Consenso privacy e GDPR .Quali problemi devono affrontare le attività commerciali per ottenere il consenso privacy e garantire il rispetto del regolamento europeo GDPR quando raccolgono i dati personali dei clienti? La situazione più comune è dove ottenere i dati per l’emissione di una fattura, per fornire servizi informativi, per poter svolgere attività di marketing e di comunicazione come l’invio di una newsletter o l’informazione di sconti e offerte.

Analisi del rischio

Il regolamento GDPR scatta solo se sono coinvolti dati personali che identificano la persona, associando a nome e cognome, altre informazioni come email personale, telefono, indirizzo. Questi dati non richiedono particolari analisi di rischio a differenza di dati di tipo sanitario e biometrico o credenziali di accesso e informazioni su carte di credito. Rischi diversi sono associati a dati reperibili pubblicamente, in rete o su un elenco telefonico, rispetto a dati di tipo sanitario o sull’orientamento sessuale. Ricordiamo anche che l’analisi del rischio non va fatta sul singolo dato ma sull’insieme delle informazioni e delle loro relazioni.

 

Consenso privacy e informativa

In ogni caso, per conservare e utilizzare i dati per scopi diversi da quelli di legge (ad esempio l’emissione di una fattura) è necessario raccogliere il consenso, a fronte di un’informativa chiara che dovrà essere sottoposta al cliente. L’informativa scritta, in formato cartaceo o elettronico, a seconda delle modalità di raccolta, dovrà contenere le seguenti informazioni:

  • il nome o la denominazione del titolare del trattamento e i suoi dati di contatto;
  • le finalità del trattamento;
  • la base giuridica del trattamento;
  • eventuali destinatari esterni come, ad esempio, commercialisti, altri consulenti esterni, società di servizi informatici;
  • il periodo di conservazione.

Nel caso in cui venga chiesto il consenso vanno precisati i diritti dell’interessato come il diritto di accesso, rettifica, cancellazione, limitazione del trattamento, diritto alla portabilità dei dati, oltre alla possibilità di revoca del consenso in ogni momento e senza costi.

 

Responsabilità e registro trattamenti

Il titolare deve documentare gli adempimenti per garantire il rispetto dei principi, indicati nell’articolo 5 del GDPR, che garantiscono la protezione dei dati. Per documentare le attività è necessario predisporre il registro dei trattamenti a meno che l’attività commerciale non tratti i dati solo in maniera occasionale e non abbia nessun dipendente. Sono invece tenute ad avere il registro dei trattamenti le attività commerciali con almeno un dipendente (bar, ristoranti, negozi, piccola distribuzione…) e/o che  trattino dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori…). Il registro dei trattamenti, in formato elettronico, può limitarsi ad un foglio di calcolo che contenga i dati indispensabili indicati dall’articolo 30 GDPR (https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento). Il titolare  (o il responsabile del trattamento, interno o esterno da lui designato) deve essere in grado di garantire la sicurezza dei dati a lui affidati e riconoscere eventuali le violazioni, che devono essere comunicate al Garante della privacy e all’interessato, solo nel caso in cui la violazione comporti rischi gravi, evento piuttosto raro nel caso di piccole attività commerciali.

Soluzioni per garantire la conformità a privacy e GDPR Quanto fin qui indicato potrebbe sembrare piuttosto complesso e fuori dalla portata di una piccola attività commerciale. Va però ricordato che sul mercato sono disponibili servizi per consigli legali, strumenti per gestire il registro trattamenti, soluzioni in cloud per verificare il livello di adeguatezza del proprio sistema di raccolta e conservazione dei dati personali al regolamento GDPR, mettono in luce le eventuali criticità da superare e le azioni correttive sul piano organizzativo e tecnologico. Infine, per rendere consapevoli le persone, sia quelle a contatto con i clienti che eventualmente provvedono anche alla raccolta dei dati, sia quelle che svolgono attività amministrative che hanno a che fare con i dati, ci si può avvalere di semplici attività di formazione online.

<![endif]-->pmi-sicurezza-informatica