Occupandomi di GDPR e di Privacy mi succede spesso di essere contattata con le seguenti richieste: “Potresti controllare se la mia Privacy Policy va bene?” “Avresti un modello o facsimile di Privacy Policy per il mio sito?” “Ho copiato la Privacy Policy della Tizio&Caio Srl, l’hai vista? Va bene?”
Le cose, però, non sono così semplici e per almeno due motivi:
- L’applicazione di una normativa composta da 99 articoli e 173 premesse, scritta per tutta l’Unione Europea in lingua inglese e tradotta in ogni lingua ufficiale, da leggere abbinata alla legislazione interna statale e a tutte le linee guida, non può essere risolta con qualche minuto di verifica veloce su una Privacy Policy scritta senza un ragionamento sensato alla base.
- Un impianto normativo che prevede sanzioni fino a 20 milioni di € (e fino al 4% del fatturato) non può certo essere liquidato con una veloce lettura e qualche aggiustamento qua e là.
I rischi
Il fatto è che ognuno può fare quello che vuole: può guidare a 200 Km/h in autostrada senza cinture di sicurezza, sperando che non succeda mai nulla oppure può scegliere di allacciarsi le cinture e rispettare i limiti per arginare i rischi alla propria incolumità e a quella altrui.
La scelta è individuale e le conseguenze sono ovviamente diverse ma, di certo, scegliere senza aver prima ben ponderato i pro ed i contro è un atteggiamento poco prudente.
Studio ogni giorno questa materia, guardo i provvedimenti e le linee guida del nostro Garante, degli organi preposti dell’Unione Europea, degli altri Stati membri dell’Unione.
Il GDPR non è uno scherzo, un qualcosa da licenziare in due minuti per mettersi la coscienza a posto!
Le sanzioni sono molto elevate: fino ad € 10.000.000,00 (o al 2% del fatturato) in alcune ipotesi; nelle ipotesi più gravi fino ad € 20.000.000,00 (o al 4% del fatturato).
Oltre alle sanzioni esemplari, il GDPR è una rivoluzione copernicana per come è strutturato, pensato e proiettato in una società sempre più tecnologica! E’ un sistema, un processo che fa parte integrante dell’attività di un’azienda o di chi raccoglie dati personali.
E non c’è software, copia-incolla o “informativa perfetta” che possa tenere!
Certo un facsimile o modello di privacy policy può essere un buon punto di partenza , ma non è possibile ritenersi in regola copiandolo e incollandolo sul sito, magari modificandone qualche porzione a sentimento.
Cosa serve davvero
L’unica cosa che serve davvero è usare la testa: ragionare, valutare, adattare e scrivere cose sensate!
E se non conosci un pò le basi di questa normativa, hai tre alternative: o ti affidi a chi le conosce, o studi per conto tuo o brancoli nel buio.
Nascondersi dietro a scuse come “ma tanto chi vuoi che venga a controllarmi” o “tanto sono un piccolo blog online, chi vuoi che mi venga a rompere le scatole” è un modo di pensare molto pericoloso.
Primo, perché se sei online, per definizione sei visibile a chiunque, ovunque, 7 giorni su 7 e 365 giorni l’anno. Se poi fai anche le sponsorizzate su Facebook … figuriamoci!
Secondo, perché non sai mai con chi hai a che fare online, ed i leoni da tastiera e gli Haters sono sempre dietro l’angolo, pronti a sfruttare ogni occasione buona per danneggiare chi hanno preso di mira.
Le persone sono sempre più consapevoli dei loro diritti in relazione ai propri dati personali e, non a caso, dall’entrata in vigore del GDPR le segnalazioni ed i ricorsi al Garante si sono impennati vertiginosamente verso l’alto.
Con la Pandemia del Covid-19 questa consapevolezza ha assunto un perimetro ancora più ampio (pensa solo alle forti preoccupazioni di tutela della privacy per la APP Immuni).
Privacy Policy generata con Software
L’altro giorno mi sono imbattuta in una classica Privacy Policy creata con un Software, come se ne vedono tante in giro, che mi ha fatto letteralmente accapponare la pelle: una Privacy Policy che conteneva un miscuglio di finalità, che obbligava ad accettarle tutte in blocco e che, addirittura, conteneva una dichiarazione di responsabilità in capo all’interessato …
Una privacy policy scritta a caso rende invalido il consenso prestato che, di conseguenza, rende illegittimo il trattamento e che, quindi, comporta l’applicazione di pesanti sanzioni!
Il problema è che basta una volta! Quando capita, il rischio di chiudere baracca e burattini e “darsi all’ippica” è tutt’altro che remoto.
Non mi stancherò mai di dirlo: non conta scrivere qualcosa e metterci sopra il titolo “Privacy Policy” per risolvere il problema! Conta, invece, sapere bene COSA scrivi nella Privacy Policy, il PERCHE’ e COME gestisci i dati.
Se sai leggere ogni riga della tua Privacy Policy e sai spiegarla per filo e per segno, sei già a buon punto! Se non sai nemmeno cosa significa quello che leggi, hai un grosso problema che va risolto il più velocemente possibile.
Come ragiona il Garante
Ti faccio un esempio.
Ti riporto un provvedimento del Garante che analizza una Privacy Policy online di una famosa azienda di vendite a distanza.
Questa azienda aveva anche un sito.
Te ne riporto un estratto per capire quanto va in profondità l’analisi del Garante, andando ben al di là di una privacy policy scritta alla Bell’è meglio sul sito.
“2.2. Con riguardo all´informativa resa on line –che presenta talune inesattezze quali il richiamo alla disciplina previgente (l. n. 675/1996) anziché al Codice–, si rilevano alcune carenze che la rendono inidonea a rappresentare, in modo agevole e trasparente, le varie fasi del trattamento posto in essere dalla società.
Sul relativo sito web figurano due modelli di informativa. Nel primo, cui è possibile accedere dalla schermata dedicata all´inserimento dei dati necessari a fissare l´incontro dimostrativo, non sono indicati alcuni elementi caratterizzanti del trattamento effettuato, vale a dire le finalità del trattamento e le informazioni indicate ai punti b), c), d) dell´art. 13 ("la natura obbligatoria o facoltativa del conferimento dei dati", "le conseguenze di un eventuale rifiuto di rispondere", "i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l´ambito di diffusione dei medesimi"). Anche un secondo modello (non preordinato espressamente ad acquisire le informazioni personali per la visita a domicilio), che è rinvenibile in una diversa sezione del sito e che presenta le carenze appena evidenziate (ad eccezione dell´identificazione delle finalità del trattamento e dell´identificazione nelle società finanziarie delle categorie di soggetti destinatari dei dati), fornisce l´informativa rispetto al complessivo trattamento effettuato dalla società.
A tale riguardo l´Autorità ha messo in luce già in passato l´esigenza che, al fine di rendere in modo chiaro e trasparente l´informativa agli interessati, gli elementi individuati all´art. 13 del Codice figurino in un unico contesto (Provv. 13 gennaio 2000, doc. web n. 42276); tale principio è stato ribadito prescrivendo che "l´informativa inserita all´interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine" (Provv. 24 febbraio 2005, cit.).
Risulta quindi necessario che, formulando senza ritardo le due informative in univoco contesto, la nuova informativa sia resa non carente delle predette notizie, chiara e di agevole comprensione per gli interessati.
…
3. Consenso al trattamento
Come evidenziato, i dati personali trattati dalla società sono richiesti nella fase precontrattuale, oltre che per dare esecuzione all´eventuale rapporto negoziale, anche per la distinta finalità di marketing (in particolare, di telemarketing) per la quale è necessario il consenso specifico dell´interessato, che non risulta essere acquisito dalla società rispettando la disciplina in materia di protezione dei dati (art. 23 del Codice; Provv. 24 febbraio 2005, doc. web n. 1103045).
La formulazione presente nella modellistica a tal fine utilizzata dalla società non è quindi idonea a soddisfare i requisiti richiesti atteso che il consenso informato deve essere manifestato "specificamente in riferimento ad un trattamento chiaramente individuato" (art. 23, comma 1, del Codice).
In calce alla modulistica impiegata dalla società, che in un´unica sede fa riferimento anche all´accettazione delle condizioni generali di contratto, l´interessato "autorizza", infatti, il trattamento dei dati personali "per i fini sopra indicati", tra i quali figura anche l´invio di "informazioni promozionali e commerciali". Il consenso così raccolto mira, quindi, ad autorizzare con unica formulazione una pluralità di trattamenti invero ben distinti. Da un lato, si colloca infatti lo svolgimento di attività di marketing; dall´altro, l´attività di gestione del rapporto precontrattuale ed, eventualmente, contrattuale (per la quale, peraltro, ai sensi dell´art. 24, comma 1, lett. b), del Codice non è richiesto il consenso dell´interessato).
Pertanto, la società risulta aver trattato in violazione di legge i dati degli interessati per finalità di marketing (artt. 11 e 23 e art. 11, comma 2 del Codice); va quindi disposto in proposito il divieto dell´ulteriore trattamento dei dati raccolti. L´inosservanza di tale divieto è sanzionata penalmente (art. 170 del Codice)”.
Insomma come puoi vedere vince la SOSTANZA e non la forma!
Si tratta di un provvedimento risalente al 2008, quando ancora era possibile, a seguito di accertamento, adeguarsi entro un certo termine senza subire sanzioni.
Quindi come fare?
Avrai capito che un modello o fac-simile di Privacy Policy non è affatto ciò che la legge richiede.
Le salatissime sanzioni e il principio di responsabilizzazione imposto dalla normativa (accountability) non permettono di prendere questa faccenda alla leggera.
Come hai visto sopra, il Garante potrebbe chiedere conto, in qualsiasi momento, di come effettui trattamenti di dati e, se non hai ben chiara la regia dei tuoi trattamenti, sarà molto difficile e faticoso dare risposte chiare e soddisfacenti.
Ma non temere, a seconda del livello e della strutturazione del tuo business, corrisponderà un livello proporzionato alla tua attività e alla mole di dati che tratti.
Se, quindi, è tua intenzione fare un pò di chiarezza e capire una volta per tutte come devi comportanti per essere davvero in regola e dormire sonni tranquilli, ho preparo per te una pratica guida da scaricare subito.
