GDPR e Consenso privacy . Molte attività commerciali sono preoccupate per l’avvento del GDPR (Regolamento europeo sulla Protezione dei Dati Personali) e per la necessità di ottenere il consenso privacy per i dati dei clienti: ancora non sanno come adeguarsi né quali siano i rischi e le sanzioni in caso contrario. È dunque utile capire, innanzi tutto, quali informazioni siano sottoposte al GDPR.

I dati personali tutelati dal GDPR e la necessità del consenso privacy

GDPR e consenso Privacy. Partiamo dalla definizione ufficiale fornita Garante per la protezione dei dati personali (in-materia-di-protezione-dei-dati-personali) che ha il compito del controllo dell’applicazione del GDPR e delle eventuali sanzioni.  “I dati personali sono tutte le informazioni relative a una persona vivente identificata o identificabile”, come per esempio i dati anagrafici, il codice fiscale o della carta di identità, l’email personale (non quella generica aziendale). Il GDPR non si occupa invece dei dati relativi ai rapporti fra aziende (dati impersonali) né dei dati resi anonimi in modo irreversibile, come per esempio per fini statistici o analisi dei comportamenti. L’attività commerciale dovrebbe essere consapevole che alcuni dati personali, necessari ad esempio per un contratto o una fattura e che vanno mantenuti per legge, non possono essere utilizzati per finalità diverse, come attività di marketing via sms o email, senza uno specifico consenso. Anche i dati finalizzati al rilascio di tessere per la raccolta punti non consentono l’invio di materiale promozionale senza il consenso del cliente, come ha stabilito un recente provvedimento del Garante. In ogni caso il GDPR esenta le attività più piccole da una serie di obblighi come il registro dei trattamenti, la valutazione di impatto e la nomina del Data Protection Officer (DPO). Fanno eccezione attività commerciali e artigianali che trattino dati sanitari dei clienti, come ad esempio ottici, parrucchieri, estetisti, odontotecnici.

I primi passi per essere conformi a GDPR e privacy

Il Titolare del trattamento dei dati (in una piccola attività commerciale generalmente il proprietario o l’amministratore) avrà la responsabilità di ottenere dall’interessato il consenso e dovrà essere in grado di dimostrarlo. La raccolta dei dati personali, effettuata in modo manuale o automatico e che il responsabile può delegare a un soggetto interno o esterno (definito da GDPR Responsabile del trattamento dei dati), dovrà prevedere uno strumento per il consenso privacy a fronte di un’informativa, preferibilmente scritta e in formato elettronico, chiara, concisa e trasparente. Regole analoghe si applicano nel caso in cui l’attività commerciale disponga di un sito web o di e-commerce che utilizzino i cookie, strumenti software in grado di identificare gli utenti, per analizzarne il comportamento di navigazione, effettuare analisi, proporre pubblicità. I dati, una volta raccolti, dovranno essere archiviati in modo da garantirne la sicurezza e la possibilità di accesso per eventuali variazioni e per la cancellazione. I GDPR prevede infatti che il cliente possa in qualunque momento modificare il consenso dato e il diritto all’oblio, dunque la cancellazione dei propri dati.

Adeguarsi è importante per evitare sanzioni

L’attività commerciale è bene sia consapevole di doversi mettere in regola quanto prima rispetto a quanto stabilito da GDPR, operativo dal 25 maggio 2018, ma anche del fatto che si trova in buona compagnia nel ritardo. Secondo l’Osservatorio Information Security & Privacy 2019 del Politecnico di Milano, nei primi mesi dell’anno solo un’impresa su 4 aveva completato il percorso di adeguamento, mentre poco meno del 60% delle imprese aveva progetti strutturati in corso. In ogni caso l’Autorità Garante ha in più occasioni confermato che ci sarà una certa tolleranza per i ritardi, soprattutto per le attività più piccole, visto che il regolamento è entrato in vigore da poco, e per gli errori fatti purché non per dolo.   pmi-sicurezza-informatica