Il GDPR, regolamento generale sulla protezione dei dati, entrato in vigore in tutta Europa lo scorso 24 maggio, detta vincoli ben precisi sulle metodologie con le quali una azienda può gestire dati personali, la tipologia di aziende alle quali può trasferire o far gestire tali dati e la tipologia di contrattualizzazione che deve legare un Titolare (l'azienda/professionista) quando si avvale di un Responsabile (fornitore) per trattare dati personali.
Ma la mia azienda fa B2B e quindi non tratta dati personali
Probabilmente falso. Vediamo la definizione di Dato personale fornita dal GDPR:
Articolo 4 - Definizioni
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
L'interpretazione condivisa è che se parlate o scrivete ad una persona fisica, anche nell'ambito del suo ruolo aziendale, state trattando i suoi dati. Quindi l'indirizzo email nome.cognome@azienda.com ricade nella definizione di dato personale, come anche solamente nome@azienda.com. Probabilmente non è dato personale info@azienda.com ma potrebbe assolutamente esserlo info@nomecognome.com. La definizione parla anche solo di "identificativo online" e quindi anche solo uno username di fantasia ma riconducibile ad una persona fisica diventa dato personale esso stesso. Risulta così quasi impossibile assicurarsi che anche solo in un rapporto cliente fornitore B2B non siano in ballo dati personali, e quindi è bene organizzarsi per rispettare i requisiti che il GDPR impone a chi gestisce dati personali.
Ma io non uso il computer e/o non trasferisco dati a nessuno
Per "trattamento" il GDPR intende qualunque trattamento non necessariamente informatizzato. Nel momento in cui spedite un pacco all'attenzione di una determinata persona state trattando un suo dato personale. La rubrica del vostro telefono con i nomi dei vostri contatti lavorativi, inclusivi di Nomi (e Cognomi, spesso), è un insieme di dati personali.
E siete così sicuri di non trasferire quei dati a nessuno?
La vostra consulente del lavoro tratta i dati dei vostri dipendenti e siete voi che trasferite questi dati e che ne avete responsabilità. Il vostro commercialista spesso potrà venire in contatto non solo con i vostri dati (dei quali lui diventa Titolare) ma anche con quelli dei vostri clienti (dei quali necessariamente dovrà diventare Responsabile).
E siete sicuri che non vengano trasferiti all'estero?
Se la vostra rubrica è sul vostro telefonino Android o iPhone, con ogni probabilità la rubrica sarà sincronizzata nel cloud, sui server di Apple o di Google: sapete dove tengono copia di questi dati queste due aziende e come li trattano?
Quindi, cosa bisogna fare?
Ogni volta che affidate dati personali di cui siete titolari (come la rubrica dei vostri clienti) ad un fornitore, dovete assicurarvi che il fornitore rispetti determinati requisiti e che il contratto che vi lega tuteli i dati in accordo con il GDPR.
Per fornitori "fisici" come il consulente del lavoro piuttosto che il commercialista o l'associazione di categoria a cui vi rivolgete, in genere si firma una "Nomina a Responsabile del Trattamento dei Dati" in cui voi nominate il vostro fornitore elencando tutti i vincoli e le regole del trattamento previste dal GDPR e il vostro fornitore accetta tale nomina diventando così Responsabile del trattamento dei dati di cui voi siete Titolari.
ATTENZIONE: non si tratta "solo" di una privacy policy, perchè non riguarda il trattamento di dati vostri ma riguarda il trattamento di dati di terzi di cui voi siete titolari del trattamento (i dati devi vostri clienti, fornitori, contatti).
Nel caso di fornitori online (ad esempio se usate un software di fatturazione, oppure uno strumento di invio newsletter, oppure un CRM online, oppure altri servizi in Cloud) è sempre vostra responsabilità assicurarvi che il fornitore sia adeguato a diventare Responsabile del trattamento dei dati e che esista un contratto che vi lega e che fornisce le clausole previste. In particolare partite verificando:
1) Che l'azienda sia in Europa e che tenga i dati sul territorio europeo o, alternativamente, che fornisca garanzie adeguate e compatibili con il GDPR, ad esempio aderendo al Privacy Shield e riportando delle "clausole contrattuali tipo" che permettano di rispettare gli obblighi che il GDPR vi impone. Quindi se il servizio è straniero (fuori dall'UE) cercatelo innanzitutto sul privacy shield: se non c'è contattate il fornitore e chiedete perchè.
2) Che esista un contratto che lega voi (Titolari) con il vostro fornitore (Responsabile) in cui voi nominate il fornitore "responsabile del trattamento dei dati" e in cui sia specificato quali dati sono oggetto di questo trattamento, che tipo di trattamento il fornitore farà su quei dati e che tipo di garanzie di protezione il fornitore vi da relativamente al trattamento di quei dati. In alcuni casi tali clausole sono riportate in un documento chiamato "DPA" (Data Protection Addendum o Data Processing Addendum), in altri casi sono esplicitate direttamente nelle condizioni di servizio, in altri ancora sarà necessario fare un contratto aggiuntivo per la nomina.
Il GDPR sostanzialmente dice:
Articolo 28 - Responsabile del trattamento
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento...
6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico ... può basarsi, in tutto o in parte, su clausole contrattuali ...
9. Il contratto o altro atto giuridico ... è stipulato in forma scritta, anche in formato elettronico.
Significa che nel contratto che vi lega con il fornitore devono essere previsti dei vincoli ben specifici, o che deve essere firmato un contratto aggiuntivo separato nel quale questi vincoli vengono contrattualizzati.
Entrare nel dettaglio di quali siano questi vincoli e come debbano essere verificati esula dallo scopo di questo articolo, ma a grandi linee deve essere contrattualizzato che il responsabile del trattamento (fornitore) tratterà i dati esclusivamente su vostra indicazione, che non sia autorizzato a trasferire i dati verso un paese estero senza autorizzazione, che non possa avvalersi di altri responsabili per il trattamento dei dati che gli fate trattare (se non con il vostro consenso), che le persone che tratteranno i dati che gli affidate siano impegnate alla riservatezza, che siano adottate misure adeguate di protezione dei dati stessi, che vi fornisca gli strumenti per permettervi di adempiere agli obblighi nei confronti delle persone delle quali trattate i dati (accesso, cancellazione, etc), e altri aspetti.
Ma cosa rischio se sbaglio la scelta di un fornitore?
Un "considerando" del GDPR recita:
È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
In pratica la resposabilità è sempre del titolare, che dovrà eventualmente dimostrare di aver scelto un responsabile adeguato e che contrattualmente il responsabile aveva garantito certi livelli di protezione o di effettuare solamente determinati trattamenti.
Quindi se il responsabile farà degli errori, e se non saprete dimostrare quanto sopra, a pagare le sanzioni sarete voi.
Conclusioni
Anche se il GDPR è pienamente operativo da vari mesi riteniamo ci vorranno anni per adeguare completamente e correttamente i flussi operativi e per "assimilare" la cultura della protezione del dato personale.
Consigliamo di considerare i dati personali importanti almeno quanto i soldi che l'azienda gestisce: non affidereste soldi ad uno sconosciuto senza avere garanzie contrattuali di rivederli e quindi non dovrete farlo nemmeno con i dati personali. Se qualcuno ruba o perde i soldi che gli avete affidato avrete perso solamente quei soldi, se qualcuno ruba o perde dati personali che gli avete affidato rischiate sanzioni salatissime, oltre ad un potenziale danno di immagine notevole.
La sfida più grande è culturale e consiste nel prendere l'abitudine a preoccuparsi di capire e ricordare quali dati personali gestiamo, che rischi ci sono se li perdiamo o se ci vengono rubati, a chi li affidiamo, perchè e con quali garanzie.
Aggiungi un commento