Quali sono le linee guida del regolamento europeo sulla privacy, entrato in vigore il 25 maggio 2018, chiamato GDPR (General Data Protection Regulation)?

• Introduce regole più chiare su informativa e consenso.
• Definisce i limiti al trattamento automatizzato dei dati personali.
• Pone le basi per l’esercizio di nuovi diritti a favore di chi fornisce i propri dati personali.
• Stabilisce criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.
• Fissa delle norme rigorose per i casi di violazione dei dati (data breach).

La nuova legge struttura la questione della privacy in modo parecchio articolato e obbliga le aziende che trattano dati personali a dotarsi di un sistema privacy, ovvero un vero e proprio nuovo modello organizzativo, focalizzato sulla persona che fornisce i propri dati personali all’azienda e che deve essere sempre considerata al centro del sistema privacy.

Ogni titolare dovrà definire il proprio sistema privacy tenendo conto che per dati personali si intendono le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica.

Per intenderci, oltre ai dati personali dei clienti venditori e acquirenti, vengono considerati dati personali anche quelli sui dipendenti, sui fornitori, sui contatti, indipendentemente dal fatto che vengano trattati con strumenti informatici o con documenti cartacei.

Gli step per progettare il sistema privacy della propria azienda sono i seguenti:

• Definire le figure del sistema privacy (titolare, responsabile, incaricato) e predisporre uno schema che garantisca all’azienda il corretto trattamento dei dati personali, sulla base dell’organigramma interno e dei collaboratori esterni che possono accedere ai dati personali.
• Valutare la tipologia di consenso dell’interessato, in modo che sia adeguata alla normativa.
• Istituire un registro dei trattamenti nel quale censire le categorie di dati e la tipologia di operazioni, che il titolare effettua o affida ai responsabili e dove vengono previste le misure di contenimento dei rischi.
• Adeguare le piattaforme web (il proprio sito) per renderle coerenti alla normativa, con l'obbligo di informare l'utente e riceverne esplicito consenso, sia nel caso di raccolta (esempio gli indirizzi e-mail per l'iscrizione alla newsletter) che nel caso di profilazione del comportamento tramite cookies (analitycs, remarketing, ecc.).

Definizione delle figure del sistema privacy

L’azienda dovrà quindi essere correttamente mappata, dando rilevanza all’organigramma, in modo da poter attribuire funzionalmente ogni risorsa ad una unità operativa, includendo non solo il personale dipendente, ma tutti coloro che hanno una qualche attività con l’impresa stessa (ogni persona che può essere coinvolta in un processo di trattamento privacy).

A partire dal censimento dei dati personali presenti e dei relativi trattamenti, si dovrà poi prevedere una lettera di incarico che evidenzi compiti e responsabilità di trattamento e un piano formativo idoneo a preparare una corretta gestione.

Valutazione del consenso dell’interessato

Un deciso cambiamento si ha nei riguardi dell’autorizzazione che il soggetto, a cui fanno capo i dati personali, deve dare per un determinato trattamento. L’interessato dovrà infatti esprimersi in merito a un trattamento, fornendo un consenso effettivo e inequivocabile, ad esempio, con dichiarazione scritta o attraverso mezzi elettronici. Se il consenso è verbale deve essere registrato.

Pertanto, al momento dell'inserimento del cliente nel software gestionale, è necessaria la firma di consenso per il trattamento dei dati personali, specificando l'utilizzo che si prevede di fare del dato personale.

Ogni eventuale operazione di comunicazione (telefonica, email, sms, ecc.) dovrà far capo a un preciso consenso, formalizzato per ogni controparte, presentabile nel caso l’interessato ne facesse richiesta. L’interessato ha il diritto di revocare qualsiasi consenso abbia dato e deve essere informato di questo dal titolare del trattamento. Dovranno quindi essere evitati comportamenti di acquisizione dei dati senza il consenso esplicito degli interessati.

Registro dei trattamenti

Il titolare e il responsabile del trattamento devono redigere il registro della attività e dei trattamenti effettuati. Il registro dei trattamenti è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, ma è anche indispensabile per ogni valutazione e analisi del rischio.

E per il sito web?

L'argomento è alquanto dibattuto e abbastanza complesso. Mi limiterò quindi a dare qualche indicazione di base per una tematica che va necessariamente approfondita con un consulente specializzato.

• Se hai un sito web per il tuo mercatino dell'usato, devono essere presenti, in modo visibile (meglio su ogni pagina) i riferimenti della tua azienda.
• Se raccogli dati (ad esempio per l'iscrizione a una newsletter) devi rendere disponibile un documento che dettagli come viene affrontata la questione privacy nella tua azienda.
• Se utilizzi dei cookies (ad esempio per le statistiche di Google Analitycs o per fare operazioni di remarketing), devi rendere disponibile un documento che dettagli come viene affrontata la questione dei cookies nella tua azienda.

Con questi presupposti, ogni trattamento deve essere esplicitamente approvato dall'utente. Quindi non potrai raccogliere dati se l'utente non ha espresso il suo consenso e allo stesso modo non potrai utilizzare cookies di profilazione.

Detto così sembra semplice, ma ti posso garantire che la questione, a livello tecnico, è impegnativa.

 

 

Cerchi aiuto per creare il registro dei trattamenti per il tuo mercatino?

Le normative e le leggi ti confondono?
Niente paura, ti aiutiamo noi, gli specialisti dell’usato!
Contattaci allo 045 2370857 o inviaci una richiesta scrivendo a commerciale@leotron.com, ti ricontatterà uno dei nostri consulenti per darti tutte le informazioni!

NIU.eco - il network degli imprenditori dell'usato

Per approfondire questa tematica puoi aderire a NIU.eco, il network che raggruppa gli imprenditori dell'usato indipendenti.

Altri contenuti che potrebbero interessarti

Di seguito trovi alcuni articoli correlati, che potrebbero interessarti.