Molto spesso i clienti mi chiedono di redigere o revisionare la loro privacy Policy, pensando che un documento scritto o revisionato da un legale sia sufficiente per essere in regola con la normativa privacy.
In realtà non è sufficiente avere dei documenti ben scritti e ben pensati, questo non è altro che il punto di partenza! Fondamentale è quello che si fa ogni giorno in concreto con i dati che trattiamo.
Mi spiego meglio: se nella privacy Policy scrivo che conservo i dati per un periodo sufficientemente lungo ad esaurire la finalità per la quale sono raccolti (clausola di stile che si trova nella stragrande maggioranza delle informative privacy), la dicitura è formalmente corretta e ineccepibile, ma il problema è che se tu non sai qual è quel periodo massimo oltre al quale cancellare i dati dei tuoi clienti o degli utenti; quindi significa che di fatto nella prassi non li cancellerai mai (o, se va bene, solo quando te ne ricorderai).
Questo sicuramente è un problema nelle grosse società dove ci sono molte persone e dove spesso i ruoli cambiano perché cambia il personale che si deve occupare della faccenda (anche se questo pericolo dovrebbe essere arginato con un buon passaggio di consegne), ma, in minor misura, è un qualcosa che può accadere anche nelle piccole realtà.
Ecco perché concentrarsi soltanto nell’avere la documentazione formalmente a posto, senza sapere cosa ci sia scritto e senza sapere esattamente come trattare correttamente i dati personali è poco utile.
Infatti quando vengono eseguiti i controlli da parte del Garante, si procede ad un’analisi molto minuziosa durante la quale si verifica se effettivamente tutto ciò che è scritto nell’ informativa viene in concreto attuato da parte dell’azienda.
Se ci sono delle incongruenze, le conseguenze sanzionatorie sono tra le più gravi, perché le informazioni sul trattamento dei dati personali devono essere chiare, precise e facilmente comprensibili all’utente.
Ecco perché ci tengo sempre molto alla formazione dei miei clienti in modo da renderli quanto più possibile autonomi nella gestione quotidiana dei dati personali; del resto, per quanto i documenti possano essere scritti bene e in modo accurato, quello che conta di più è il modo in cui si gestiscono i dati su base quotidiana.
Ecco perché si dice che il gdpr è sostanza e non forma! Allora vediamo assieme alcuni punti fondamentali per non cadere in errore e avere un Privacy Policy efficace per il tuo business.
Periodo di conservazione
I dati non possono essere conservati all’infinito!
Prima o poi devono essere cancellati o anonimizzati. Questo principio è stato introdotto con forza con l’entrata in vigore del GDPR ma, pensandoci bene, è anche una best practice a tutela del titolare del trattamento: se dovessi subire un data breach che comporta la fuoriuscita di dati che, di fatto, non ti erano utili per il tuo business, andresti incontro a delle grosse responsabilità senza alcuna utilità.
Quindi non voglio dire di cancellare tutto selvaggiamente! Infatti se cancelli i dati prima del tempo, potresti violare delle norme di legge che ti impongono di conservarli o violare i diritti degli interessati stessi o magari crearti un danno, perchè potresti trovarti a subire una causa senza tutte le prove utili per difenderti!
Quindi per ogni flusso di dati, ragiona nel medio e lungo periodo, informati se ci sono norme nel tuo settore che impongono un periodo di conservazione minimo e scegli il periodo massimo di conservazione giusto per te.
Una volta individuato, descrivi le procedure per attuare la cancellazione (chi fa cosa, come, quando dove) e crea un sistema di promemoria che aiuti te (se sei da sol@) o gli addetti della tua organizzazione a rispettare quanto enunciato nella Privacy Policy.
Chi può vedere i dati
Un aspetto spesso sottovalutato è proprio quello di stabilire dei sistemi di accesso ai dati coerenti e ragionati.
Anche se sei un freelance che lavora da solo, pensa a chi può accedere ai dati dei tuoi clienti: hai un’assistente virtuale che ti aiuta nel fare le fatture? Hai un’agenzia web che cura l’aggiornamento e la manutenzione del tuo sito? Hai una social media manager che ti imposta le campagne pubblicitarie o che pubblica i post sul blog e sui social?
Queste figure sono dei responsabili esterni del trattamento e devono essere adeguatamente nominati con un documento che contenga le regole della vostra collaborazione e gli obblighi ai quali è sottoposto in qualità di responsabile.
Se hai un dipendente, questo sarà un semplice incaricato del trattamento (non un responsabile) ma dovrai nominarlo formalmente con un atto formale che contenga le istruzioni precise alle quali si deve conformare.
Come consentire l’esercizio dei diritti degli interessati
Tutte le Privacy Policy contengono un bell’elenco dei diritti che spettano agli interessati, ma come vengono attuati quei diritti?
In questo caso ci vuole un pò di formazione per sè e per chi se ne dovrà occupare.
Ci sono dei termini ben precisi per rispondere alle richieste degli interessati (normalmente di 30 giorni, prorogabili in casi particolarmente complessi) e non sempre le risposte sono così semplici ed immediate, magari richiedono degli approfondimenti o delle consulenze con un tecnico informatico.
Perciò formarsi e tenersi pronti a questa eventualità è una buona strategia per non farsi cogliere impreparati e per soddisfare le richieste di informazioni che ci giungono dagli interessati.
Queste richieste possono rappresentare l’anticamera di una segnalazione al Garante, perciò gestirle al meglio e con prontezza risulta di vitale importanza per la protezione del tuo business, avendo una Privacy Policy efficace per il tuo business!
Consenso alla Privacy: per cosa?
Accetto la Privacy Policy
Accetto la Politica sulla Privacy
Anche io odio lo spam
Queste diciture scritte accanto ad una spunta da marcare significano poco o niente.
Cosa accetti? Tutto o niente?
No, il consenso deve essere specifico! Quindi l’interessato deve sapere se sta accettando di iscriversi alla Newsletter, ad un evento gratuito, a delle email di marketing e promozionali etc.
Nella Privacy Policy è probabile che tu abbia compreso vari flussi e, comunque, anche se ce ne fosse solo uno, è bene che l’utente nel momento in cui marca la casellina, sappia esattamente cosa sta accettando.
Accanto ad una Privacy Policy efficace occorre avere un consenso privo di vizi.
Altrimenti il consenso potrebbe non essere valido e aprire la strada a problemi legali e sanzioni molto salate!
Sicurezza
La sicurezza informatica è intimamente collegata alla tutela dei dati personali.
Puoi fare tutto perfettamente a puntino, ma se hai un sistema che è un colabrodo, che anche un bambino riesce ad aggirare, non riuscirai ad ottenere una Privacy Policy efficace per il tuo business!
Se sei una piccola realtà, il tipo di misure da approntare saranno più semplici e proporzionali alle dimensioni e ai rischi che puoi correre; se sei un’azienda più strutturata, occorrerà fare qualcosa di più.
Anche in questo caso i passi da fare sono un’accurata analisi del rischio, una bella formazione e l’implementazione dei sistemi adatti a proteggere adeguatamente i documenti e i dati in essi contenuti.
Conclusioni
Come vedi la Compliance GDPR non è un documento, ma un intero sistema che deve essere munito di ingranaggi ben oliati e funzionali.
Il GDPR impone di introdurre anche nei piccoli business dei fondamentali principi di organizzazione aziendale che sono stati sempre propri, nel passato, di aziende medio grandi.
Questo fatto non deve essere visto come l’ennesimo costoso balzello, ma rappresenta un’occasione molto preziosa per guardare il proprio business dall’alto, come farebbe un imprenditore con la propria azienda, mettendo ordine ai documenti e alle procedure.
Il vantaggio di questo lavoro va molto al di là della necessità di evitare pesanti sanzioni; ti permette di avere un controllo e una visione chiara del tuo business, utile per gestirlo al meglio nel presente e ancor più utile quando l’attività crescerà.