Scopri come proteggere il tuo lavoro da rischi e sanzioni
Ti sei mai chiesto perché è così importante conoscere il diritto della privacy?
Durante la mia esperienza professionale ho incontrato molti imprenditori che hanno sottovalutato l’importanza del diritto della privacy.
In molti casi ignorare le regole generali sulla protezione dei dati personali può causare rischi inutili e può esporre la tua attività a pericolose sanzioni.
In questa guida ti spiegherò quali sono i benefici che puoi ottenere rispettando le norme sul trattamento dei dati personali.
Non sto parlando di benefici astratti, ma di risultati concreti e misurabili.
In questo modo riuscirai proteggere la tua attività da rischi e sanzioni amministrative, e potrai migliorare la reputazione online della tua impresa.
Infatti rispettare le norme sulla privacy ti permetterà di qualificarti in modo più professionale nei confronti dei tuoi clienti e fornitori.
Molte aziende internazionali (come ad esempio la Apple) hanno deciso di puntare sulla protezione dei dati personali, non soltanto per uniformarsi alle norme di legge vigenti, ma anche per dimostrare di voler rispettare la riservatezza della propria clientela.
Iniziamo subito.
Privacy e web
Chi lavora utilizzando le piattaforme digitali ha dovuto fare i conti con l’adeguamento al GDPR (il regolamento europeo sulla protezione dei dati personali).
Eppure durante lo svolgimento delle consulenze ho notato che le idee su questi temi sono piuttosto confuse.
Molti imprenditori considerano il diritto della privacy come una materia che si applica soltanto nel caso in cui si possegga un sito web.
Facciamo un po’ di chiarezza.
Il diritto della privacy ed in particolare le norme contenute nel GDPR si rivolgono a tutti i cittadini dell’unione europea, a prescindere dal fatto che si possegga un sito web.
In altre parole: se svolgi la tua attività professionale o imprenditoriale senza un sito web, dovrai ugualmente rispettare le regole del GDPR e del codice della privacy.
Il sito web è uno strumento di business ed in molti casi ti aiuta a trovare nuovi clienti.
Se possiedi un sito web le attività da compiere saranno maggiori in proporzione alla tipologia di sito che gestisci e in base al numero di persone che visita il tuo sito (spesso definito come “traffico web”).
Nel caso in cui la tua attività lavorativa si svolge tramite l’utilizzo di un sito web, allora dovrai adeguare tutti gli asset della tua impresa (compreso il sito web) alle norme inderogabili contenute nel GDPR.
Dopo questa doverosa premessa, adesso veniamo alla successiva parte della guida.
Perché è così importante la privacy
Durante una ricerca su Google ho scoperto che questa domanda è diventata una delle parole chiave più utilizzate sul tema della privacy.
Ci alcuni motivi che rendono molto vantaggioso rispettare la normativa sulla protezione dei dati personali.
Non sto parlando della necessità di rispettare una legge.
Mi riferisco piuttosto ad alcuni vantaggi che puoi ottenere rispettando le norme del GDPR.
Infatti l’adeguamento alla normativa europea sulla protezione dei dati personali può incrementare le prestazioni professionali ed economiche della tua impresa.
Vediamo quali sono i principali benefici.
1) EVITI IL RISCHIO DI SANZIONI
Rispettare le norme contenute nel GDPR ti permetterà di non subire sanzioni.
Questo aspetto è sempre sottovalutato.
Moltissimi imprenditori credono che i controlli amministrativi sul diritto della privacy vengono eseguiti sulle società di grandi dimensioni.
Ma questa convinzione è totalmente errata e non corrisponde alla realtà dei fatti.
Non sai quante volte l’autorità di controllo (Garante della privacy) esegue delle ispezioni presso imprese di piccole e medie dimensioni.
Sai per quale motivo?
Perché il Garante della privacy delega le attività ispettive alla Guardia di finanza, che può concentrarsi sulle circoscrizioni territoriali di propria competenza.
Rispettare le norme sul diritto della privacy ti garantisce da qualsiasi rischio.
2) MIGLIORI LA TUA REPUTAZIONE
Rispettare le norme sul trattamento dei dati personali migliora la tua reputazione.
Ricordi lo scandalo di Cambridge Analytica?
Ti rinfresco la memoria.
Nel marzo del 2018, un ex dipendente della società “Cambridge Analytica”, di nome Christopher Wylie rivelò a tre testate giornalistiche inglesi le condotte illecite commesse dalla ex datrice di lavoro sulla raccolta dei dati degli utenti iscritti a Facebook.
Cambridge Analytica era una società di consulenza che raccolse in modo illecito i dati personali di milioni di utenti iscritti in Facebook per influenzare le campagne elettorali.
Lo scandalo fece il giro del modo e costrinse la stessa Cambridge Analytica a dichiarare bancarotta in data 2 maggio 2018.
Anche la società Facebook subì un grave danno economico dopo questa inchiesta giornalistica.
Mark Zuckerberg, amministratore delegato di Facebook, fu costretto a testimoniare davanti Congresso degli Stati Uniti per fare luce sulle politiche di trattamento dei dati seguiti dalla sua azienda.
Nel giro di pochi mesi il colosso americano di Facebook perse milioni di dollari in borsa generando numerose perdite per gli azionisti.
Un cataclisma senza precedenti.
Molti utenti decisero di abbandonare Facebook, per protestare contro le politiche di trattamento dei dati seguite dal colosso americano.
In quelle settimane il noto imprenditore Elon Musk decise di cancellare il proprio account Facebook come segno di protesta per quell’enorme scandalo.
Non c’è bisogno che aggiunga altre parole per spiegarti come il diritto della privacy può segnare la tua reputazione, soprattutto se operi online.
3) MIGLIORI I RAPPORTI CON I CLIENTI
I clienti amano essere trattati con rispetto.
Pensa quante volte ricevi delle telefonate aggressive da call center o da compagnie telefoniche.
Io personalmente sono diventato molto insofferente a queste attività commerciali.
Rispetto il lavoro di tutti, ma le tecniche di vendita aggressiva (tramite telefonate intrusive) con me non hanno alcun effetto.
Sono convinto che molte persone la pensano come me.
Rispettare le norme contenute nel GDPR ti permetterà di migliorare i rapporti con i tuoi clienti.
Le tue comunicazioni commerciali saranno ascoltate con maggiore attenzione, e le tue vendite si incrementeranno in modo etico.
Far crescere il proprio business rispettano i diritti dei tuoi potenziali clienti produrrà un vantaggio considerevole per la tua impresa.
Inoltre rispettare il diritto della privacy ti consentirà di comunicare le tue abilità in modo più professionale.
Dopo averti spiegato perché è importante conoscere le norme contenute nel GDPR, adesso voglio fornirti alcuni suggerimenti pratici per gestire la tua privacy e quella dei tuoi clienti in modo corretto.
Come proteggere la tua connessione internet
Dentro il tuo ufficio esiste sicuramente un modem o un router che utilizzi per connetterti ad internet.
Sebbene molti apparecchi in commercio svolgono entrambe le funzioni (quelle di modem e quelle di router) esistono delle differenze sostanziali che dovresti conoscere.
Partiamo con le definizioni generali.
Che cos’è un modem
Il modem, è un dispositivo informatico che svolge la funzione di ricetrasmettitore.
Il ricetrasmettitore è un apparecchio che svolge in modo simultaneo l’azione di trasmissione (di un dato) e l’azione di ricezione (di un dato).
La parola “modem” deriva dai termini “modulatore” o “demodulatore” e identifica l’apparecchio informatico che converte (modula) i segnali digitali in segnali analogici e viceversa (il segnale analogico viene convertito o modulato in segnale digitale).
Per spiegarti meglio il concetto il modem è un come un traduttore che consente a due soggetti che non parlano la stessa lingua (il pc e la linea telefonica) di scambiarsi i dati di navigazione alla rete di internet attraverso la sua azione di traduzione (modulazione).
Che cos’è un router
Un router, invece, è un dispositivo informatico che si occupa di dirigere i dati di navigazione ad una rete internet in diverse sottoreti.
Per spiegare meglio il concetto, il router esegue un “instradamento” dei dati di connessione, ovvero decide su quale porta di rete inviare una determinata informazione ricevuta.
L’azione dell’instradamento dei dati viene usata come metafora per spiegare la funzione primaria del router, ovvero quella di indirizzare i dati presenti su una rete internet.
Pertanto il “router” si comporta come un vigile o un postino, che smista il traffico o la posta indirizzandola nel posto giusto.
Il router viene anche definito come un “commutatore”, cioè un dispositivo che trasforma i dati ricevuti in un segnale e li invia verso la destinazione desiderata.
Quali differenze ci sono tra il modem e il router
Il modem è il dispositivo necessario se vuoi connetterti alla rete di internet.
Nella navigazione web, il tuo pc invia dei dati che devono essere tradotti in segnali elettromagnetici per viaggiare lungo la rete di comunicazione digitale.
Il modem traduce questi segnali (digitali e analogici) per farti navigare online.
Il router invece serve per gestire la trasmissione di dati in più sottoreti, così da rendere più semplice lo scambio di dati tra vari dispositivi tecnologici.
Se nel tuo ufficio o nella tua abitazione utilizzi un pc, un tablet e una stampante, il router può (tra le altre cose) aiutarti mantenere connessi questi dispositivi alla stessa rete.
Il router e la gestione dei dati
Come avrai compreso, il router è un dispositivo molto importante per la tua realtà produttiva o lavorativa.
Grazie al router i tuoi dati personali e quelli dei tuoi clienti possono essere scambiati da diversi apparecchi tecnologici.
La sottrazione di informazioni sensibili può avvenire attraverso un’intromissione alla tua rete locale, accedendo direttamente al tuo router.
Per questo motivo è molto importante che tu attivi il separatore privacy all’interno del tuo router, soprattutto nel tuo ufficio o studio professionale.
Vediamo come fare.
Dove trovare il separatore privacy del router
I migliori router in commercio permettono di effettuare un isolamento della rete wireless per proteggere maggiormente la privacy della tua impresa e custodire i tuoi dati in modo sicuro.
Questa funzione di isolamento è molto utilizzata nei centri commerciali, negli hotel, o nei luoghi pubblici in cui molte persone si connettono alla rete.
In questo modo qualsiasi dispositivo che si connette alla tua rete potrà solo accedere ad internet e non potrà comunicare con gli altri apparecchi collegati.
Perché è importante questa funzionalità
Negli ultimi anni sono drasticamente aumentati gli attacchi hacker tramite dispositivi tecnologici connessi alla rete di un ufficio.
Qualche anno fa, un nostro cliente (imprenditore nel settore del lusso) ha subito una manomissione e una cifratura del proprio archivio digitale.
Il virus è stato introdotto tramite una stampante connessa alla rete locale dell’ufficio.
Nel router aziendale non era stata attivata la funzione “separatore privacy” e pertanto l’intruso aveva sfruttato questa vulnerabilità della rete per accedere a centinaia di file privati.
Non c’è bisogno che ti spieghi quanto è importante conoscere questa informazione.
Quando più dispositivi si connettono ad una stessa rete informatica, ogni dispositivo viene considerato parte di quella rete e pertanto può comunicare con gli altri apparecchi collegati.
Questo è quello che è avvenuto con il nostro cliente.
Un soggetto terzo è riuscito ad accedere alla sua rete locale; la rete non era protetta con sistemi di sicurezza adeguati, e il malintenzionato ha potuto collegarsi con gli altri dispositivi della rete.
Questa situazione è molto pericolosa.
Di solito nelle reti locali dei centri commerciali o degli hotel, è possibile connettersi alla rete wi-fi libera.
In questo caso è sempre necessario attivare la funzione “separatore privacy”, per impedire che i dispositivi collegati alla tua rete possano comunicare tra loro.
Grazie a questa soluzione sarà più semplice “isolare” le eventuali minacce: se un dispositivo infetto si connette alla tua rete locale, non ci saranno rischi di infettare gli altri dispositivi connessi.
Anche nelle connessioni aziendali è utile attivare questa funzione.
Se qualche collaboratore esterno ti chiede di connettersi alla tua rete, ti conviene creare una rete criptata, isolata rispetto alla connessione che viene utilizzata da te e dal tuo team.
In questo modo i tuoi dati saranno al sicuro, e la tua connessione sarà protetta.
Preciso un punto importante: i tuoi collaboratori possono minacciare la sicurezza della tua rete.
E non perché abbiano intenzioni nascoste: ma semplicemente perché il loro dispositivo può essere infetto e può contagiare la tua rete.
Succede moltissime volte che dispositivi infetti vengano a contatto con altri dispositivi sani, senza che il proprietario ne abbia conoscenza.
La funzione “guest network”
Questa funzione è molto utile per proteggere la tua rete aziendale o domestica.
Prima di acquistare un router da usare in ufficio verifica che il dispositivo sia munito di questa opzione.
Ti spiego come funziona.
L’opzione “guest network” mette a disposizione del proprietario di un router due punti di accesso wi-fi separati e indipendenti.
Il primo punto di accesso, anche definito come “primario”, può essere utilizzato da te e dai tuoi collaboratori dell’ufficio.
Il secondo punto di accesso, anche definito “guest” (ovvero riservato agli ospiti), è isolato dal punto di accesso primario e non consente la comunicazione tra i dispositivi connessi alle due reti.
La rete “guest” può subire delle restrizioni nell’accesso alla rete, secondo le modalità del proprietario del router.
Ti fornisco un esempio concreto.
Se il tuo ufficio è frequentato da clienti o collaboratori esterni che chiedono di connettersi alla tua rete aziendale, potresti creare una rete “guest” e limitare l’accesso in determinati orari.
In questo modo i tuoi collaboratori potranno accedere alla tua rete soltanto negli orari che avrai concordato.
La funzione “isolamento wireless”
Questa opzione consente invece di isolare tutti i dispositivi connessi alla tua rete aziendale, impedendo la comunicazione tra gli utenti abilitati.
Per abilitare queste opzioni dovrai accedere all’interfaccia web del tuo router e cliccare sulla voce delle impostazioni (il pannello di controllo può essere differente in base alla marca del router).
In questo modo riuscirai a proteggere meglio i tuoi dati aziendali e impedirai l’intrusione di soggetti esterni che possono violare la tua privacy.
Il firewall
Una delle misure di sicurezza più efficaci per proteggere la tua rete è quella di usare un “firewall“.
Il “firewall” (la cui traduzione letterale è “muro tagliafuoco”) è un software che genera una difesa perimetrale di una rete informatica e fornisce una protezione dall’accesso indesiderato di soggetti esterni.
In origine il firewall svolgeva funzioni di “protezione passiva”, ovvero impediva l’accesso alla rete informativa da parte di soggetti non autorizzati.
Al giorno d’oggi il firewall può svolgere anche la funzione di “protezione attiva”, agevolando il collegamento tra più segmenti di rete.
Grazie alla presenza del firewall la rete viene divisa di due sottoreti e precisamente:
- La rete esterna, definita “WAN” (Wide Area Network) che comprende la connessione ad internet;
- La rete interna, definita “LAN” (Local Area Network) che comprende un insieme di dispositivi locali (host).
In alcuni casi può essere creata un’ulteriore sottorete definita “DMZ” (rete demilitarizzata), con lo scopo di ospitare quei sistemi che devono essere separati dalla rete interna, ma che richiedono comunque una protezione da firewall, in quanto possono essere raggiunti da utenti esterni (nel caso dei server pubblici).
DISCLAIMER
Alcune informazioni contenute in questo paragrafo potrebbero essere inadeguate per alcune imprese.
1) L’inserimento del flag di isolamento potrebbe rendere inutilizzabili alcuni device (come stampanti wireless, tv, nas, etc..).
In questo caso è necessario contattare un professionista IT che ti suggerisca come risolvere il problema.
Per le reti SOHO (small office home office) l’opzione “isolamento wireless” potrebbe rivelarsi poco utile ed in certi casi controproducente.
2) La protezione dei tuoi dati non dipende solo dalle impostazioni del tuo modem o router.
Per rendere sicura la tua rete aziendale avresti bisogno di un firewall, sia attivo che passivo, che possa controllare gli accessi alle tue risorse.
Privacy: quando è necessario il consenso
Uno dei quesiti più frequenti sul settore della privacy è quello che riguarda il consenso.
Con l’introduzione del GDPR (il regolamento europeo) le attività da compiere per la protezione dei dati personali si sono moltiplicate.
Te ne elenco solo alcune:
• adeguamento delle proprie policy;
• nomina di un DPO;
• ottimizzazione di tutti i processi aziendali nella gestione di dati personali.
Quando un provvedimento normativo è così corposo, il rischio concreto è quello di “overload”, cioè di sovraccaricare il nostro cervello con tantissime nozioni.
In questo modo è facile perdere il focus sulle attività più importanti.
Quando regna la confusione bisogna semplificare e concentrarsi sui fondamentali.
Il consenso è uno dei pilastri del GDPR e costituisce l’elemento centrale delle tue attività di trattamento dei dati.
All’interno della tua impresa, il consenso deve essere la bussola che orienta tutte le politiche di privacy.
Per questo motivo ho deciso di creare questa guida pratica per spiegarti quando è necessario chiedere il consenso in tema di privacy.
Facciamo una piccola premessa.
Che cosa si intende per consenso
Il termine “consenso” viene utilizzato nel diritto della privacy per definire la modalità con il quale un soggetto acquista la possibilità di trattare i dati personali di un utente o di un cliente.
In sostanza, se svolgi attività imprenditoriali e hai bisogno di utilizzare i dati di contatto di una persona interessata ai tuoi prodotti o servizi, devi acquisirne il consenso.
Il consenso pertanto è la base giuridica per il trattamento dei dati.
La base giuridica non è altro che il presupposto fondamentale che autorizza un soggetto ad utilizzare i dati personali di un altro individuo.
Se un dato viene trattato senza base giuridica (cioè senza autorizzazione legale), l’azione compiuta risulterà illecita e sanzionabile.
Il consenso nel GDPR
L’articolo 7 del GDPR spiega quali sono le condizioni generali per acquisire il consenso degli utenti.
Per prima cosa, nel caso in cui tu stia trattando un dato personale di un cliente sulla base del consenso, devi essere in grado di dimostrare che l’interessato ti ha autorizzato.
Tieni a mente questo obbligo quando svolgi campagne di marketing e raccogli i dati di contatto di molte persone.
La tua richiesta per ottenere il consenso deve essere espressa utilizzando un linguaggio semplice e chiaro.
Può sembrare una precisazione banale ma non lo è.
Fin troppe volte il consenso dell’interessato viene “estorto” con frasi complesse e difficili da comprendere.
Ricorda inoltre che l’interessato può revocare il proprio consenso in qualsiasi momento.
Questo significa che dovrai consentire all’interessato di esercitare il diritto di revocare la sua disponibilità al trattamento dei dati, rispettando la sua volontà.
Per rispettare questo obbligo di legge ricorda che la tua informativa privacy deve informare l’utente sulla possibilità di revoca del consenso.
Molto spesso alcune imprese o siti web non rispettano questo obbligo giuridico, continuando a trattare i dati del cliente anche dopo la revoca del consenso.
Dopo questa necessaria premessa ti illustro i 4 casi principali in cui è necessario il consenso dell’interessato.
1) Iscrizione alla newsletter
Se gestisci un sito web e cerchi di raccogliere l’indirizzo email dei tuoi visitatori hai bisogno del loro consenso.
Questa attività viene definita come “lead generation”, ovvero generazione di potenziali clienti.
Il “lead”, infatti, è una persona che ha manifestato un interesse per i tuoi prodotti o servizi e potrebbe diventare un cliente.
La “lead generation” è una strategia di marketing molto utile che ti aiuta a costruire un database di potenziali clienti, a cui sarà più facile vendere il tuo lavoro.
In genere è molto utile raccogliere i dati di contatto (come l’indirizzo email) di una persona che potrebbe acquistare dalla tua impresa.
Tuttavia, sino alla data odierna, nonostante l’entrata in vigore del GDPR, troppi siti web effettuano campagne di “lead generation” (raccolta di contatti), senza acquisire il consenso dell’interessato.
Per abitudine (e deformazione professionale), quando navigo su un sito web, controllo sempre i moduli di contatto con cui ci si può iscrivere alla newsletter.
Non è sufficiente spiegare dove si trova il link della tua informativa privacy: è necessario richiedere all’utente di manifestare il consenso all’iscrizione nella tua mailing list.
Inoltre, come già ti ho spiegato prima, è necessario che tu possa dimostrare che l’interessato si è iscritto in modo volontario.
Se dovessi ricevere un’ispezione da parte dell’autorità di controllo (il Garante della privacy) devi poter dimostrare come hai acquisito il consenso.
2) Iscrizione ad un bot
Allo stesso modo, nel caso in cui la tua impresa utilizzi un “bot” sulla piattaforma “Messenger”, dovrai acquisire il consenso degli utenti prima di utilizzare i loro dati di contatto.
Come saprai, Messenger è l’applicazione di messaggistica istantanea di proprietà di Facebook.
Se sei registrato su Facebook, puoi inviare messaggi privati agli altri utenti della piattaforma tramite Messenger.
Negli ultimi anni, molte imprese sfruttano il canale Messenger della propria pagina aziendale per incrementare le vendite ed inviare messaggi periodici agli utenti interessati ai propri prodotti o servizi.
Per automatizzare questo processo, Facebook consente di collegare al proprio account Messanger un programma di intelligenza artificiale (il bot appunto) che fornisce risposte agli utenti in modo automatico.
In questo modo è possibile mantenere un contatto costante con i propri clienti o con i potenziali clienti per agevolare le future vendite.
Il bot collegato al tuo account Messenger è generato da un software esterno che, in alcuni casi, può registrare e salvare i dati personali degli utenti.
In sostanza il software che gestisce il bot (e che è collegato al tuo account Messenger) può acquisire i dati personali che l’utente ha inserito su Facebook.
Spesso però accade che i dati, inseriti volontariamente dall’utente su Facebook, vengano custoditi su una piattaforma esterna (il software che consente il funzionamento del bot), senza che l’utente ne sia informato.
Se hai deciso di utilizzare un bot per la tua attività imprenditoriale, prima di utilizzare i dati degli utenti, dovrai acquisire il consenso al trattamento.
Questo significa che, prima di avviare il “flusso conversazionale” (tra il bot e l’utente), dovrai seguire queste regole:
a) l’utente che interagisce con il tuo bot deve essere informato che i suoi dati (es. nome, cognome, email, etc.) saranno utilizzati per finalità di marketing;
b) l’utente deve avere la possibilità di manifestare o negare il consenso al trattamento dei suoi dati (es. nome, cognome, email, etc.).
Se vuoi approfondire questo tema ti consiglio di guardare il video qui sotto.
Si tratta di un’intervista che ho concesso a Luciano Zambito, consulente nella creazione di bot (uno dei migliori esperti in Italia) e founder di Chatbot Marketing (marchio specializzato in questa attività).
Ricorda che i chatbot possono essere utilizzati anche su delle pagine web senza l’utilizzo di un account Messenger.
Nel caso in cui tu stia utilizzando un “chatbot web” per la tua attività, le regole che dovrai seguire sono le stesse che ho descritto in questo paragrafo.
Prima di avviare il “flusso conversazionale” (ovvero la sequenza automatica di domande e risposte generate automaticamente dal software che gestisce il bot) dovrai acquisire il consenso preventivo dell’utente che usa il chatbot.
3) Invio di comunicazioni commerciali
Se desideri inviare delle comunicazioni commerciali ai tuoi potenziali clienti, tramite email o messaggi in chat, devi acquisire il consenso preventivo.
Negli ultimi anni siamo così abituati a ricevere offerte commerciali sui nostri software (email e chat) e sui nostri dispositivi tecnologici, che ci siamo abituati a subire comportamenti contrari alla legge.
Ti è mai successo di ricevere messaggi commerciali da aziende che non avevi mai sentito prima?
Forse ti sei iscritto alla loro lista email e non lo ricordi.
Ma in alcuni casi il motivo per il quale ricevi queste offerte è differente e totalmente illegale: i tuoi dati sono stati ceduti ad altra società senza che tu sia stato informato.
Non sai quante volte succede.
Lascia che te lo ricordi: inviare email a persone che non hanno prestato il loro consenso al trattamento è un grave illecito civile che comporta sanzioni pecuniarie molto elevate.
Non farti convincere da alcune strategie di marketing attuate da alcune aziende.
Senza consenso dell’interessato non ti è consentito inviare comunicazioni commerciali.
Esiste però un’eccezione.
Il nostro Codice Privacy (art. 130, comma 4, del Decreto legislativo n. 196/2003) consente l’invio di comunicazioni commerciali ai tuoi clienti via email (il cd. “soft spam“) senza il consenso dell’interessato.
Tuttavia per applicare correttamente la tecnica del “soft spam” è necessario rispettare alcune condizioni fondamentali (te ne parlerò in modo più approfondito in un’altra guida).
4) In caso di trattamento automatizzato
Tutte le volte che utilizzi dei software che trattano in modo automatico i dati degli utenti, devi acquisire il consenso.
Il trattamento automatico consiste nello svolgimento di specifiche azioni che non richiedono l’intervento umano.
Ti fornisco un esempio concreto.
Se decidi di inviare una semplice email ad un tuo conoscente, stai utilizzando un suo dato di contatto (email) in modo personale e senza il coinvolgimento di un software automatico.
Se invece decidi di inviare la stessa email tramite un “mailer” (spesso anche definito “autoresponder”), stai utilizzando il dato di contatto di un utente in modo automatico, senza il tuo coinvolgimento diretto.
In caso di trattamento automatizzato è sempre necessario acquisire il consenso preventivo dell’interessato.
Lo dice chiaramente il GDPR.
Inoltre l’articolo 15 (lettera h) del GDPR stabilisce che l’utente deve essere necessariamente informato dell’esistenza di un processo decisionale automatizzato che utilizza i suoi dati.
Esistono molti altri casi in cui è necessario acquisire il consenso dell’utente per il trattamento dei suoi dati.
A prescindere dal caso concreto in cui ti trovi, ti consiglio di seguire queste regole per proteggere la tua attività imprenditoriale.
Violare le norme sulla privacy comporta gravi sanzioni economiche.
Ricorda che il consenso è l’elemento centrale del GDPR e rappresenta il presupposto per lo svolgimento delle tue attività di trattamento.
Adesso vediamo quando non è necessario acquisire il consenso dell’interessato per l’invio di comunicazioni commerciali.
Privacy: quando NON è necessario il consenso
Allo stesso modo esistono alcuni casi nei quali NON è necessario ottenere il consenso dell’interessato.
Su questo argomento ti consiglio di prestare la massima attenzione.
Infatti, nonostante il GDPR sia entrato in vigore il 25 maggio 2018, è facile trovare in rete delle informazioni sbagliate, che rischiano di farti commettere dei gravi errori in tema di trattamento dei dati personali.
Con grande sorpresa ho constatato che nella prima pagina di Google ci sono degli articoli che contengono errori significativi sui casi in cui non è necessario il consenso.
Allo stesso tempo su molti social network alcuni professionisti condividono informazioni imprecise senza preoccuparsi di eseguire una corretta ricostruzione delle fonti normative attualmente in vigore.
In questo paragrafo ti spiegherò quando NON è necessario chiedere il consenso dell’interessato per il trattamento dei dati.
Ma andiamo con ordine.
Prima del GDPR
Prima dell’entrata in vigore del GDPR, nel nostro ordinamento giuridico la fonte normativa più importante sulla protezione dei dati personali era il “Codice della privacy” (Decreto Legislativo n. 196/2003).
Nella vecchia versione del “Codice della privacy” l’articolo 24 stabiliva in quali casi non era necessario ottenere il consenso dell’interessato.
In base alle norme contenute nell’articolo 24 potevamo distinguere 5 casi, e precisamente quando il trattamento:
1) era necessario per adempiere ad un obbligo previsto dalla legge;
2) era necessario per eseguire obblighi derivanti da un contratto;
3) riguardava dati provenienti da pubblici registri;
4) riguarda dati relativi allo svolgimento di attività economiche;
5) era necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo.
Le norme contenute nell’articolo 24 del “Codice della privacy” indicavano tutti i casi in cui non era necessario ottenere il consenso dell’interessato.
Dopo il GDPR
Tuttavia, dopo l’entrata in vigore del GDPR (25 maggio 2018), le indicazioni contenute nell’articolo 24 del Codice della privacy si ponevano in contrasto con i nuovi principi europei sul trattamento dei dati personali.
Così, in data 10 agosto 2018, il nostro legislatore ha modificato il Codice della Privacy (tramite il decreto legislativo n. 101/2018) abrogando definitivamente l’articolo 24 e tante altre norme contenute nel testo normativo (sono stati abrogati gli articoli che vanno dal 3 al 45).
Pertanto, alla data odierna, per capire in quali casi non è necessario ottenere il consenso dell’interessato dovremo analizzare le norme contenute nel GDPR.
Questo è il motivo per il quale la maggior parte delle guide che trovi in rete contiene indicazioni sbagliate su questo tema.
Infatti molti articoli citano ancora una norma giuridica (l’articolo 24 del Codice della privacy) che è stata abrogata.
Privacy: quando non serve il consenso
Dopo questa necessaria premessa, adesso vediamo qual è la fonte normativa alla quale dobbiamo rivolgerci per capire quando non serve il consenso degli interessati.
Nel GDPR non esiste un articolo simile all’articolo 24 (ormai abrogato) del Codice della Privacy.
Per questo motivo per individuare i casi in cui non è necessario ottenere il consenso dell’interessato dovremo leggere le norme contenute nel GDPR in modo sistematico.
Questo significa che per comprendere quando non serve il consenso è opportuno analizzare diverse articoli contenuti nel GDPR e spostare la nostra attenzione su un tema leggermente differente.
La liceità del trattamento
Per capire in quali casi non è necessario il consenso dell’interessato dovrai soffermarti sul concetto di “liceità del trattamento” (disciplinato dall’articolo 6 del GDPR).
In altre parole, se non esiste un’altra norma simile all’articolo 24 del Codice della Privacy (articolo ormai abrogato) dovremo accertare in quali casi il trattamento viene considerato lecito anche in assenza del consenso dell’interessato.
Pertanto se non ottieni il consenso dell’interessato, le tue attività di trattamento dei dati saranno considerate lecite nei casi previsti dall’articolo 6 del GDPR.
Vediamo adesso quali sono i casi citati dall’articolo 6 del GDPR.
I casi citati dell’articolo 6 del GDPR
Il trattamento dei dati si considera lecito (anche senza il consenso dell’interessato) nei seguenti casi.
1) Il trattamento è necessario per l’esecuzione di un contratto in cui l’interessato è una parte contrattuale.
Se il tuo cliente sottoscrive un contratto di consulenza con la tua impresa, allora potrai utilizzare i suoi dati per eseguire il contratto, anche se il cliente non ha prestato il consenso espresso al trattamento dei dati.
Tuttavia quasi tutti i contratti prevedono una clausola che indica che i dati dei contraenti possono essere trattati per espletare le obbligazioni sorte tra le parti (è raro trovare un contratto che non contenga questo genere di clausola).
2) Il trattamento è necessario per rispettare un obbligo legale che grava sul titolare del trattamento.
Se una determinata legge ti obbliga ad usare i dati personali dei tuoi clienti, il trattamento sarà considerato lecito anche se il cliente non ha prestato il consenso in modo espresso.
3) Il trattamento è necessario per salvaguardare gli interessi vitali dell’interessato.
Se un tuo cliente si trova in una situazione di pericolo, che pregiudica la salvaguardia dei suoi interessi vitali, potrai trattare i suoi dati; in questo caso il trattamento sarà considerato lecito anche se il cliente non ha prestato il consenso espresso.
4) Il trattamento è necessario per eseguire un compito di interesse pubblico.
Se stai trattando i dati di un tuo cliente, nell’esercizio di un pubblico potere, allora il trattamento sarà considerato lecito anche se il cliente non ha prestato il consenso in modo espresso.
5) Il trattamento è necessario per perseguire il legittimo interesse del titolare del trattamento (a condizione che non vengano danneggiati gli interessi, i diritti e le libertà fondamentali dell’interessato).
Se stai trattando i dati dei tuoi clienti per perseguire un “legittimo interesse” allora non sarà necessario ottenere il consenso preventivo dell’interessato (soltanto nel caso in cui siano presenti alcune condizioni).
Per rendere più semplice questo paragrafo puoi consultare l’infografica qui sotto che riassume i casi in cui non è necessario ottenere il consenso preventivo dell’utente.
Il tema del “legittimo interesse” è molto importante e merita un approfondimento maggiore.
Il trattamento lecito per perseguire il legittimo interesse del titolare del trattamento
Se devi perseguire un legittimo interesse per la tua attività imprenditoriale, potrai trattare i dati personali del tuo cliente anche se quest’ultimo non ha prestato il consenso al trattamento.
Tuttavia esiste un limite a tale attività di trattamento: la tua azione non deve pregiudicare o danneggiare gli interessi, i diritti o le libertà fondamentali del tuo cliente.
In quest’ultimo caso la norma si espone a diverse interpretazioni, visto che nel GDPR non viene specificato in modo preciso cosa si debba intendere per “legittimo interesse”.
Tuttavia possiamo ottenere maggiori chiarimenti sul concetto di “legittimo interesse” leggendo il “considerando numero 47” del GDPR dove si afferma che:
“I legittimi interessi di un titolare del trattamento … possono costituire una base giuridica del trattamento. […] Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Ti ricordo che i “considerando”, pur non essendo degli articoli del regolamento europeo, forniscono delle indicazioni fondamentali che aiutano a capire meglio il testo del GDPR.
Infatti i “considerando” spiegano in modo conciso le norme essenziali di un provvedimento legislativo europeo, fornendo una motivazione più completa del testo, senza riprodurre e senza parafrasare le parole utilizzate.
I “considerando” (che sono presenti in molti regolamenti europei) non contengono affermazioni di carattere normativo, ma spesso sono necessari per completare il significato di alcune norme giuridiche.
Come verificare se il trattamento è lecito
Il GDPR ci spiega come verificare se il trattamento è lecito quando non hai acquisito il consenso del tuo cliente.
Se il trattamento dei dati non si fonda sul consenso dell’interessato, o non è bastato su un atto legislativo dell’Unione, per verificare se il trattamento è lecito dovrai valutare:
• se la tua attività di trattamento è compatibile con la finalità di trattamento che ti ha permesso di acquisire i dati;
• il contesto in cui hai raccolto i dati personali del cliente;
• la tipologia dei dati raccolti (distinguendo se si tratta di dati personali o categorie particolari di dati – come le informazioni su condanne penali);
• se esistono misure di sicurezza che proteggono i dati personali dei tuoi clienti (come la cifratura o la pseudonimizzazione).
Conclusione
Per proteggere la tua attività da rischi e da possibili manomissioni utilizza strumenti tecnologici aggiornati che siano in grado di evitare attacchi esterni.
Conoscere le funzioni principali del tuo modem/router ti aiuterà a prevenire possibili problemi informatici.
Ma la tecnologia non è l’unico aspetto fondamentale da adeguare per rispettare le norme europee sulla protezione dei dati.
Ti consiglio di progettare le tue attività di trattamento sui principi del GDPR che disciplinano il consenso.
Come vedi le nuove modifiche introdotte dal regolamento europee hanno parzialmente modificato il quadro normativo che era contenuto nel Codice della privacy.
I casi in cui il consenso dell’interessato non è necessario possono essere ricavati da una lettura organica e complessiva del GDPR.
Tuttavia alcuni termini usati nel regolamento europeo non ci permettono di definire in modo preciso tutti i casi in cui il consenso dell’interessato non serve.
Alla luce di queste “incongruenze”, ti consiglio di valutare con attenzione se effettuare un trattamento di dati senza aver acquisito il consenso dell’interessato.
Leggi il riepilogo della guida cliccando sull’infografica qui sotto
Privacy: consigli legal e tech per la tua attività
La Legal Community
Grazie per essere arrivato fino a qui.
Prima di terminare ho un ultimo suggerimento per te.
Sai qual è il miglior modo per proteggere il tuo lavoro?
Accrescere le tue competenze legali.
Puoi raggiungere questo risultato grazie alla nostra community di supporto legale.
Ti spiego meglio di cosa si tratta.
Abbiamo creato una community segreta su Facebook che offre suggerimenti e consigli legali a imprenditori e professionisti.
Dentro il gruppo troverai molte guide (in formato pdf) e video che ti spiegheranno come rendere più sicuro il tuo business.
Inoltre all’interno della community potrai rivolgerci tutte le domande che vorrai sui temi più importanti per la tua attività.
L’accesso alla community è gratuito.
Per accedere alla community clicca qui ➜ COMMUNITY.
Hai bisogno di un chiarimento?
© riproduzione riservata
Tino Crisafulli ➜ avvocato e Founder di RecuperoLegale.it
Consulenze per il tuo business • Recupero crediti • Contratti • GDPR
Contattami su Linkedin
