PRIVACY

cOSA TI SERVE PER ESSERE A NORMA COL GDPR: LA GUIDA DEFINITIVA

Prima la cattiva notizia: no, la policy privacy non è sufficiente. 

Bene, ora che abbiamo ammesso questa triste verità, hai essenzialmente due possibilità: cadere nel panico e smettere di fare ciò che stai facendo, cercare la tua copertina di Linus e immaginarti il Garante più cattivo e minaccioso di Cerbero oppure…scoprire cosa ti serve, tutto sommato non è così tremendo, garantito! 

Se è vero, infatti, che la policy privacy non è l’unica cosa che serve è pur vero che i documenti non sono poi così tanti, l’importante è essere organizzati. 

Prima di scendere nel pratico e nello spicciolo, ci sono delle linee guida che, una volta capite, rendono il resto della normativa molto più chiara, sensata e scorrevole:

  • A dominare il regolamento c’è il principio di responsabilizzazione.  Non vengono dati dei parametri standard dentro ai quali essere in regola, ma al contrario il principio è “ho fatto tutto il possibile, rispetto alla mia attività e alle mie dimensioni, per garantire i diritti che stanno dietro alla privacy”
  • In pratica tutto parte da una AUTONOMA VALUTAZIONE D’IMPATTO
  • Stiamo parlando di persone fisiche e non di aziende. Le precauzioni devo essere prese nei confronti dei singoli che decidono di lasciarci i loro dati.
  • Ci deve essere una linea continua, nel passaggio dei dati, da un titolare ad un altro, o da un titolare ad un responsabile (che è una figura diversa, ma ne parliamo dopo)

La struttura dei documenti privacy
Per essere in regola e vivere sereni, ogni società o libero professionista che lavora con altre persone (che siano clienti o fornitori) dovrà prepararsi la seguente documentazione:

  • Registro dei trattamenti in quanto Titolare dei dati
  • Registro dei trattamenti in quanto Responsabile dei dati
  • Analisi sicurezza sistemi informativi (che conterrà, ove necessario, business continuity plann e
    disaster recovery)
  • Matrice documentale (così da avere un elenco completo)
  • Nomine (ai vari personaggi che materialmente gestiscono i dati)
  • Informative
  • Protocolli (non sono di per sè obbligatori, ma ormai parliamo di privacy “by default”, quindi si deve entrare nell’ordine di diee di rendere la tutela della privacy un normale comportamento che caratterizza tutti i processi aziendali, per questo scrivere dei protocolli diventa molto utile)

Differenza tra titolare e responsabile dei dati:
Per spiegarne al meglio la differenza, penso che si possa partire da un esempio.

Sono un freelance che lavora come consulente per un’azienda di vestiti, che si chiama SbirulinaDress. SbirulinaDress è la titolare dei suoi dati aziendali, io consulente sono responsabile di quei dati che loro mi danno in gestione.
Quindi, nel mio registro responsabile (che può essere un excel con firma digitale) metterò una riga che contenga le seguenti info:
“Macrotrattamento” Descrizione
Categoria Dati
Natura dati
solo
eventuale
Trasferimenti di dati
verso altri
Paesi/Organizzazioni
(se si indicare il
Paese/Organizzazione)
Finalità Tipo di
Trattamento
M=manuale
D=Digitale
Misure di
Sicurezza
Tecniche
Organizzative
Consenso
Informativa
Titolare del
Trattamento
Rappresentante
del Titolare
DPO
del TITOLARE
Io sono un personal trainer che decide di fare una campagna su fb per la lead generation. Tutti quelli che mi
lasciano i loro dati, tecnicamente, me li cedono. Questo significa che io ne divento titolare.
Per i dati di cui sono titolare, dovrò compilare il registro dei trattamenti titolare (anche questo può essere
un excel con firma digitale) che metta in evidenza:
• Macrotrattamento (dati personali da sito web, dati dipendenti, di clienti…)
• Descrizione della categoria
• Natura dei dati,
• Categorie di interessati (visitatori sito, dipendenti, clienti…)
• Finalità
• Tipo di trattamento (digitale/manuale)
• Categoria destinatari (chi li usa questi dati??)
• Termine di cancellazione
• Trasferimenti di dati verso altri Paesi/Organizzazioni (se si indicare il Paese/Organizzazione)
• Misure di Sicurezza Tecniche Organizzative
• Consenso
• Informativa
• Contitolare (se c’è)
• Rappresentante del titolare (se sono un’azienda il rappresentante è il rappresentante legale)
Per cui, riassumendo io sono…
Titolare del trattamento dei dati di cui ho la titolarità perché qualcuno me li cede (i miei lead, i miei
dipendenti, i dati di fatturazione dei clienti..)
Responsabile del trattamento di dati che altri mi affidano e mi fanno gestire, ma che rimangono in capo al
titolare (l’azienda che mi commissiona di gestire i social, rimane titolare dei dati dei lead, io ne sono il
responsabile)
Le informative da mettere sul web
Premessa: ogni tool, social, o piattaforma che utilizziamo ha la sua privacy policy, alla quale dobbiamo
sempre rimandare nella parte in cui rendiamo partecipi coloro che decidono di lasciarci i loro dati.
Ovvero: se io uso manychat per il bot, bisogna che faccia presente a quelli che stanno decidendo se
lasciarmi il contatto o meno, che quando i loro dati sono trattati nel bot, per finalità
informative/promozionali o quello che sono, sono tutelati dalla privacy policy di manychat, linkandogli
quella privacy policy specifica.
Sul nostro sito/blog dovremmo avere quindi una nostra privacy policy, che bene o male è strutturata così:
1. Chi è il titolare del trattamento, con tanto di contatti, pec inclusa
2. Per quali fini raccolgo quali dati
Nel senso: raccolgo le mail dalla landing tal dei tali per scopi promozionali ecc, raccolgo le
informazioni bancarie/account paypal che vengono tracciati qui quando viene effettuato un
pagamento ecc
3. Dati di navigazione. Tag e similiari per intenderci. Bisogna far presente che li usiamo, cosa usiamo e
rimandare alla privacy policy correlata
4. Modalità del trattamento. Consiglio pratico: riportare e citare l’art. 4 del gdpr
5. Natura dei dati raccolti (comuni, sensibili ecc..)
6. Natura obbligatoria o facoltativa del conferimento (i lead sono liberi di lasciare il contatto, ma
lasciare la mail diventa obbligatorio se voglio acquistare su un ecommerce…)
7. Ambito di comunicazione e diffusione dei dati: verranno mai divulgati? A chi? Se anche
rappresenteranno solo statistiche, basta dire che i dati rimangono segreti all’interno della società
ma che i valori numerici possono essere diffusi
p.s. sicuramente su ordine della pubblica autorità i dati saranno comunicati 😉
8. Luogo del trattamento: su quale server vengono raccolti? Andranno fuori europa?
9. Modalità e conservazione dei dati personali (che può anche essere “per tutta la durata del
lancio/per tutta la permanenza del consenso (quindi fino a disiscrizione), meglio comunque
aggiungere anche un limite temporale esplicito (comunque non oltre x anni)
10. Diritto di accesso (art 15 gdpr): è bene fare presente che l’interessato ha il diritto di ottenere dal
titolare la conferma che sia o meno in corso il trattamento dei suoi dati, le finalità di tale
trattamento, le categorie dei dati in questione ecc (trovate tutto sull’articolo)
11. Far presente che il consenso è sempre revocabile ai fini dell’art. 6 gdpr
12. Far presente che in riferimento agli altri diritti dell’interessato questi può contattare
[maildedicataprivacy@caselladiposta.it]
13. Clausola minorenni
14. In presenza di collegamenti esterni: far presente che ogni redirect su siti esterni segue la sua
privacy, e non la vostra.
15. Difesa in giudizio (potrebbe capitare che quei dati possano servirvi per difendervi)
16. Riferimento legale: La presente informativa è redatta in adempimento degli obblighi previsti dal
GDPR 679/16 dall’art. 10 della Direttiva n. 95/46/CE, nonché quanto previsto dalla Direttiva
2009/136/CE in materia di Cookie.
Ci sarà poi una sezione apposita sui cookies e i dati di navigazione.
Dovrà dire cosa sono i cookie, a cosa servono e come li utilizzate, quali cookies utilizzate sul sito.
Importante: sul vostro sito, quando un utente entra, deve apparire un plugin fisso (non di quelli che
spariscono semplicemente scorrendo) che obbliga l’utente ad accettare la policy privacy sui cookies)
adesso, infatti, è necessario il consenso esplicito.
Per chi ha un’azienda, consideri che anche l’informativa privacy dipendenti, che va consegnata e fatta
sottoscrivere, insieme alla nomina di incaricato al trattamento dei dati, può essere caricata sul sito.
P.s. La natura dei dati:
di seguito un brevissimo riassunto sulla categorizzazione della natur

Buy Paintings

Order a Portrait On Canvas