Next Software Modena » Next Academy » GDPR spiegato (semplice) all’imprenditore che “si era distratto”

GDPR spiegato (semplice) all’imprenditore che “si era distratto”

Ne avrai quasi sicuramente sentito parlare, magari l’hai sentito solo nominare, forse non sai di cosa tratta esattamente ma inizi a sentire voci riguardanti le prime sanzioni, come quelle delle quali si parla in questo articolo. Sto parlando del GDPR: è entrato in vigore nel 2018 e ad oggi, facendo analisi lo so per esperienza, molti non sono ancora pronti. Per questa ragione ho voluto creare questo articolo dove spiegare a chi, per un motivo o per l’altro, si era “distratto” questa complessa normativa nel modo più semplice e diretto possibile. Buona lettura.

Copertina dell'articolo "GDPR spiegato semplice"

Perché il GDPR ti riguarda?

Prima di andare avanti te lo dico subito, perché è un errore che fanno in molti: il GDPR ha sostituito le precedenti leggi sulla protezione dei dati personali. Quindi per chi era in regola con la direttiva 95/46/CE oppure con la legge 196/2003 e non lo è con la legge legge europea n. 2016/679 (quella appunto del GDPR) ora è fuori norma perché il GDPR ha sostituito i contenuti della prima e abrogato gli articoli sul codice per la protezione dei dati della seconda.

Ci sono tre punti fondamentali da tenere presente:

  • Tutte le aziende che trattano dati personali (più avanti vedremo cosa si intende per dato personale) rientrano negli obblighi del GDPR;
  • Il GDPR è una normativa non una direttiva quindi non c’è margine d’interpretazione;
  • Chi non si mette in regola rischia multe salatissime: fino al 4% del fatturato annuo aziendale o 20 milioni di euro in base a qual è la cifra più alta;

Arrivati a questo punto mi potresti dire: “ma io non tratto dati personali!“. Temo non sia così. Il GDPR ti riguarda e per aiutarti ad affrontare la questione ti consiglio davvero di continuare la lettura dell’articolo per acquisire consapevolezza sull’argomento.

Cos’è nella pratica il GDPR?

Premesso che siamo nella dimensione del “ce lo chiede l’Europa”, il GDPR è nella pratica una legge europea che stabilisce norme relative alla protezione delle persone fisiche con particolare riguardo al trattamento dei dati personali, introducendo una serie di norme relative alla circolazione di tali dati.

GDPR è un acronimo in inglese che sta per General Data Protection Regulation (il regolamento generale sulla protezione dei dati). Si tratta, come ho già menzionato, della legge europea n. 2016/679, la quale regola il trattamento dei dati personali e la privacy nel contesto dell’intera Unione Europea. Come sempre in Italia “ci diamo un po’ di tempo” prima di recepire le normative e leggi europee quindi, anche se la legge risale al 27 aprile 2016 (con pubblicazione sulla Gazzetta Ufficiale Europea il 4 maggio 2016), in Italia è entrata in vigore a partire dal 25 maggio 2018.

Questa legge ha tre principali obiettivi:

  1. proteggere i dati personali dei cittadini europei;
  2. restituire ai cittadini il controllo dei propri dati personali;
  3. semplificare le norme che riguardano gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE;

Un aspetto nuovo, rispetto alle regole precedenti sulla privacy, riguarda l’esportazione di dati personali al di fuori dell’UE: infatti il GDPR obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’Unione Europea) che trattano dati di residenti nell’Unione Europea ad osservare e adempiere agli obblighi previsti.

L’impianto normativo del GDPR prevede una fase preparatoria per essere in linea con il Regolamento europeo, e suggerisce i criteri da adottare per attivare un processo di miglioramento continuo nel tempo. Nell’approcciare il GDPR vanno tenuti sempre presenti i tre cardini fondamentali del Regolamento e i diritti dell’Interessato dei quali ti parlerò nelle prossime righe.

I tre cardini del GDPR

Il GDPR, nell’intenzione dei legislatori europei, è ispirato a tre cardini fondamentali che ogni impresa – in tutta la sua vita – dovrà sempre tenere ben presenti ed applicare in ogni scelta:

  1. Privacy by Default ovvero: ogni impresa è tenuta a tutelare la vita privata dei cittadini “di default” e cioè dev’essere una scelta di base, cosciente, predefinita e continuativa nel tempo che l’impresa deve trattare come valore fondante nel suo operare.
  2. Privacy by Design ovvero: la protezione dei dati dei privati cittadini deve partire dalla progettazione di ogni processo aziendale, deve esser parte del disegno iniziale e non un “adeguamento” postumo.
  3. Accountability, termine anglosassone che letteralmente significa “responsabilità”: potrebbe esser tradotto con “rendicontazione”, nell’accezione – affine alla responsabilità sociale – di dover “render conto a terzi delle scelte compiute. Nell’intenzione dei legislatori europei, l’accountability indica aspetti quali l’affidabilità, la capacità e la competenza aziendale nella gestione dei dati personali.

Diritti dell’interessato

I diritti fondamentali dell’Interessato, colui al quale si riferiscono i dati e che ne è l’unico proprietario, sono:

  • Diritto all’Oblio – impone che, su semplice richiesta dell’Interessato, l’azienda elimini qualsiasi traccia dei dati raccolti (al posto della rimozione totale è consentita l’anonimizzazione).
  • Diritto all’Accesso – assicura all’Interessato di poter ricevere una copia dei propri dati che sono noti ed in possesso del Titolare. Contestualmente all’Accesso il GDPR prevede l’obbligo, in capo al Responsabile, di dare risposta all’Interessato entro 1 mese dalla richiesta (fino a 3 mesi in casi di particolare complessità). Assieme all’Accesso è stato previsto anche il diritto alla Modifica e/o alla Rettifica.
  • Diritto alla Portabilità – è il diritto concesso all’Interessato di far trasferire i suoi dati personali ad una terza parte ottenendone su semplice richiesta una copia o, se previsto dal Titolale, di ottenere il trasferimento diretto ed automatico da un Titolare ad un altro.
  • Diritto alla Limitazione del trattamento – è il diritto di far sospendere il trattamento dei propri dati personali per bloccarne l’utilizzo da parte del Titolare.

Il “vocabolario” del GDPR

Per capire meglio di che cosa stiamo parlando, ecco un piccolo vocabolario dei principali termini e i concetti che fanno riferimento alla normativa del GDPR.

Dato personale

Un dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile. Per identificabile si considera una persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un dato identificativo come potrebbe essere il nome, un numero di identificazione, dati relativi all’ubicazione, numero di cellulare, indirizzo email, ecc..

Riporto un esempio pratico per farti capire meglio che cosa è un dato personale:

cognome@gmail.com Persona fisica è un dato personale
cognome@nome-azienda.it Persona fisica è un dato personale
info@nome-azienda.it Persona giuridica NON è un dato personale

Trattamento dati

Per trattamento dati si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Quindi, praticamente, qualsiasi cosa facciamo con un dato è un trattamento. Possiamo tranquillamente dire che sono trattamenti:

  • la raccolta
  • la registrazione
  • l’organizzazione
  • la strutturazione
  • la conservazione
  • l’adattamento o la modifica
  • l’estrazione
  • la consultazione
  • l’uso
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
  • il raffronto o l’interconnessione
  • la limitazione
  • la cancellazione o la distruzione

A quali dati si applica il GDPR?

Dopo aver visto quali sono i dati personali e come si trattano cerchiamo di capire a quali si applica il GDPR: a tutti i dati personali trattati dalla tua organizzazione, per i quali avrai bisogno di un consenso esplicito, da parte del proprietario di tali dati, per poterli non solo acquisire ma anche gestire o trattare. Probabilmente starai pensando “aspetta, io tratto solo dati pubblici e non personali!” e, te lo dico per esperienza, con ogni probabilità non è così. Per capirne il perché facciamo un po’ di chiarezza distinguendo tra i dati personali e i dati di carattere pubblico.

I dati di carattere pubblico non sono (necessariamente) i dati pubblicati: se per esempio una persona rivela pubblicamente il suo indirizzo email (ad esempio su Facebook), tu non hai alcun diritto di copiarlo e salvarlo nel tuo database, né tantomeno inviare un messaggio email a questo indirizzo. Per trattare i dati, nonostante questi siano accessibili pubblicamente su Facebook, Linkedin o qualche altro social media, devi avere il consenso esplicito.

Attenzione: il consenso esplicito deve essere una firma su un modulo cartaceo o flag su un modulo online.

Riporto un esempio per chiarire meglio:

Indirizzo mail pubblicato su FB Dato personale reso pubblico Serve consenso
Indirizzo IP anonimizzato Dato anonimo Non serve consenso
Percentuale di apertura newsletter Dati aggregati Non serve consenso

Tieni presente che il GDPR è retroattivo, questo vuol dire che si applica anche ai dati raccolti prima dell’introduzione del GDPR, quindi dovrai controllare se hai il consenso espresso per tutti i dati in tuo possesso:

  • se la risposta è sì sei stato previdente e sei già a buon punto.
  • se la risposta è no, sei obbligato a raccogliere nuovamente i consensi.

Nel secondo caso dovrai contattare i tuoi destinatari (i destinatari sono i proprietari dei dati che tratti clienti e non) e chiedere loro di darti il consenso per il trattamento dei dati per tutti o solo alcuni degli scopi, per i quali vengono trattati questi dati. Ti faccio due esempi:

  • se si tratta di clienti potresti farlo quando vengono in azienda, facendo firmare l’apposito modulo oppure mandando a tutti una mail/sms, chiedendo di dare autorizzazione tramite un link apposito verso il tuo database o firmandoti e restituendoti un modulo dove dichiari esplicitamente che le loro email verranno utilizzate, ad esempio, per le tue comunicazioni aziendali e/o la promozione di servizi tuoi o di tuoi partner.
  • sul tuo sito, al momento della registrazione ad una lista email, devi avere un check box ( una “spunta”) da far selezionare dove specificare esattamente come utilizzerai le email raccolte, da verificare poi con il doppio opt-in. Se hai una lista di contatti raccolti prima del GDPR potrai “bonificarla” invitando i suoi utenti a ri-registrarsi utilizzando questa procedura.

I ruoli delle persone in azienda in ambito di GDPR

Ci sono delle figure ben distinte da tenere presente nel trattamento dei dati e l’applicazione del GDPR:

  • Titolare del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Cioè probabilmente tu che stai leggendo, se sei il titolare di un’attività!
  • Responsabile del trattamento – la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Nel tuo caso potrebbero esserlo i tuoi dipendenti, un’agenzia di comunicazione o chiunque – a qualunque titolo – tratti in qualche modo i dati dei tuoi clienti.

Anche in questo caso voglio fare un esempio che chiarisce bene i ruoli. Nell’esempio che riporto simuliamo il caso in negozio.

CASO 1: fai tutto tu

 

CASO 2: ti affidi a un fornitore esterno (es. agenzia)

Un cliente viene in negozio oppure visita sita il sito web. Decide di iscriversi alla newsletter/carta fedeltà firmando un modulo oppure dando il consenso tramite il form sul sito. In questo modo il cliente diventa un Destinatario.

Dall’altra parte tu ottieni i dati ed il relativo consenso ad usarli. Diventi così il Titolare del trattamento dei dati personali del Destinatario.

Decidi di affidarti a un fornitore esterno per la gestione dei dati (CRM, servizio di mail online, agenzia…). Il fornitore diventa il Responsabile del trattamento. A sua volta, se subappalterà parte del lavoro, ad esempio con sistemi online esterni, dovrà fare un contratto con un altro responsabile.

ATTENZIONE: anche le varie piattaforme online ad esempio per l’email marketing (MailChimp, MailUp…) sono considerate responsabili del trattamento e ti forniranno un accordo in cui specificano in che modo trattano e proteggono i dati che tu affidi loro.

Come Titolare, sei tenuto a dare istruzioni a tutti i responsabili ai vari livelli. Ora vediamo meglio di che si tratta.

Gli obblighi del titolare

Il GDPR richiede al titolare di garantire ai destinatari, in maniera semplice, trasparente e sicura, determinati diritti, i quali prima della normativa erano garantiti solo parzialmente o non lo erano affatto. Ne derivano degli obblighi per chi è il titolare dei dati:

  1. Avere il consenso esplicito a utilizzare i dati personali di qualcuno
  2. Fare un’informativa chiara della privacy, specificando:
  • Quali dati si raccolgono
  • A quale scopo (invio mail, promozioni…), in maniera dettagliata
  • Per quanto tempo vengono custoditi e dove
  • Come si garantisce la protezione degli stessi
  1. Dare la possibilità in qualunque momento al destinatario (cioè il cliente) di accedere ai dati, modificarli, cancellarli o trasferirli a qualcun altro
  2. Avere un registro delle operazioni effettuate con i dati personali (chiamato traccia di audit). Questo è forse uno dei punti più complicati: bisogna fornire i dati su chi e quando ha avuto accesso ai dati e che questo vale sia per i destinatariche per i dipendenti del titolare o del titolare del trattamento.
  3. Non è obbligatorio avere un DPO (Data Protection Officer), a meno che non si abbiano più di 250 dipendenti e/o si trattino dati sensibili (i dati sensibili NON corrispondono ai dati personali e riguardano orientamenti sessuali e religiosi, malattie, fedina penale…).
  4. Non è obbligatorio fare dei corsi , anche se – data la complessità della materia – sarebbe caldamente consigliabile un approfondimento o l’affidamento a un consulente esterno.

Un’ultima nota: il GDPR non ha una precedenza “assoluta” rispetto alle altre leggi e il titolare può anche respingere la richiesta di cancellazione o soddisfarla solo parzialmente, se ha altre basi giuridiche per custodire tali informazioni. Esempio: i dati degli acquirenti nel negozio online.

L’azienda è tenuta a conservare i dati degli account e, di conseguenza, degli acquirenti anche diversi anni dopo l’acquisto per motivi fiscali, perciò non potrà soddisfare la richiesta di cancellazione.

Conclusioni

Innanzitutto ti ringrazio per la tua attenzione se hai letto fin qui (tra pochissimo ho finito, promesso!). In questo articolo ho cercato di semplificare il più possibile una materia molto complessa: per questo pur dopo una lettura attenta non mi permetterai mai di dire di averti dati la completa consapevolezza riguardo alla questione. Penso però che conoscere quanto scritto qui sia già un grande passo avanti in questo senso!

Che tu li voglia utilizzare o meno mi rimane solo una cosa da fare, ovvero augurarti una buona giornata. Ci sentiamo il mese prossimo per un nuovo articolo della Next Academy!

Hai trovato interessante l'articolo? Ne pubblicheremo uno ogni mese: teniamo tantissimo ad aiutare le aziende italiane a crescere. Se ti interessa migliorare te stesso e la tua azienda non perderti neanche uno dei nostri articoli iscrivendoti alla newsletter di Next Academy cliccando qui o sul nostro gruppo Telegram cliccando qui. Tutto gratuito e senza impegno. Ti aspettiamo!

Claudio Brusaferri

Sono l'amministratore delegato di Next Software ma soprattutto mi occupo di affiancare e supportare le aziende con strumenti, informazioni ed idee da ormai più di 10 anni con soddisfazione personale e professionale.

Reader Interactions

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.