GDPR: 4 casi pratici
Manca il video? Puoi accettare i Cookie oppure guardarlo qui.
Oggi affrontiamo il GDPR da un punto di vista esclusivamente pratico.
Quattro casi pratici: sito web con iscritti, negozio, attività artigianale e studio professionale.
Il GDPR, oltre ad aver introdotto un vero e proprio cambio di approccio nella protezione dei dati personali ha anche ampliato i diritti riconosciuti agli interessati.
Al lato pratico il Regolamento Europeo ha:
- specificato meglio il contenuto dell’informativa privacy che già avevamo tutti
- fissato nuovi requisiti per il consenso al trattamento
- introdotto nuove previsioni in materia di violazione dei dati personali (quindi anche nel famoso caso di data breach)
- imposto, in alcune circostanze, la nomina del data protection officer
- previsto la redazione del registro delle attività del trattamento e dello svolgimento delle attività di trattamento stesso per particolari trattamenti ad alto rischio
- previsto una valutazione di impatto sulla protezione dei dati personali.
Quali sono gli adempimenti più problematici per queste diverse tipologie che affrontiamo?
Primo caso pratico: Sito web con iscritti
Il sito web con utenti iscritti, secondo me è il caso che deve prestare più attenzione al GDPR.
E’ assolutamente raccomandabile predisporre il registro delle attività del trattamento, naturalmente dopo che hai analizzato tutti i trattamenti che effettui in concreto.
E’ obbligatorio soltanto nel caso in cui l’impresa abbia un numero di dipendenti superiore a 250. Al di sotto di questa soglia la redazione del registro non è sempre obbligatoria, salvo determinati specifici trattamenti. Però secondo me è comunque raccomandabile e fondamentale.
Altro aspetto fondamentale è la redazione dell’informativa (sia per la navigazione sia per l’iscrizione al sito).
L’informativa deve prevedere tutti i trattamenti effettuati e contenere tutte le informazioni richieste, anche quelle più problematiche e spinose come, ad esempio, il periodo previsto di conservazione dei dati.
Sono tutti elementi fondamentali che un sito non può non avere.
Nel caso in cui vengano svolti trattamenti cd. a rischio (quindi profilazione degli utenti per l’invio di pubblicità personalizzate o anche geolocalizzazione) è necessario effettuare, prima del trattamento, una valutazione di impatto sulla protezione dei dati.
Infine, posto l’elevato rischio di data breach che ci può essere (quindi tramite attacchi hacker al portale), dovrà essere elaborata poi un’apposita procedura aziendale per evitare di trovarti poi impreparato nel caso di ipotesi che nessuno vorrebbe affrontare però capitano.
Secondo caso pratico: negozio fisico
Per il negozio fisico, se non svolge particolari attività che implicano il trattamento di dati sensibili (come può essere una farmacia), il GDPR potrebbe avere un impatto piuttosto contenuto, anche se non è mai trascurabile.
Quindi le informative per tutte le categorie degli interessati dovranno comunque essere predisposte in maniera molto attenta, soprattutto con riferimento ai dati dei clienti e in caso di acquisti particolari e nel caso di reclami).
Anche in questo caso, la redazione del registro del trattamento è altamente raccomandabile. In questa ipotesi può essere davvero molto semplificato però non è da trascurare.
Se, poi, naturalmente il negozio vende beni anche online come ormai la maggior parte dei negozi oppure abbia un proprio programma fedeltà, gli adempimenti diventano un pochettino più gravosi e si avvicinano a quelli descritti sopra che si applicano al sito web.
Terzo caso pratico: attività artigianale
Quello delle attività artigiane, se non ha caratteristiche peculiari, è probabilmente il caso meno problematico di tutti: gli adempimenti sono gli stessi del negozio fisico che non tratti in modo sistematico dati dei clienti. Quindi registro e informativa privacy.
Quarto caso pratico: Studio professionale
Ovviamente, l’impatto del GDPR varia a seconda dei dati personali che tratta lo studio professionale. Quindi sarà maggiore – come ad esempio lo studio medico – quando sono trattati anche frequentemente dati sensibili.
In ogni caso, a prescindere dall’attività svolta, è sempre consigliabile redigere il famoso registro delle attività di trattamento.
Anche perché in caso di ispezioni facilita di gran lunga il lavoro e tiene conto di tutte le attività svolte, anche di quelle che a prima vista potrebbero sfuggire.
Ad esempio, un servizio di backup in cloud potrebbe comportare il trasferimento dei dati fuori dall’Unione europea, quindi l’ammissibilità deve essere valutata veramente con molta attenzione quando poi di predispone l’analisi del trattamento del dato.
L’informativa come sempre deve essere chiara e completa, e va differenziata per le diverse tipologie di interessati (se sono clienti, se sono dipendenti, se sono collaboratori).
Infine, se lo studio tratta dati personali per conto di un terzo (ad es. consulente del lavoro che elabora le buste paghe per conto della società sua cliente), dovrà essere formalmente nominato responsabile del trattamento.
C’è un accordo, un contratto di nomina che deve essere sempre per iscritto.
Queste sono le casistiche più generali. Se però ci sono altri casi più specifici che non ho affrontato oppure se vuoi risolvere una tua questione legale o avere un parere sugli argomenti trattati prenota qui la tua consulenza.
Se vuoi approfondire tutti gli aspetti del GDPR leggi gli articoli della Categoria.
Per tutti gli aggiornamenti segui #LexAroundMe
Lascia qui il tuo commento al blog e ai servizi di LexAround.me
#GDPR 4 casi pratici #Privacy #datipersonali #E-commerce #venditaonline #negozio #LexAroundMe #LexAroundTalk Condividi il Tweet
Fabio
Buongiorno vorrei chiedere un chiarimento se possibile, Vorrei utilizzare un servizio online (italiano) che avvisa automaticamente i miei clienti vis sms del suo appuntamento (precedentemente concordato) presso il ns negozio. Per farlo devo fornire nominativo e n° di cellulare. Questa pratica è compatibile con il GDPR? Ringrazio in anticipo
Avv. Silvia Di Virgilio
Buon pomeriggio,
se l’informativa privacy contempla il trattamento, la finalità e la durata e i clienti hanno prestato il consenso validamente allora il trattamento è conforme al GDPR.