Startup e GDPR

La gestione della privacy delle strartup è particolarmente delicata in considerazione delle nuove tecnologie utilizzate e della presenza di operazioni di crowdfunding.

Inoltre, l’utilizzo di servizi di terze parti genera la necessità di valutare il trasferimento/trattamento dei dati, spesso extra-UE, verso i soggetti che offrono tali servizi.

Per consentire un’analisi autonoma in ambito privacy, forniamo di seguito un breve elenco, diviso in due sezioni, con i vari adempimenti base previsti dal Regolamento UE 679/2016 e dal decreto legislativo 101/2018. 

La prima sezione riguarda i documenti rivolti ai clienti-utenti; la seconda, i documenti che l’azienda deve possedere per poter dimostrare, in caso di controlli, la propria compliance alle norme sul trattamento dei dati.

Documenti privacy per clienti-utenti

  • Informativa privacy clienti-utenti.
  • Formule di consenso specifiche.
  • Informativa Cookie.
  • Eventuali modelli per l’esercizio dei diritti.

Documenti privacy dell'azienda

  • Valutazione di impatto sulla protezione dei dati, qualora prevista.
  • Informativa privacy dipendenti e fornitori.
  • Formule di consenso specifiche.
  • Accordi di nomina RTD – Responsabile Trattamento Dati – e dei soggetti incaricati, con impegno alla riservatezza. Accordo nomina DPO o RPD (Responsabile Protezione Dati) ove necessario.
  • Attestazioni della formazione svolta da tutti i soggetti coinvolti nel trattamento dei dati.
  • Registro dei trattamenti del Titolare e del Responsabile.
  • Documentazione delle procedure organizzative e di sicurezza relative al trattamento dei dati.
  • Creazione e gestione delle procedure per il data breach.
  • Pianificazione della formazione, delle verifiche relative alle procedure e degli audit interni.

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Bando Voucher Digitali I4.0 Edizione 2018-2019

La Camera di Commercio di Roma promuove, tramite il progetto Punto Impresa Digitale” (PID), la diffusione della cultura e della pratica digitale nelle micro, piccole e medie imprese (MPMI), di tutti i settori economici.

Con il Bando Voucher sono finanziati a fondo perduto fino al 75% gli invenstimenti.

Importo massimo del voucher: 10.000 euro.

Per tutte le informazioni leggere la pagina di sintesi della CCIAA di Roma.

Le insidie del GDPR

Alcune aziende e liberi professionisti stanno sottovalutando i nuovi adempimenti privacy previsti dal Regolamento UE 679/2016 (“GDPR”), obbligatori dal 25 maggio 2018.

Non si è in regola con il GDPR in tutti i casi di documentazione carente o assente -> vedi elenco adempimenti

Cosa succede in caso di mancato adeguamento?

1 – Rischio sanzioni e controllo Guardia di Finanza -> vedi video Comandante GdF

2 – Un cliente, un dipendente, un fornitore possono presentare un semplice reclamo al Garante e richiedermi i danni -> vedi procedura per il reclamo

La complessità degli adempimenti, peraltro, può trovare agevole risposta in una puntuale gestione delle politiche della privacy.

Breve intervento a Radio Radio sul nuovo decreto 101/2018.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Elenco adempimenti privacy (GDPR)

Per aziende con dipendenti – documenti di base

Per consentire un’analisi autonoma in ambito privacy, forniamo di seguito un breve elenco, diviso in due sezioni, con i vari adempimenti base previsti dal Regolamento UE 679/2016 e dal decreto legislativo 101/2018. 

La prima sezione riguarda i documenti rivolti ai clienti-utenti; la seconda, i documenti che l’azienda deve possedere per poter dimostrare, in caso di controlli, la propria compliance alle norme sul trattamento dei dati.

Documenti privacy per clienti-utenti

  • Informativa privacy clienti-utenti.
  • Formule di consenso specifiche.
  • Informativa Cookie.
  • Eventuali modelli per l’esercizio dei diritti.

Documenti privacy dell'azienda

  • Valutazione di impatto sulla protezione dei dati, qualora prevista.
  • Informativa privacy dipendenti e fornitori.
  • Formule di consenso specifiche.
  • Accordi di nomina RTD – Responsabile Trattamento Dati – e dei soggetti incaricati, con impegno alla riservatezza. Accordo nomina DPO o RPD (Responsabile Protezione Dati) ove necessario.
  • Attestazioni della formazione svolta da tutti i soggetti coinvolti nel trattamento dei dati.
  • Registro dei trattamenti del Titolare e del Responsabile.
  • Documentazione delle procedure organizzative e di sicurezza relative al trattamento dei dati.
  • Creazione e gestione delle procedure per il data breach.
  • Pianificazione della formazione, delle verifiche relative alle procedure e degli audit interni.

Per conoscere i rischi che si corrono in caso di mancato adeguamento alle normative sul trattamento dei dati personali rinviamo all’articolo Le insidie del GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Gestione privacy interna o esterna all’azienda?

Con il GDPR serve fornire la documentazione/evidenza che la politica privacy aziendale sia corretta e trasparente.

Ma conviene avere un consulente interno all’azienda o delegare a un soggetto esterno tutti i principali adempimenti privacy?

La gestione interna all’azienda genera:

– possibili conflitti di interesse: il soggetto che deve verificare la privacy può essere, come dipendente dell’azienda, condizionato o condizionabile rispetto a eventuali segnalazioni di non-conformità;

– dubbi nel cliente-utente, che potrà domandarsi quanto l’azienda sia trasparente nel trattamento dei dati.

La gestione esterna produce:

– l’aggiornamento continuo della documentazione privacy;

– una trasparenza maggiore: il cliente-utente sa che un soggetto esterno, specializzato, gestisce la privacy.

Generalmente un soggetto esterno garantisce un livello di servizio superiore a un costo minore rispetto a una gestione interna.

Un esempio pratico: pensiamo solo all’archiviazione dei consensi e a tutte le procedure privacy; quanto costerebbe la loro implementazione all’azienda? E l’aggiornamento-formazione degli operatori e le verifiche programmate?

Per la gestione privacy utilizzo diversi software che aiutano il lavoro.

Tra i più completi posso citare Iubenda: prezzi contenuti e molti servizi disponibili.

Ma con il software sono compliance al GDPR?

Sì, certamente se puoi rispondere almeno a queste 10 domande: sono specifiche per i professionisti ma valgono, di base, per qualsiasi soggetto che esegue trattamenti di dati personali.

Se anche una sola delle domande ti ha generato dubbi vuol dire che ti serve un consulente privacy, per una supervisione ed eventuale integrazione di tutta la documentazione privacy dell’azienda.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Informative privacy copia e incolla

L’adeguamento al Regolamento privacy 679/2016 (GDPR) è semplice: basta fare un copia-incolla dei documenti che servono, ad esempio dell’informativa privacy, e riempirli con i propri dati.

Meglio: uso un software che “fa tutto da solo” e mi elabora i documenti, senza bisogno di perdere tempo.

Nulla di più errato! Può essere un inizio, un supporto per il corretto trattamento dei dati, ma non è sufficiente.

Si fa leva sul desiderio delle aziende di risolvere rapidamente e con poca spesa una questione che, al contrario, richiede almeno un minimo di attenzione e partecipazione.

Il rischio è quello di spendere soldi inutili, di non essere conformi al GDPR.

Come faccio a capire se sono finito in questa “trappola”? Per fortuna è semplice, basta rispondere a poche domande di base:

  1. ho un’informativa privacy sintetica, di poche righe, facile da leggere, di immediata comprensione, che rinvia poi a un’informativa “estesa”?
  2. i miei dipendenti hanno ricevuto una formazione, almeno di base, sul corretto trattamento dei dati e sul GDPR?
  3. ho una procedura scritta in caso di perdita dati (anche se cancello un file dal pc per errore o perdo una chiavetta usb serve una procedura)?

Un decalogo completo per mettersi in regola si può leggere sul sito Altalex.

Cosa si rischia in caso di non conformità

  • segnalazione da un cliente o da un concorrente al Garante privacy che può inviare un controllo tramite il nucleo privacy Guardia di Finanza, con rischio di sanzioni amministrative e penali
  • mancato pagamento delle proprie fatture alla PA (gli enti pubblici potranno sospendere i pagamenti ai soggetti che non dimostrassero la conformità GDPR)
  • richiesta giudiziale di danni da tutti i soggetti che ritengono di aver subito un trattamento non corretto dei loro dati

Buon copia e incolla!

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

 

Informazioni in rete per software e compliance GDPR

In rete si trovano diversi articoli sul GDPR, su software “miracolosi” e sugli adempimenti necessari per la compliance privacy.

Prendo spunto da un articolo del 15 settembre 2018, qui il link, per parlare delle inesattezze che troviamo sul web. Ad esempio nell’articolo citato già il titolo è inesatto:

il decreto legislativo 101 /2018 armonizza il “Codice Privacy” al Gdpr, non attua affatto il GDPR; infatti, il GDPR è direttamente applicabile dal 25 maggio 2018, senza necessità di altre leggi.

Parlare di GDPR e aumentare la cultura della privacy, in genere, è comunque positivo.

Come consulente privacy invito i miei clienti, professionisti e aziende, a comprendere e studiare la normativa per poter “far da sé” l’adeguamento privacy. Spiego che non c’è obbligo di un consulente se si diventa competenti della materia rispetto al proprio settore di attività. Tuttavia, devo constatare, non ho molto successo e, per lo più, mi chiedono supporto per una comprensione semplificata della normativa e degli adempimenti minimi da documentare.

Discorso simile per i software GDPR che si trovano in rete. Attenzione all’illusione di poter fare in pochi minuti, e senza pensarci più, l’adeguamento GDPR tramite l’acquisto di un software-GDPR. Ci sono molti prodotti più o meno validi sul mercato ma vanno tutti intesi come “supporti” al processo di adeguamento GDPR. I software vanno, in altri termini, sempre gestiti da persone competenti per avere una documentazione valida ai fini GDPR.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Modulistica e Faq Garante Privacy

Sul sito del Garante della Privacy troviamo la modulistica per:

Per informazioni sull’assistenza gratuita per l’esercizio dei diritti e per presentare un reclamo al Garante scrivi a

info@ore9.com

Inoltre, sempre sul sito del Garante, troviamo un’aggiornata sezione con domande e risposte frequenti (faq).

NB I link ai file pdf presenti in questa pagina possono non essere aggiornati: si invita a consultare sempre il sito del Garante privacy per i file più recenti.

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

GDPR e agenti di commercio

Il GDPR riguarda tutte le imprese, i professionisti e i lavoratori autonomi, ma prevede obblighi e adempimenti diversi a seconda delle dimensioni aziendali, della tipologia dei dati trattati e del mondo in cui vengono diffusi.

Tendenzialmente l’agente di commercio non è fra le categorie maggiormente interessate dal cambiamento. In generale, i professionisti che lavorano autonomamente, o in uno studio professionale che comunque non tratta dati su larga scala, hanno obblighi ridotti. Ma comunque devono adeguarsi alle norme di fondo, che prevedono sempre un trattamento dei dato che tuteli la privacy. (continua)

Tratto da www.pmi.it, articolo scritto da Barbara Weisz

Superamento della Cookie-Law

Per tutti i siti internet che non usano esclusivamente cookie “tecnici” la cookie policy va aggiornata alla luce delle nuove disposizioni del Regolamento UE 679/2016.

La registrazione della scelta di un utente rispetto alla cookie policy presente su un sito web è un trattamento di dati eseguito dal Titolare del trattamento dei dati del sito stesso, in quanto tale scelta consente di rendere identificabile il soggetto che visita il sito.

La modalità di acquisizione della scelta dell’utente con metodi impliciti, come lo “scroll” della pagina del sito web, o anche tramite comportamenti “concludenti”, come la selezione con il mouse di una parte qualsiasi della pagina di un sito, non appare più consentita: serve un consenso esplicito.

Ciò è quanto emerge dal combinato disposto:

  1. dell’art. 7 del Regolamento, che al primo paragrafo recita: Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali; per poter dimostrare il consenso fornito per ciascuna finalità, dovrò tener traccia delle scelte attive dell’interessato;
  2. del Considerando 32: Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.

Il provvedimento del Garante Privacy dal titolo Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie – 8 maggio 2014 resta il testo di riferimento per tutte le parti non in contrasto, come il caso suesposto, con il Regolamento UE 679/2016.

Servirà implementare un pannello di scelta dei cookie, una piccola dashboard, sempre facilmente accessibile dall’utente per eventuali modifiche, con tutte le scelte di default “non autorizzate”: sarà l’interessato che, leggendo di quale cookie si tratta, selezionerà o meno le varie scelte, con uno schema chiaro che distingua i cookie necessari da quelli facoltativi.

Quindi, cosa deve avere un sito internet per essere adeguato?

  1. l’informativa sui Cookie, con pannello di scelta dei consensi
  2. l’informativa privacy, con tutti gli elementi previsti dal Regolamento, sempre con facoltà di dare/revocare i consensi

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Consulenza fiscale e patrimoniale