Con questa newsletter intendiamo dare uno sguardo agli argomenti relativi alla protezione dei dati personali affrontati da articoli pubblicati online nel corso dell’ultimo mese, in primis dal sito di Federprivacy, con lo scopo di fornire ai nostri lettori spunti per affrontare il delicato tema della privacy.
Nel seguito, con la sigla GDPR ci si riferisce al Regolamento UE 2016/679 “General Data Protection Regulation”, in vigore ormai dal maggio 2018.
Indice
- Il modello organizzativo per la sicurezza e privacy dei dati personali
- Il marketing diretto
- La conformità al GDPR per i siti web
- Necessarie misure per la sicurezza dei dati al tempo del Covid-19#
- Quando il trattamento dei dati personali è basato sul consenso degli interessati
- Utilizzo di un CRM e rispetto della privacy
- Nomina dei responsabili esterni del trattamento dati personali
- La privacy by default nel trattamento dei dati personali
Il modello organizzativo per la sicurezza e privacy dei dati personali
Il titolare del trattamento dei dati personali deve adottare misure tecniche ed organizzative per garantire il rispetto delle disposizioni previste dal GDPR, ma questo non è sufficiente: deve anche essere in grado di documentare e dimostrare la sua conformità. Per questo può essere opportuna l’adozione di un modello organizzativo, quale insieme di regole che definiscono un sistema di gestione e controllo dei dati personali da parte dell’azienda e comprendono la gestione del rischio e la definizione delle misure di sicurezza per la protezione dei dati. Per prima cosa il modello contribuisce al principio di responsabilizzazione (accountability) per il titolare e aiuta l’azienda ad una corretta, o quantomeno pianificata, esecuzione delle attività di trattamento e, secondariamente, può contribuire, secondo l’opinione di molti addetti ai lavori, a mitigare le sanzioni nel caso in cui l’Autorità Garante rilevi delle infrazioni.
Il D.Lgs. 231/2001, pur avendo per oggetto la “disciplina della responsabilità amministrativa delle persone giuridiche e delle società, associazioni od enti privi di personalità giuridica che non svolgono funzioni di rilievo costituzionale”, fornisce, con gli artt. 5, 6 e 7, uno spunto per articolare la struttura organizzativa aziendale ai fini della ripartizione delle responsabilità, assicurando la tracciabilità e la trasparenza dei processi aziendali esposti al rischio di reati.
Altri riferimenti, peraltro specialistici, sono le norme ISO/IEC 27011:2013, per quanto riguarda la sicurezza delle informazioni, e la ISO 22301:2019, per la business continuity (continuità dell’operatività aziendale).
Il marketing diretto
Con questa espressione ci si riferisce alle pubblicità commerciali effettuate direttamente dall’azienda, senza l’assegnazione di tale incarico ad intermediari.
Dall’art. 6 e corrispondente Considerando 47 del GDPR si potrebbe dedurre che la base giuridica del legittimo interesse del titolare del trattamento sia sufficiente a legittimare l’esecuzione del marketing diretto. Tuttavia la necessità di non prevalere sugli interessi o i diritti e le libertà fondamentali dell’interessato (anche se di maggiore età) e l’esplicita asserzione dell’art. 130, comma 1, del D.Lgs. 101/2018 richiedono il preventivo consenso dell’utente per poter inviare materiale pubblicitario con sistemi di chiamata automatizzati, cioè senza l’intervento di un operatore, quali posta elettronica, telefax, e messaggi di qualunque genere.
Tale consenso preventivo può essere raccolto (e documentato) in occasioni quali eventi, fiere, incontri personali, nonché attraverso moduli online cui gli interessati abbiano avuto libero accesso (webinar, siti di dominio pubblico). Il consenso deve essere naturalmente libero, esplicito ed informato. Un’altra possibilità è una telefonata non automatizzata di richiesta di consenso, cui potrà seguire una email con il materiale informativo, ma anche la precisazione relativa al consenso acquisito e la possibilità successiva di negarlo.
Esiste la possibilità, pur non priva di complessità ai fini della sua legalità, di ricorrere al cosiddetto “soft spam”, il quale ammette l’invio, senza necessità di consenso, di informazioni pubblicitarie a soggetti che abbiano già acquistato o richiesto offerte circa prodotti o servizi analoghi a quelli che si intendono reclamizzare. Tale verifica è indispensabile, così come lo sono la conservazione della relativa documentazione, l’utilizzo esclusivo della posta elettronica e non di altri mezzi, l’informazione e i mezzi affinché gli interessati possano opporsi a successivi invii.
La base giuridica del legittimo interesse è inoltre da escludersi nel caso in cui ci si rivolga a minori. In Italia è possibile chiedere il consenso al trattamento direttamente agli interessati se hanno compiuto 14 anni (in altri stati della UE ci sono limiti diversi, comunque non inferiori a 13 anni), altrimenti è necessario il consenso da parte di chi esercita la responsabilità genitoriale. In ogni caso un minore di 18 anni non può esprimere consensi con valore contrattuale.
La conformità al GDPR per i siti web
Sul titolare del trattamento dei dati personali di un sito web, che coincide con il titolare (intestatario) del dominio del sito, gravano diverse incombenze.
Per prima cosa, è necessario individuare quali dati vengano raccolti e utilizzati nel sito, attraverso tutte le possibili modalità: form che possono essere compilati, dati rilevati dalla navigazione effettuata e dati raccolti e memorizzati dai cookie (piccoli file di testo inviati da un web server al browser dell’utente, per essere memorizzati sul dispositivo dell’utente e poi ritrasmessi al server ad ogni successivo collegamento al sito; si tratta ad es. dell’indirizzo IP del collegamento e dell’informazione relativa alle pagine visitate e alle scelte compiute, come ad es. la scelta della lingua). Quindi vanno definite le finalità del trattamento dei dati, per quanto tempo vengono conservati e a chi vengono comunicati. Devono essere raccolti i soli dati pertinenti e limitati alle finalità (principio di minimizzazione).
L’utente deve essere avvertito, attraverso apposite informative (privacy policy e cookie policy), circa i dati raccolti, il loro utilizzo e le finalità. Per tutti i trattamenti per cui sia previsto il consenso dell’interessato (ad es. per finalità di marketing, per decisioni automatizzate, profilazione, ….), questo deve essere acquisito e registrato ai fini probatori. L’utente deve avere la possibilità di ritirarlo.
Relativamente ai cookie, l’utente deve poter scegliere, prima che questi vengano impiegati, quali categorie è disposto ad accettare: cookie tecnici (navigazione o di sessione, funzionalità, analitici), cookie di profilazione (utilizzo delle preferenze individuate ai fini di un trattamento personalizzato, quale la pubblicità comportamentale), cookie di terze parti (installati da siti collegati). La scelta può essere preimpostata solo per i cookie tecnici indispensabili; deve essere invece esplicita, ad esempio, per i cookie di profilazione. Le scelte possono essere presentate al primo accesso al sito, attraverso un banner (lo “striscione” iniziale), ma deve essere prevista la possibilità di modificarle.
La compliance nei siti web è un argomento piuttosto complesso e può essere opportuno affidarsi a provider dotati di competenze trasversali (legali e tecniche) per la generazione delle opportune policy e richieste di consenso.
Necessarie misure per la sicurezza dei dati al tempo del Covid-19
Dallo scorso marzo si è diffuso, ove possibile, lo smart working per diminuire le possibilità di contagio. Oggi purtroppo è ancora quanto mai necessario ed, in ogni caso, è divenuto per molti una modalità da utilizzare anche al di fuori dell’emergenza Covid-19.
Questo, però, è diventato un’occasione per gli attacchi di pirateria informatica ed espone così le aziende a maggiori rischi relativi alla sicurezza dei dati, in senso generale, al di là degli aspetti privacy. Sono infatti aumentate le cosiddette “superfici di attacco” per la dilatazione del “perimetro” aziendale, oltre il confine dell’ufficio o della sede, dovuta a:
– utilizzo all’esterno dei computer aziendali (al domicilio dei dipendenti o altrove);
– utilizzo di computer e altri dispositivi personali con minori protezioni (firewall, antivirus, aggiornamento del sistema operativo e delle applicazioni) o addirittura già affetti da malware e cavalli di Troia, a causa di app di gioco e utility non affidabili;
– utilizzo di VPN non professionali per i collegamenti remoti;
– utilizzo di funzionalità di desktop remoto vulnerabili.
In aggiunta alle misure di carattere tecnico che i responsabili IT aziendali possono predisporre ed attivare, diventa opportuna la formazione sui rischi cyber per tutto il personale che lavora da casa in collegamento remoto, con un occhio di riguardo ai dipendenti assunti di recente che non hanno ancora avuto modo di essere informati al riguardo, incluse le avvertenze contro il phishing (truffe mediante email contraffatte).
Quando il trattamento dei dati personali è basato sul consenso degli interessati
Per essere applicabile, questa condizione di liceità richiede che siano rispettate diverse caratteristiche: il consenso deve essere una manifestazione di volontà libera, specifica, informata ed inequivocabile.
La libertà del consenso prevede che l’interessato abbia potuto esprimere una scelta effettiva ed abbia il controllo dei propri dati. Nel caso in cui il consenso sia collegato all’esecuzione di un contratto o alla fruizione di un servizio, non dovrebbe essere influenzato da uno squilibrio di forza tra fornitore e contraente che possa determinare un pregiudizio a sfavore dell’interessato nel caso di rifiuto o revoca del consenso stesso.
La richiesta di consenso esplicito, utilizzata come elemento rafforzativo, in presenza di altra base giuridica che supporti il trattamento è vista da taluni come ridondante e pertanto inutile. Tuttavia il titolare di un trattamento di dati personali potrebbe trovarsi, in applicazione del principio di responsabilizzazione (accountability), in una condizione di incertezza, come nel caso della valutazione del bilanciamento, o proporzionalità, tra i propri interessi e quelli dell’interessato, per cui il consenso esplicito diviene l’unica base certa di liceità.
Utilizzo di un CRM e rispetto della privacy
CRM è l’acronimo di Customer Relationship Management, che è una strategia per una gestione efficace dei rapporti e delle interazioni di un’azienda con i propri clienti, anche potenziali. Hanno accesso al CRM aziendale dirigenti, venditori, addetti degli uffici marketing, commerciale e preventivazione, project manager.
La registrazione dei contatti personali sul CRM deve avvenire disponendo delle basi legali del trattamento, che possono essere costituite da:
1 – consenso specifico dato dall’interessato,
2 – l’interessato è parte in causa di un contratto o di una richiesta di offerta,
3 – legittimo interesse del titolare del trattamento.
Per il punto 1 si faccia riferimento al precedente articolo “Quando il trattamento dei dati personali è basato sul consenso degli interessati”.
Riguardo il punto 2, è necessario che si siano definiti i termini temporali di conservazione dei dati oltre il ciclo di vita del contratto o alla validità dell’offerta, evitando di conservare indefinitamente i dati degli interessati.
Il 3° punto è il più delicato, in quanto tale interesse non deve prevalere sui diritti o le libertà fondamentali dell’interessato in relazione alla protezione dei propri dati personali. In particolare, si veda quanto già espresso in relazione al precedente paragrafo “Il marketing diretto”.
Nomina dei responsabili esterni del trattamento dati personali
Il GDPR prevede numerosi requisiti in capo ai responsabili del trattamento, che il titolare deve nominare in modo formale, anche, eventualmente, attraverso le specifiche contrattuali se l’azienda si avvale di un fornitore esterno per servizi che coinvolgono dati personali. La definizione dei relativi compiti tra titolare e responsabile è importante anche in merito all’attuazione delle misure di sicurezza e di risposta in caso di data breach. I compiti da prevedersi contrattualmente per il responsabile sono quelli di cui all’art. 28 del GDPR.
I compiti del titolare includono la verifica periodica che responsabili operino in conformità con il GDPR, offrendone sufficienti garanzie. Nel caso in cui l’azienda fruisca dei servizi on line di un provider, per storage ed elaborazioni sul cloud, con tutta probabilità non potrà essere redatto un contratto ad hoc, ma si dovrà accettare quello proposto da tale fornitore, che è rivolto alla globalità della propria utenza. Quindi, sarà quantomeno opportuno aver preliminarmente verificato la rispondenza del provider al Regolamento privacy, controllando le sue credenziali, la sua privacy policy, le sue certificazioni e l’eventuale disponibilità delle Standard Contractual Clauses. L’analisi dei rischi del trattamento potrebbe indicare, tra l’altro, il livello della verifica da attuare nei confronti dei provider.
[link all’articolo originale, secondo articolo]
La privacy by default nel trattamento dei dati personali
Questo principio si basa essenzialmente sulla minimizzazione, la quale va attuata per diversi aspetti:
– trattare la minor quantità possibile di dati personali, in relazione alle finalità (lecite) del trattamento, il che implica anche, all’occorrenza, di suddividere l’utilizzo dei dati tra le diverse operazioni e fasi di trattamento in modo che per ciascuna di queste siano trattati i soli dati strettamente necessari e per il tempo indispensabile;
– limitare la conservazione dei dati nel tempo, avendo definito il periodo di mantenimento in base ad una precisa scadenza temporale o al verificarsi di determinate condizioni;
– limitare l’accessibilità ai dati al solo personale incaricato del trattamento, ciò che può comportare la precisa assegnazione di credenziali di accesso ai dati, che devono altrimenti risultare inaccessibili.
La limitazione della quantità dei dati può riguardare sia la tipologia degli stessi, che il numero degli interessati.
La protezione dei dati è poi un principio da attuare per default, a prescindere dalle misure che possono scaturire dall’analisi dei rischi.
Il mantenimento della documentazione relativa alle misure tecniche ed organizzative è, infine, importante per dimostrare la conformità al GDPR e la responsabilizzazione del titolare del trattamento.
ing. Michele Lopardo
Responsabile Qualità @ Wondersys
