Privacy, Società

5 cose + 1 che devi fare per mettere a posto la privacy

Avv. Vincenzo Marino

Posted on 15 Aprile 2024

Compliance privacy, mettere a posto la privacy nell'organizzazione
Indice

La compliance Privacy riguarda tutti: aziende, associazioni, liberi professionisti e pubbliche amministrazioni.

Quali sono le regole da seguire?

Il GDPR (Regolamento UE n. 679/2016) è solo la norma più citata, ma l’insieme delle regole che riguardano il trattamento dei dati personali è particolarmente complesso.

Oltre al GDPR, infatti, bisogna infatti tenere conto di:

  • Codice Privacy (D. Lgs. 101/2018)
  • Direttiva E-Privacy
  • Altre normative europee
  • Linee Guida
  • Decisioni del Garante Privacy
  • Prassi applicative

La privacy è un diritto fondamentale e per questo gode di così tanta attenzione.

Lo scopo della normativa sulla protezione dei dati personali è, appunto, proteggere noi, le persone, e i dati che ci identificano o che ci rendono identificabili.

La pericolosità della raccolta, della diffusione, della commercializzazione, della pubblicazione indiscriminata dei dati delle persone è sotto gli occhi di tutti.

Per questo è necessario avere delle norme che regolino tutte le operazioni appena indicate, che prendono il nome “Trattamenti”.

Quindi che tu sia un’azienda, un’associazione o un ente di qualsiasi tipo, se tratti dati personali sei soggetto al rispetto della normativa sul trattamento dei dati personali e quindi sei tenuto a curare la compliance privacy.

Voglio mettere a posto la privacy nella mia attività, dove c’è scritto cosa fare?

Decidere di mettere a posto la privacy della propria attività è un’ottima idea.

Di certo non basta pubblicare l’informativa privacy o il banner cookie sul sito aziendale.

La brutta notizia è che le istruzioni per la compliance non le trovi da nessuna parte, infatti neanche il GDPR contiene istruzioni precise.

Anzi, è vero il contrario!

Il GDPR è tutto strutturato su principi generali che a primo impatto non hanno un’immediata applicazione pratica.

Ad esempio ci trovi scritto che il Titolare del trattamento deve improntare l’attività secondo il principio di accountability.

Ma che cos’è l’accountability?

Accountability significa due cose:

  • Assumersi le responsabilità delle proprie scelte
  • Documentare le scelte

Ma, per l’appunto, si tratta di un principio non di un’istruzione pratica.

In 99 articoli e 173 “considerando” non ci sono istruzioni pratiche e immediatamente applicabili.

Quindi cosa fare per la compliance privacy? 

Ecco 5 cose + 1:

Fotografa

Il primo passo è capire come funziona la tua attività: azienda, studio professionale, associazione o pubblica amministrazione.

Ovviamente il punto di vista che ci interessa è quello dei dati personali.

Bisogna quindi fermarsi e farsi delle domande:

  • Quali dati utilizziamo?
  • Come li otteniamo?
  • Come li utilizziamo?
  • A quale scopo?
  • Chi li tratta?
  • Come li conserviamo?
  • Per quanto tempo?
  • A chi li trasferiamo e dove?

CLIC

Le risposte a queste domande ti consentono di capire il punto di partenza e quindi di iniziare a trovare i punti deboli, le falle e le incongruenze con quello che prevede la legge.

Infatti, facendo una fotografia dello stato dell’arte ti rendi conto di due cose:

– Se l’attività ha bisogno di quei dati (e in caso affermativo conviene trattarli bene)
– Quali sono i punti più delicati

Analizza

Più la fotografia che hai fatto è a fuoco e ricca di dettagli, più sarà facile da analizzare.

I punti deboli sono i punti in cui l’attività si discosta dai principi di legge.

Ancora una volta, il GDPR non impone nulla se non i principi fondamentali che devi conoscere per uniformarti.

Ad esempio: il GDPR stabilisce il principio di minimizzazione, in base al quale devi ridurre al minimo i dati personali che tratti per una determinata finalità.

Ok ma cosa significa in concreto?

Caso pratico: ti servono nome, cognome e data di nascita di una persona per inserirli una scheda cliente. Per fare prima, ti fai inviare una foto fronte/retro della carta di identità.

Per il GDPR questa pratica è sbagliata perché se ti servono solo nome, cognome e data di nascita la Carta d’Identità contiene una quantità di dati in più che sono eccessivi rispetto a quello che devi fare.

(Inoltre la copia della carta d’identità è problematica per quanto riguarda la conservazione.)

Il GDPR non è un libretto di istruzioni, ma una mappa. E sei tu, il Titolare, a dover scegliere la direzione da seguire.

Fissa una call
Compliance privacy, mettere a posto la privacy nell'organizzazione

Aggiusta

Una volta rilevate le criticità, bisogna agire.

Dall’analisi fatta sarai in grado di capire quali sono i problemi:

Mancano i documenti o sono incompleti

  • Utilizzi strumenti non conformi
  • Hai adottato pratiche sbagliate
  • Ci sono dei rischi che non avevi calcolato

Tutti i punti deboli che hai individuato devono essere affrontati con le manovre correttive giuste, cercando di mantenere un equilibrio con l’attività che svolgi.

Infatti se da un lato è un dovere preoccuparsi del “problema” della privacy, dall’altro lato non puoi stravolgere l’operatività in nome della privacy.

Occorre trovare il giusto equilibrio tra queste due esigenze.

Scrivi

Una buona parte del lavoro da fare in ambito la privacy è un lavoro di scrittura.

Proprio in applicazione del principio di accountability, diventa necessario documentare le scelte che si fanno.

Ad esempio è certamente necessario scrivere un’informativa privacy.

Anzi, più informative privacy.

L’informativa è un documento fondamentale il cui scopo è far sapere agli interessati come tratti i loro dati personali, con quali basi giuridiche, per quali finalità, eccetera.

Si parla di informative, al plurale, perché gli interessati sono diversi: clienti, fornitori, dipendenti.

Non per tutte le categorie valgono le stesse regole.

Per fare un altro esempio: pensiamo ai rapporti con i fornitori o i professionisti di cui si avvale l’organizzazione.

Caso tipico: il consulente del lavoro.

Il consulente del lavoro tratta i dati personali dei lavoratori per conto nostro. Talvolta anche dati particolari (ex sensibili), come i dati sanitari. Questo rapporto deve essere regolamentato con un apposito accordo (Il fornitore viene individuato come Responsabile del Trattamento).

Oppure ancora: per alcuni trattamenti particolarmente pericolosi è necessario fare una valutazione di impatto (DPIA), ossia una valutazione documentata dei rischi privacy di quel determinato trattamento.

L’elenco potrebbe continuare.

Il concetto è che ogni scelta deve essere documentata e i principali snodi relativi ai trattamenti di dati personali richiedono un documento apposito.

Fissa una call

Monitora

Dopo aver preparato tutti i documenti necessari e dopo aver fatto gli opportuni aggiustamenti, puoi tirare un sospiro di sollievo.

Ma il lavoro non è finito.

La compliance privacy è un processo e come tale non ha una fine, a meno che non cessi l’attività.

Quindi occorre rimboccarsi le maniche e programmare il monitoraggio.

In concreto vuol dire verificare che le misure correttive siano implementate e che funzionino.

Ti ricordo che innanzitutto deve funzionare l’attività e che, allo stesso tempo, l’attività deve essere improntata al rispetto dei principi del GDPR (Privacy by design, Privacy by default).

Il monitoraggio ti consente di notare i punti deboli, ciò che non funziona o ciò che non è stato preso in considerazione prima, per poi passare alla fase successiva.

Bonus: Ripeti

In questo passaggio extra si comprende bene il concetto di processo, o di ciclo, che è il metodo di lavoro che utilizziamo in ambito privacy.

Quando pensi di aver terminato, quello è il momento in cui devi ricominciare da capo.

In base ai dati ottenuti con il monitoraggio, infatti, avrai individuato anche i punti deboli, quello che funziona e quello che non funziona.

A questo punto, riprendi dal punto 1 e procedi in ordine:

1) Fotografa
2) Analizza
3) Aggiusta
4) Scrivi
5) Monitora

E dopo: RIPETI!

Ovviamente non occorre fare tutto da capo, il lavoro è incrementale.

A meno che non intervengano cambiamenti molto rilevanti per l’organizzazione che richiedono interventi più drastici (fusioni, acquisizioni, internazionalizzazioni eccetera).

Conclusioni

Il lavoro da fare per mettere a posto la privacy nella tua attività è faticoso e anche molto tecnico.

Per questo esistono persone specializzate in consulenza privacy alle quali delegare tutto il lavoro.

01 Lex può fare questo lavoro per te.

Fissa una call!

Fissa una call
PrivacySocietàStartupStartup innovativa
Previous Post
Perché dovresti registrare il tuo marchio
Next Post
Che cos'è il diritto all'oblio?

Keep Reading...

Oblio, Privacy 29 Aprile 2024

Che cos’è il diritto all’oblio?

Che cos'è il diritto all'oblio? Il diritto all’oblio è una conquista

Read More

App, E-commerce, Privacy, Sito web, Società 20 Febbraio 2024

Perché dovresti registrare il tuo marchio

Ogni impresa è fortemente legata al suo marchio.Il marchio è

Read More

App, E-commerce, Privacy, Sito web, Società 8 Febbraio 2024

Che cos’è una startup innovativa? Requisiti, vantaggi e limiti

La startup innovativa si differenzia dalla startup "semplice".Nell’articolo come aprire

Read More