L’importanza della Privacy
Dettagli che fanno la differenza
Privacy, firma digitale, consensi da spuntare ma cosa succede se l’informativa privacy presentata all’utente è sbagliata?
Le informative privacy ai sensi degli artt. 13 e ss del GDPR sono ormai entrate nel quotidiano: siti web, richieste di informazioni, iscrizione a dei servizi aziendali in loco e molte altre richieste estese in tutti i settori.
La digitalizzazione ha portato una consapevolezza diversa nella divulgazione dei propri dati personali ed è proprio per questa attenzione particolare che è stata rivista la disciplina europea sul trattamento dati personali.
Che cos’è la Privacy Policy
È un documento importante per la trasparenza sull’uso dei dati personale e per far dormire sonni tranquilli ai propri clienti o utenti.
In questo documento vengono elencati in modo dettagliato dove e come vengono gestiti i dati personali, dal monitoraggio delle visite nel sito web (Google Analytics o altri strumenti atti alla raccolta dati di navigazione, se si tratta appunto di privacy policy di un sito web) o alla vera e propria raccolta dei dati quando si compila un form di contatto, all’iscrizione ad una newsletter o un foglio cartaceo (sia per l’archiviazione dei dati raccolti che per scopo di Marketing).
Quando è obbligatoria la Privacy Policy di un sito
Per quanto riguarda l’online, la Privacy Policy deve essere sempre presente nel sito, ed è particolarmente importante è quando il proprio sito web (o app) raccoglie dati personali (nome, cognome, e-mail o numero di telefono) e quando sono presenti strumenti di tracciamento, tra cui i diffusi cookies motivazione. Altrettanto importante è fornire l’informativa ma soprattutto raccogliere il consenso per poter provvedere alla raccolta dei dati per il marketing, ed in particolare prima, di procedere con l’invio di newsletter a scopo di marketing, l’utilizzo dei dati per un contatto diretto a scopo di proporre un prodotto o servizio da acquistare. Un’ultima, ma non ultima motivazione, è la cessione dei dati raccolti a terzi che possono essere, ad esempio: Social Network (Facebook, LinkedIn, Instagram) o motori di ricerca (Google, Yahoo!, Bing) o ancora ad aziende terze.
Per far fronte a questa raccolta dati massiccia, vista e cresciuta soprattutto negli ultimi anni di digitalizzazione, l’Unione Europea ha deciso di regolamentare la materia in modo uniforme promulgando il Regolamento generale sulla protezione dei dati.
Chi è il Garante della Privacy
Il Garante per la Protezione dei Dati Personali (GPDP), noto anche come Garante della privacy, è un’autorità amministrativa indipendente italiana istituita dalla legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.
Tra i diversi compiti del Garante (art. 154 D.Lgs. n. 196/2003) rientrano quelli di:
Controllare che i trattamenti siano effettuati nel rispetto delle norme di legge
Controllare che i trattamenti siano effettuati nel rispetto delle norme di legge ed eventualmente disporre agli attori interessati dal controllo le opportune modifiche affinché i suddetti trattamenti siano conformi ai diritti e alle libertà fondamentali degli individui
Ricevere ed esaminare i reclami
Ricevere ed esaminare i reclami e le segnalazioni e provvedere ai ricorsi presentati dagli interessati
Vietare i trattamenti illeciti
Vietare anche d’ufficio i trattamenti illeciti o non corretti ed eventualmente disporne il blocco
Promuovere la sottoscrizione di codici di deontologia
Promuovere la sottoscrizione di codici di deontologia e buona condotta di determinati settori
Segnalare i provvedimenti
Esprimere pareri
Esprimere pareri nei casi in cui è prevista la necessità di rivolgersi all’Autorità
Curare la conoscenza tra il pubblico e le relative finalità
Denunciare i reati
Stilare una relazione annuale al Governo e Parlamento
Essere consultato dai Ministri
Cooperare con le autorità
Organizzare il proprio organico
Chi dovrebbe scrivere la privacy policy
Il titolare del trattamento è tenuto a scrivere l’informativa sulla privacy che deve essere attinente, e il più possibile specifica ruolo rispetto ai trattamenti che esegue. Questo significa che è sconsigliato procedere con “copia e incolla”: la stesura del testo non è da intendersi standard.
A questo proposito il Team Compliance di Scuadra può aiutarti ad essere compliant alla normativa sulla privacy, adattando la disciplina del GDPR alle tue specifiche esigenze e all’esigenze di chi usufruirà dei tuoi servizi.
Cosa si dovrebbe scrivere nella privacy aziendale
Le Piccole medie aziende (PMI) hanno l’obbligo di adeguarsi al GDPR (Regolamento generale sulla protezione dei dati) dal 2018, anno in cui è entrato in vigore ufficialmente.
Una delle domande che ci viene posta più spesso in merito a questo argomento, è “Come posso adeguare la mia azienda alla normativa?”. Le PMI, con cui ci confrontiamo quotidianamente, non hanno le nozioni e gli strumenti adeguati a creare una Privacy Policy in regola con la normativa.
Cosa bisogna fare per mettersi in regola?
Innanzitutto bisogna saper, chi è il titolare dei dati personali. Citando il sito del Garante della Privacy: “É la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679)”.
Poi puoi procedere alla creazione di tutto il tuo modello organizzativo facendo particolare attenzione a dotarti di tutti gli adempimenti previsti, uno dei quali è l’informativa sulla privacy. Ma non solo.
La prima cosa da fare è sapere quali sono e cosa sono i “Dati Personali”, ricordiamo che la normativa sulla privacy è incentrata proprio sulla raccolta di questi ultimi.
Cosa sono i dati personali?
Come esposto nel sito ufficiale del Garante della Privacy in modo semplice e chiaro:
I dati che permettono l'identificazione
I dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
I dati rientranti in particolari categorie
I dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale.
I dati relativi a condanne penali e reati
I dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.”
Verifica dei dati
Dopo aver compreso l’importanza e la differenza tra le varie tipologie di dati raccolti, è opportuno che vengano verificati e identificati i dati che tutt’ora ricevi o che utilizzi.
Registra tutto e organizza l’archivio dei tuoi dati raccolti e verifica dove e come sono stati inseriti: sono stati raccolti compilando un form di contatti nel proprio sito? Sono stati raccolti compilando un modulo cartaceo? Utilizzi anche la firma su un dispositivo digitale (Tablet)?
Privacy Policy sito web
Come accennato precedentemente, la privacy policy del proprio sito web aziendale deve contenere dettagliatamente tutti i dati raccolti in modo da rendere partecipi i propri visitatori di dove e in che modo vengono archiviati ed utilizzati.
Navigando nel web ti sarai accorto che in molti form di contatto e form per la richiesta di preventivi sono presenti delle spunte in cui viene richiesto all’utente se accetta determinate voci del documento di privacy policy contenuto del sito. Solitamente, e qualora fosse necessario, vengono inseriti testi riguardanti l’utilizzo di dati relativi all’archiviazione in azienda (dove e per quanto tempo), l’utilizzo di dati a scopo di marketing e/o per pubblicità interna (dei propri servizi o promozioni) e l’utilizzo di dati che verranno ceduti a terzi e quindi vengono archiviati ed utilizzati da aziende terze che li utilizzano.
Il visitatore deve avere la possibilità di scegliere.
La pagina contenente le informazioni necessarie, come abbiamo detto in precedenza e come hai letto fino ad ora, necessita di avere un testo personalizzato. Sconsigliamo quindi di utilizzare testi fac-simile privacy policy aziendale o di utilizzare Tool online se non hai le conoscenze specifiche per poterlo fare.
Checklist Privacy
Per aiutare le piccole e medie imprese, il Garante della Privacy ha creato una check-list che puoi consultare nel sito dell’Autorità. Consulta il punto 8 della Guida pratica e misure di semplificazione per le piccole e medie imprese.
E per quanto riguarda il sito e-Commerce?
Privacy Policy e-Commerce
Ancora più complessa è la struttura della privacy per i siti e-Commerce che, data la grande mole di dati personali raccolti, necessitano di un documento dettagliato.
Il sito web e-Commerce è diventato, anche per le PMI italiane, una strada per commercializzare il proprio prodotto o servizio in tutto il territorio nazionale e non solo.
Un sito di questo genere può essere di grandi dimensioni o anche piccolo (di uno o due prodotti) e non è escluso da questa normativa.
Anche il sito stesso deve essere strutturato in un modo particolare soprattutto il footer (la parte a piè di pagina) che deve avere una serie di voci disposte secondo il regolamento.
Il tuo sito è pronto? Chiedici una consulenza!
Sbagliare? Costa Caro!
Il caso del poliambulatorio
Un recente provvedimento sanzionatorio del Garante per la Privacy ha visto come protagonista un Poliambulatorio milanese. L’autorità, infatti, porta l’esempio di questo caso che potrebbe accadere ovunque in qualsiasi situazione.
La violazione è stata segnalata da una cliente del Poliambulatorio: «una volta recatasi “nel centro medico per una visita, all’ingresso (…) (le) è stato chiesto di “firmare per la privacy” su un tablet, con il solo spazio per la firma, senza che potesse essere visualizzato alcun testo” e che alle ripetute richieste di conoscere il testo dell’informativa riguardante il trattamento dei dati personali, le è stata fornita “come informativa (una) e mail (…) stampata al momento (…) denominata “Consenso al trattamento dei dati personali ai sensi dell’art 7 del GDPR 2016 679 » e ha, inoltre, «fatto presente che “non si ravvisano gli estremi di contatto del DPO e anche sul sito la privacy policy non menziona neppure i dati sanitari”»
Alla luce di questa segnalazione, il poliambulatorio non ha fornito, alcuni degli elementi richiesti dall’art 13 del GDPR riguardo il principio di “correttezza e trasparenza” del trattamento dei dati personali.
Ha inoltre effettuato il trattamento di dati rilevati attraverso la firma grafometrica su un dispositivo digitale senza tenere conto del punto GDPR dedicato ai principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati” e al “Trattamento di categorie particolari di dati personali”.
Ad aggravare la sanzione, il garante ha identificato un’ulteriore mancanza nel documento presentato, ovvero: non era stato designato il Responsabile della protezione dei dati obbligatorio secondo il Regolamento.
In particolare, sull’informativa Privacy il Garante ha ritenuto che non fosse correttamente indicato il tempo di conservazione ed ha quindi richiesto l’indicazione di un termine specifico (ad es. conservo i dati per 10 anni dalla cessazione della prestazione) infatti il Poliambulatorio aveva scritto: “il trattamento viene eseguito per un periodo di tempo “ ….non superiore a quello necessario agli scopi per i quali sono stati raccolti.
Non è sufficiente che il titolare del trattamento affermi in maniera generica che i dati personali saranno conservati “finché sarà necessario” bensì dovrebbero essere fissati da periodi di conservazione diversi per le diverse categorie di dati personali e/o finalità del trattamento, inclusi, se del caso, i periodi di archiviazione.
La Sanzione
Questo Poliambulatorio è stato condannato a:
- Il pagamento della somma di EURO 15.000,00 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni contestate
- Di Correggere le informative privacy in uso secondo le indicazioni date nel provvedimento
- Di provvedere alla nomina del Responsabile della protezione dei dati (DPO) con i caratteri di terzietà (quindi esterno rispetto al poliambulatorio stesso)
Conclusione
Insomma, la stesura di un documento ben dettagliato della privacy richiede un tempo di creazione non riducibile ad un semplice copia-incolla o da un fac simile.
A livello strategico, cosa conviene?
Ogni azienda è unica a suo modo, deve adempiere a degli obblighi specifici per tutelare se stessa ed i propri clienti, fornitori o dipendenti o utenti del sito web non è dunque una cosa da sottovalutare.
Ciò di cui siamo certi è che ci saranno molte aziende in una situazione simile a quella dell’esempio del Poliambulatorio. Vale la pena rischiare con un contenuto non dettagliato e scritto di getto?
Noi di Scuadra, che da oltre cinque anni tuteliamo le aziende che si affidano a noi, troviamo la soluzione adeguata alle esigenze delle aziende clienti. Aiutiamo i nostri clienti a sentirsi e ad essere sicuri della propria presenza online e non. Il Team Compliance raggruppa professionisti del settore che sono pronti ad assisterti in ogni tua necessità.
Creeremo ad-hoc il tuo modello organizzativo privacy aziendale: chiedici maggiori informazioni
Articoli Correlati
Whistleblowing D.Lgs 24/2023: la nuova normativa per le aziende pubbliche e private
È entrata in vigore la nuova legge: come adeguarsi
Un nuovo software in azienda: a cosa si deve prestare attenzione nel contratto di acquisto?
Il mondo oramai ruota in formato digitale. La digitalizzazione, l’industria 4.0, l’informatizzazione: termini diventati di uso comune in tutte le aziende, anche nelle più piccole, anche grazie agli incentivi fiscali di questi ultimi anni. Nei reparti produttivi, ma...
Rating di legalità
Di seguito vi riproponiamo il tema del Rating di legalità; lo consideriamo un tema importante in quanto possedere il rating di legalità porta notevoli vantaggi, soprattutto nell'assegnazione di risorse finanziarie e/o preferenza nelle graduatorie di ammissione a...