuo dell'esercizio precedente.

Il nuovo regolamento sulla privacy riguarda il trattamento dei dati personali dei cittadini dell'unione europea e si applica a tutte le aziende e pubbliche amministrazioni, dell'unione o che comunque trattano dati di cittadini europei.

Ma attenzione, la GDPR riguarda tutte le aziende e persone fisiche che esercitano una attività professionale dell'unione o che comunque trattano dati di cittadini europei indipendentemente se hanno a che fare con clienti privati o meno, in quanto i dati personali che vengono regolamentati sono anche quelli dei dipendenti e titolari dell'azienda stessa.

E la vostra azienda è pronta per affrontare i nuovi impegni che la GDPR impone?

Di seguito forniremo alcune indicazioni che non pretendono di essere una guida esaustiva, ma che potranno darvi una idea di tutte le azioni che dovrete compiere per essere in linea con la nuova normativa della privacy e vi consentiranno di capire a che punto siete del percorso di adeguamento.

GPDR per chi vende online

Questo articolo è rivolto principalmente alle aziende che vendono online, con dettagli ed esempi per esse più attinenti, ma le regole di base saranno pressochè le stesse per tutti.

Chi è tutelato dalla GDPR?

La GDPR nasce per tutelare tanto i dati personali dei cittadini quanto il diritto, o dovere, delle aziende di trattare i dati personali per svolgere la propria attività.

Ma che cosa si intende per dati personali?

I dati personali a cui fa riferimento il regolamento sono qualsiasi informazione che identifica o renderebbe identificabile una persona fisica.

Pertanto sono esclusi dai dati personali i dati riguardanti le aziende ma ci rientrano invece i dati personali di una persona nella sua funzione di lavoratore in una azienda.

Ad esempio i dati di fatturazione di un ordine sono tutti dati personali se riguardano una persona fisica. Se riguardano invece un'azienda, tra i suoi dati comunque ci saranno il nome e cognome del referente che ha fatto l'ordine. Sono dati personali e pertanto sono tutelati dal regolamento.

Nell'ambito del regolamento e relativamente ai dati che trattate, voi come azienda siete il titolare del trattamento. Voi decidete le finalità del trattamento, quali dati trattare, per quanto tempo e siete responsabili dell'integrità e riservatezza dei dati.

Vedremo in seguito che parte della resposabilità sulla sicurezza può essere delegata ad altre aziende che vi aiutano nel trattamento dei dati.

Base giuridica del trattamento

Il regolamento richiede che il trattamento dei dati sia lecito. Con lecito intende che la base giuridica su cui si basa il vostro trattamento ( ossia il vostro diritto a trattare i dati ) debba essere almeno una tra le seguenti:

  • consenso: l'interessato, ossia la persona a cui i dati personali si riferiscono, vi ha dato il consenso al trattamento.
  • contratto: avete un contratto in essere con l'interessato, come ad esempio un ordine.
  • obbligo legale: dovete adempiere ad un obbligo legale, come ad esempio conservare le fatture per diversi anni.
  • legittimo interesse: avete un legittimo interesse per trattare i dati personali, come ad esempio contattare un cliente che ha manifestato il suo interesse per i vostri prodotti.

A queste se ne aggiungono altre ma queste elencate sono tutte quelle che dovrebbero interessarvi.

Dovrete inoltre trattare i dati personali:

  • per una determinata ed esplicita finalità
  • solo per il tempo strettamente necessario
  • con misure di sicurezza per garantirne integrità e riservatezza

Chiedere il consenso al trattamento

Il consenso è una delle basi giuridiche del trattamento. Se non avete altro diritto per fare un trattamento, chiedere il consenso dell'interessato è il modo corretto per mettersi a norma.d

Perché il consenso sia valido devono accadere tutte le seguenti:

  • l'interessato deve essere informato sulla finalità del trattamento tramite una apposita informativa. Attenzione: il modo con cui si richiede il consenso diventa un'aspetto fondamentale con il nuovo regolamento. Una richiesta di consenso deve essere presentata infatti in modo chiaro e conciso, utilizzando un linguaggio facile da capire e chiaramente distinguibile da altre informazioni quali termini e condizioni. La richiesta deve specificare l'uso che verrà fatto dei dati personali e includere i dati di contatto della società che elabora i dati. Il consenso deve essere liberamente dato, specifico, informato e inequivocabile. Per consenso informato si intende che devono essere fornite informazioni sul trattamento dei dati personali, tra le quali almeno:
  • l'identità dell'organizzazione che tratta i dati;
  • gli scopi per i quali i dati sono trattati;
  • il tipo di dati che verranno elaborati;
  • la possibilità di ritirare il consenso (ad esempio inviando un'e-mail per ritirare il consenso);
  • ove possibile, il fatto che i dati saranno utilizzati esclusivamente per un processo decisionale automatizzato, compresa la profilazione;
  • se il consenso è collegato a un trasferimento internazionale dei dati, informazioni sui possibili rischi connessi al trasferimento di dati verso paesi al di fuori dell'UE se tali paesi non sono oggetto di una decisione e non vi sono garanzie adeguate.
  • l'interessato deve dare un consenso esplicito ossia non ci devono essere ad esempio caselle già selezionate.
  • è necessario il consenso specifico ossia deve riguardare una singola finalità di trattamento. Quindi occorre chiedere consensi diversi per diverse finalità.
  • non si deve essere obbligati a dare un consenso su un trattamento per poter concludere un contratto a meno che il trattamento sia indispensabile per ottemperare al contratto.

Conclusione di un contratto online

Quando si procedere a concludere un ordine online, oppure a richiedere un preventivo, vengono richiesti dati personali necessari alla conclusione dell'ordine e alla sua esecuzione, come ad esempio la conferma di accettazione, l'invio di avvisi sullo stato della spedizione e l'invio dei prodotti acquistati, senza i quali l'ordine non si potrebbe concludere. Ecco quindi che il trattamento dei dati personali in questo caso rientra nei parametri di liceità, a prescindere dal consenso.
Ma se si desidera che quegli stessi dati possano essere utilizzati per l'invio di comunicazioni commerciali, allora in fase d'ordine sarà obbligatorio richiedere un consenso nelle modalità indicate di seguito

Obbligo legale

L'obbligo legale si manifesta ad esempio nel caso in cui, una volta concluso un ordine, il trattamento dei dati diventi necessario per mantenere le informazioni relative agli aspetti fiscali, come i dati di fatturazione.

Legittimo interesse

Il legittimo interesse è un'altra base giuridica del trattamento. I criteri su cui si basa non sono però ben definiti e pertanto in caso di dubbi meglio chiedere anche il consenso per avere una base giuridica per il trattamento più solida.

Nel legittimo interesse rientrano le attività legittime che la vostra azienda intraprende per la propria attività e rientrano in questo anche le comunicazioni commerciali. Bisogna fare però attenzione che sono in vigore altre leggi che impediscono ad esempio di inviare email a scopo commerciale se prima non si è avuto il consenso ad inviarle.

Informativa

Quando una persona vi fornisce i suoi dati personali, dovete informarla:

  • sui vostri dati e contatti in quanto titolare del trattamento,
  • della finalità e la base giuridica del trattamento,
  • del vostro legittimo interesse se il trattamento è basato sul legittimo interesse,
  • di eventuali destinatari o categorie di destinatari dei dati personali,
  • del tempo durante il quale i dati saranno conservati,
  • dei suoi diritti sui dati personali, quali rettifica, revoca del consenso, cancellazione,accesso e portabilità,
  • del diritto di proporre reclamo a un'autorità di controllo.

Per le altre informazioni da fornire e in quali situazioni vedere l'articolo 13 del regolamento.

Rivolgersi a terzi per il trattamento

La vostra azienda sicuramente si rivolge ad aziende terze per servizi che agevolano la raccolta e il trattamento dei dati come ad esempio servizi di hosting, di invio di email e newsletter, gestione del negozio online e ricezione dei pagamenti.

Se queste aziende non entrano nel merito del trattamento dei dati personali, ossia non decidono quali trattamenti fare, quali dati gestire, quando devono essere aggiornati o cancellati ma vi offrono esclusivamente i loro servizi per eseguire il trattamento, allora nell'ambito della GDPR vengono chiamate responsabili del trattamento (nella traduzione in inglese viene più propriamente usato il termine processing, ossia colui che si occupa di processare i dati).

La GDPR richiede che sia presente un contratto scritto tra voi titolari del trattamento e un vostro responsabile del trattamento. Nel contratto devono essere indicate le tipologie di trattamento e le categorie di dati personali che possono essere trattati. In genere questi contratti sono predefiniti dal responsabile del trattamento.

Compiti del responsabile del trattamento possono comprendere la sicurezza della rete, dei server e degli applicativi (in base alla tipologia di servizio che viene offerto) e pertanto si prende carico di una parte della sicurezza dei dati.

Se l'azienda terza a cui vi rivolgete per i servizi decide autonomamente quali trattamenti fare e per quali finalità allora non sarà un vostro responsabile del trattamento ma sarà un titolare del trattamento terzo.

I diritti dei cittadini europei

La GDPR riconosce ai cittadini europei diversi diritti sui loro dati personali che vengono trattati dai titolati.

Su di voi, in quanto titolari del trattamento, ricade la responsabilità di garantire questi diritti mentre il responsabile del trattamento vi dovrebbe mettere a disposizione gli strumenti opportuni perché possiate ottemperare a quanto prescritto dalla normativa sulla privacy.

Diritto di rettifica

Una persona ha il diritto a che i suoi dati personali in vostro possesso siano aggiornati e veritieri. Può chiedervi in qualsiasi momento una loro rettifica e voi in quanto titolare del trattamento dovete rettificarli.

Quando ricevete una richiesta di rettifica quali dati modificare? Ad esempio certamente i dati dell'anagrafica cliente perché devono essere sempre aggiornati. Invece i dati di un vecchio ordine concluso da tempo non andrebbero aggiornati e tantomeno i dati di una fattura dell'anno precedente.

Revoca del consenso

Una persona deve poter vedere quali consensi ha dato e deve poterli revocare e la revoca di un consenso deve essere facile quanto concederlo. Ad esempio se chiedete sul sito un consenso per un trattamento allora dovete dare la possibilità di togliere questo consenso direttamente dal sito.

La revoca del consenso ovviamente può essere fatta solo se il consenso è stato precedentemente concesso. Se il trattamento non si basa sul consenso, ad esempio è basato su un obbligo legale, allora l'interessato non avrà nessun consenso da revocare.

Cancellazione

Una persona ha il diritto di chiedervi la cancellazione di tutti i dati personali che avete su di lei. Caso per caso dovreste verificare quali dati cancellare, di quali limitare il trattamento e di quali altri invece rifiutarvi e continuare con il trattamento.

Se il trattamento è lecito ed è necessario ancora per perseguire il motivo per cui sono trattati ed avete un contratto in essere o un obbligo legale allora potete rifiutarvi della cancellazione.

Se invece avete un consenso oppure li trattate per legittimo interesse allora li dovreste cancellare su richiesta dell'interessato.

Se invece non avete più nessuna base giuridica per trattarli o il loro trattamento non è più indispensabile per le sue finalità allora dovreste cancellarli senza attendere che vi venga chiesto.

Accesso e portabilità

Una persona ha il diritto di accedere ai suoi dati personali in vostro possesso chiedendovi una copia dei dati in un formato strutturato leggibile da una applicazione.

Dovete necessariamente fornire su richiesta i dati che soddisfano tutte e tre le seguenti condizioni assieme:

  • il trattamento di questi dati è basato su un consenso o su un contratto
  • riguardano l'interessato
  • sono stati forniti dall'interessato direttamente o indirettamente ( ad esempio moduli compilati o dati di navigazione sul sito ). Non sono forniti dall'interssato i dati che avete voi dedotto o derivato da quelli forniti.

Per gli altri dati personali, comunque riguardanti l'interessato, è a vostra discrezione fornirli o meno.

Dovrete inoltre avere un sistema di autenticazione per accertarvi con sicurezza dell'identità dell'interessato prima di fornirgli i dati richiesti. Ad esempio l'interessato potrebbe dover fare il login al vostro sito per poter scaricare i dati di cui ha fatto richiesta.

Registro delle attività

In quanto titolare del trattamento dovete mantenere il cosiddetto registro delle attività che riporta le stesse informazioni che devono essere presenti nell'informativa con in aggiunta, ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative che la vostra azienda ha adottato (secondo l'articolo 32, paragrafo 1).

Il registro non sarebbe obbligatorio per aziende che hanno meno di 250 dipendenti e se il trattamento è occasionale. Vista la generalità del termine occasionale si consiglia di redarre sempre il registro delle attività.

Le autorità di controllo possono richiedervi una copia del registro.

La figura del DPO

Se le attività principali comportano il trattamento di dati sensibili su vasta scala o comportano un monitoraggio su vasta scala, regolare e sistematico delle persone, allora il titolare del trattamento deve essere affiancato nello svolgimento delle sue attività di trattamento da una nuova figura, quella del DPO (Responsabile della protezione dei dati).

Il monitoraggio del comportamento delle persone interessate comprende tutte le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamentale.

Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. (art 37, 38 e 39 del regolamento)

Cosa fare in caso di violazione dei dati?

Si verifica una violazione dei dati quando i dati di cui la tua azienda è responsabile subiscono un incidente di sicurezza con conseguente violazione della riservatezza, della disponibilità o dell’integrità. Se ciò si verifica ed è probabile che la violazione costituisca un rischio per i diritti e le libertà di una persona, dovrete informare l’autorità di vigilanza al più tardi entro 72 ore dopo aver preso conoscenza della violazione. Inoltre, qualora siate i responsabili del trattamento, è necessario notificare ogni violazione di dati al titolare del trattamento.

Se la violazione dei dati comporta un rischio elevato per le persone interessate, devono essere tutte informate, a meno che non siano state adottate misure efficaci di protezione tecnica e organizzativa o altre misure che garantiscano che il rischio non si verifichi più.

Come organizzazione, è pertanto fondamentale attuare misure tecniche e organizzative adeguate per evitare possibili violazioni dei dati. Misure che dovranno essere indicate nel registro delle attività.

Le funzioni GDPR di Open2b a supporto dei suoi clienti

Open2b è l'unica piattaforma ecommerce a fornire, non come plugin ma già integrate al suo interno, una serie di funzionalità a supporto dei negozianti affinché rispettino il GDPR, limitando al minimo il rischio di errori o di informazioni incomplete, e di incorrere in pesanti sanzioni.

Cosa offre:

  • Sistema di creazione e gestione dei consensi
  • Definizione di trattamenti e informative per anagrafiche, ordini e preventivi
  • Tracciamento e storico dei consensi
  • Anonimizzazione e cancellazione dei carrelli abbandonati
  • Comunicazione al cliente dei dati in un formato strutturato
  • Gestione automatizzata tramite API

Visita il sito Open2b.com per maggiori dettagli sulle funzioni GDPR e per scoprire tutte le altre novità 2018 della piattaforma ecommerce.
È possibile anche attivare una demo gratuita per testare le varie funzionalità, contanto sul supporto del team di Open2b Software.