GDPR – Nuova normativa sulla Privacy

In questi giorni, in molti ambiti, non si parla d’altro che di Privacy e di adeguamento alla nuova normativa GDPR (Regolamento UE 2016/679 – General Data Protection Regulation).

Se può confortare chi legge (o sconfortare… a seconda dei punti di vista): la vostra piccola attività, dove magari lavorate da soli, ha – di fatto – gli stessi obblighi di una multinazionale con centinaia di dipendenti e/o clienti…

1) E’ fondamentale capire che l’adeguamento alla nuova normativa non riguarda solo il sito internet o la presenza online dell’azienda ma tutto il processo di trattamento dei dati interno all’azienda.

2) Deduciamo, quindi, che le aziende che non raccolgono dati non hanno tale obbligo. Invece, le aziende che raccolgono dati ma, ad esempio, sono assenti da internet hanno l’obbligo di adeguarsi.

3) Un sito internet, anche se non ha un modulo di contatto ma magari solo una mail per il contatto o un servizio di tracciamento dell’IP dei visitatori, invece, ha l’obbligo di adeguarsi.

4) Il discrimine fondamentale da capire è: si raccolgono dati per l’archiviazione, gestione, statistica, marketing, etc. oppure si raccolgono provvisoriamente per l’esecuzione di un contratto, commessa, lavoro nell’interesse del cliente?

4b) se i dati si raccolgono per l’esecuzione di un contratto, commessa, lavoro nell’interesse del cliente e poi vengono distrutti (con macchinari a norma, sempre previsti dal GDPR), non si ha l’obbligo di adeguarsi (attenzione, perché il discrimine è sottile).

5) Rispetto alla precedente normativa ora è fondamentale – in estrema sintesi – chiarire che: a) bisogna indicare esplicitamente chi è il responsabile della privacy; b) come contattare la persona che tratta questi dati; c) quali sono le finalità della raccolta dei dati; d) accertarsi che chi rilascia il consenso abbia più di 16 anni; e) indicare quali sono i supporti di archiviazione; f) indicare come vengono protetti i supporti di archiviazione; g) chi può accedere a questi dati; h) per quanto tempo si archivieranno i dati raccolti.

6) la normativa prevede tempi ben precisi per rispondere alle richieste di trattamento/cancellazione/modifica e tempi altrettanti precisi per eseguire quanto richiesto.

7) in ogni caso, vige il principio di trasparenza che – a quanto sembra – sarà sempre favorevole all’azienda, nel senso che un’azienda che possa dimostrare la sua trasparenza nella nella gestione del consenso, non dovrebbe essere perseguita o dovrebbe essere messa in condizione di migliorare la propria gestione della privacy.

8) Nell’ottica della trasparenza, è importante che la richiesta di consenso sia multilivello, nel senso che, in prima battuta, basta una semplice scheda in cui i punti essenziali siano riportati con chiarezza e poi, da questa scheda, si possa accedere alla Policy Privacy completa e magari al testo integrale del GDPR.

9) La nuova normativa non è un adempimento burocratico ma la regolamentazione di un processo aziendale.