PROCEDURA GESTIONE DATI

Ex Regolamento Privacy 2016/679

 

 

1. LE LOGICHE DI BASE

 

Il principio di base di tutto il regolamento è riassumibile nel concetto che il dato personale identificativo di una persona fisica è un bene di proprietà della persona stessa e va quindi raccolto e gestito nel pieno rispetto dei diritti di quella persona. Questa procedura è elaborata nell’ambito di una attività aziendale e si pone lo scopo di illustrare i concetti minimi essenziali volti a garantire che tutti i coloro che lavorano in nome e per conto dell’azienda rispettino le regole e operino in conformità con il regolamento Privacy 679/2016.

 

2. DEFINIZIONI

 

Per poter condividere i concetti è necessario prima di tutto condividere le definizioni principali.

  • DATO PERSONALE: qualsiasi informazione relativa ad una persona fisica (son escluse le persone giuridiche)  identificata o identificabile in modo diretto o indiretto. In questa definizione rientrano per esempio i dati anagrafici, i dati sanitari, giuridici, l’indirizzo IP del PC, il numero di telefonino, l’indirizzo di casa ( a meno che anche identificando la casa sia impossibile capire chi è il soggetto), i dati di geolocalizzazione, i dati di profilazione ( anche le preferenze di acquisto identificabili tramite sito , fidaty card, ecc) , le abitudini di vita e di consumo . il codice cliente,la mail aziendale intestata a una persona specifica, una foto, un profilo sui social, ecc. Si considerino anche attentamente le possibili ricerche incrociate che si possono fare che, a partire da dati diversi di per sé anonimi, possono portare all’identificazione della persona
  • INTERESSATO: persona fisica alla quale si riferiscono i dati personali
  • TRATTAMENTO: qualsiasi attività svolta sui dati personali con o senza strumenti automatizzati e che a titolo esemplificativo può includere: la raccolta, la registrazione, l’organizzazione, la strutturazione, l’archiviazione, la consultazione, la condivisione, la pubblicazione, la cancellazione, ecc del dato
  • TITOLARE: il soggetto che stabilisce lo scopo per il quale i dati vengono raccolti. L’azienda per cui uno lavora è titolare dei dati che raccoglie
  • RESPONSABILE ESTERNO: tipicamente una società fornitrice alla quale si comunica un determinato set di dati per svolgere operazioni che internamente non vengono svolte ( gestione paghe, revisori contabili, igiene e sicurezza sul lavoro, attività marketing, manutenzione sistemi IT,…)
  • INCARICATO: tutti coloro che nell’ambito della loro normale attività aziendale, secondo quanto previsto e stabilito dal titolare, trattano dati personali in nome e per conto del titolare stesso
  • CONSENSO: qualsiasi manifestazione di volontà libera, specifica,informata e inequivocabile dell’interessato, con la quale lo stesso manifesta la propria approvazione al trattamento dei dati personali che lo riguardano, mediante dichiarazione o azione positiva inequivocabile. Deve essere sempre accompagnato dall’informativa sul trattamento.
  • PROFILAZIONE: qualsiasi trattamento automatizzato che permette , attraverso la raccolta e l’elaborazione di dati personali, di analizzare o predire i comportamenti o le performance di una persona fisica per quanto riguarda ad esempio il lavoro, la situazione economica, la salute, le preferenze di acquisto, l’affidabilità, gli interessi, gli spostamenti, ecc
  •  DATA BASE : qualsiasi set strutturato di dati personali accessibile attraverso determinati criteri che può essere centralizzato, localizzato, frammentato ecc. In questa definizione rientrano sicuramente tutti gli applicativi gestionali (contenenti dati personali) , CRM, mailing list, rubriche di contatti (digitali, sul telefonino e cartacee) , file excel contenente dati personali per qualsivoglia scopo.
  • LICEITA’ DEL TRATTAMENTO: un trattamento è fattibile se è lecito e per essere lecito deve essere basato su: un contratto sottoscritto tra le parti, il consenso dell’interessato, un presupposto legale al quale il titolare deve sottostare, un legittimo interesse del titolare che però deve essere ben giustificato.

 

3. FLUSSO DEI DATI

 

Riportiamo di seguito uno sintetico schema riguardante un tipico flusso di gestione dei dati, le cui singole fasi verranno analizzate nei paragrafi successivi

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4. CREAZIONE E UTILIZZO DEI DB AZIENDALI

 

I dati raccolti e gestiti devono sempre essere quelli strettamente necessari all’attività da svolgere (principio di minimizzazione del dato), tenuti aggiornati e integri e disponibili alle sole funzioni che effettivamente li necessitano.

I dati devono essere sempre raccolti e gestiti a fronte di un presupposto di liceità. In ambito aziendale tale presupposto è riconducibile a:

  • La necessità di svolgere le operazioni previste da un contratto. Tipicamente i dati di contatto (telefono e mail) del referente aziendale son sicuramente necessari per gestire correttamente l’ordine o il servizio sottoscritto, mentre non è scontato che si possano utilizzare per scopi di marketing o comunicazioni commerciali. In questo secondo caso, se non si è sicuri di aver espressamente richiesto il consenso per le iniziative commerciali, è necessario prevedere nelle comunicazioni inviate la possibilità di disiscriversi in autonomia e con semplicità dalle mailing list e assicurarsi che tali contatti non siano recuperati in comunicazioni successive. In ogni caso questo denota l’importanza di un confronto tra tutte le funzioni in fase di raccolta iniziale, in modo da poter prevedere già tutto quel che serve nelle prime fasi di contatto.
  • Il fatto che l’interessato abbia rilasciato espressamente il consenso. Questo tipicamente succede quando la persona contrassegna la casella per la ricezione della newsletter, oppure quando compila il modulo di consenso per la realizzazione delle foto ecc. Quindi nella maggioranza dei trattamenti svolti dall’azienda, tutti coloro che raccolgono dati personali dovranno verificare se l’attività che svolgono rientrano chiaramente e pianamente nell’ambito del contratto sottoscritto o se necessitano di un consenso apposito. Nel secondo caso è necessario riuscire poi a gestire questi consensi, come vedremo nel paragrafo successivo. Attenzione che nel caso si trattino dati relativi a minori al di sotto dei 14 anni, l’azienda deve dare evidenza di aver raccolto il consenso esplicito dei genitori.
  • Vi sono poi trattamenti che sono richiesti da obblighi legali, per esempio quelli rientranti nella famiglia contabilità e fatturazione, gestione paghe, sicurezza sul lavoro. In questo caso non è necessario chiedere un consenso o redigere un contratto per poter trattare i dati, dato che la legge è a un livello superiore
  • Vi è poi da ultimo il discorso del legittimo interesse del titolare che prevede che per attività che rientrano nella sfera già nota all’interessato (ho già comprato un determinato prodotto e son già cliente della determinata azienda) , il titolare possa avviare nuove attività “che non creino stupore” (es. soft spam). Tuttavia questo tema è da considerarsi davvero con le dovute accortezze dato che in caso contestazione è necessario determinare la fondatezza del legittimo interesse

 

Vi è poi la situazione in cui la raccolta iniziale dei dati non è fatta direttamente dall’azienda ma viene demandata a terzi, in nome  e per conto dell’azienda. In tal caso è necessario chiedere determinate garanzie al fornitore che deve essere nominato formalmente a Responsabile esterno, nomina che deve essere allegata al contratto. La principale garanzia che questo soggetto deve fornire è quella di aver raccolto  tutti i contatti chiedendo espressamente il consenso per la cessione a terzi per scopi commerciali  , appartenenti ad un determinato settore specifico (editoria, alimentare, metalmeccanico, viaggi, banche, ecc). Nel caso è opportuno farsi rilasciare un esempio dell’informativa proposta all’interessato in fase di raccolta dati per assicurarsi che effettivamente i contenuti siano allineati con quanto dichiarato e infine è necessario indicare in occasione della prima comunicazione con l’interessato quale è la fonte del dato.

 

5. REGISTRAZIONE

 

E’ fondamentale archiviare i dati con la logica della privacy by design, ossia i dati dovrebbero essere centralizzati, condivisi, e accessibili alle varie funzioni nel limite in cui effettivamente servono alle varie funzioni. E’ pertanto opportuno evitare di creare liste, file e DB personali, che rischiano di diventare rapidamente obsoleti e facilmente escono dalle logiche di protezione che sono invece garantite ai sistemi centralizzati. Inoltre bisogna sempre tenere a mente che l’interessato potrebbe chiedere la correzione, cancellazione o la limitazione al trattamento dei suoi dati e tale operazione è facilmente gestibile se i dati sono contenuti in pochi e ben definiti DB, mentre diventa impossibile da garantire nel caso in cui le liste fossero fuori controllo.

Nel caso in cui i  medesimi dati siano trattati per scopi diversi, alcuni dei quali magari assoggettati a consenso (tipicamente un dato può essere usato per la fatturazione, per attività promozionali, per cessione a terzi, per profilazione ecc), è importante in fase di registrazione del dato a sistema indicare quali trattamenti si possono fare o meno. Per esempio che la mail è utilizzabile per l’invio delle fatture ma non per comunicazioni commerciali (se l’interessato ha negato il consenso). L’ideale sarebbe ovviamente che il sistema gestionale prevedesse direttamente tali opzioni, ma in caso contrario è comunque necessario trovare un modo per condividere con tutte le funzioni queste informazioni.

Altro aspetto di rilievo è quello relativo all’utilizzo dei telefonini o comunque mobile devices (soprattutto se personali)  per accedere a mail, rubrica dei contatti, file e documenti aziendali . In tal caso anche il dispositivo mobile diventa un archivio di dati personali di rilievo, e oltretutto viene utilizzato anche per scopi privati al di fuori del perimetro di sicurezza aziendale. In tale logica è fondamentale adottare un set minimo di misure di sicurezza che possiamo riassumere in almeno i seguenti criteri:

  • impostazione di un Pin di accesso al telefono con disattivazione dello schermo dopo massimo un minuto di inattività;
  • installazione di un antivirus con aggiornamento automatico
  • installazione di un sistema di blocco da remoto cui ricorrere in caso di perdita o furto del dispositivo
  • evitare di salvare file aziendali sul dispositivo una volta terminato l’utilizzo
  • cancellazione completa della memoria del dispositivo in caso di dismissione
  • evitare di salvare in automatico le psw di accesso agli applicativi aziendali (cloud, accesso remoto, ecc)

 

Questo è un aspetto essenziale anche nell’ottica del data Breach  .E’ infatti previsto che nei casi in cui ci sia un rischio per i data base aziendali  (perdita di dati, attacchi hacker, ecc),il titolare è tenuto a fare comunicazione al Garante e nei casi più gravi (dati sanitari, legali, carte di credito , ecc) deve anche tempestivamente informare tutti gli interessati. Per esemplifcare quindi se è possibile attraverso il mio mobile device accedere ai DB aziendali o a liste contenenti determinati dati personali (perché non ho adottato le misure minime di cui sopra) , nel caso di furto o perdita del dispositivo l’azienda deve esporsi alla comunicazione al Garante ed agli interessati con tutto ciò che ne consegue.

 

6. UTILIZZO

 

Quando si tratta di dati personali (secondo la definizione del par  2, quindi non si parla di dati riferiti a persone giuridiche o dati anonimi) , l’incaricato è sempre tenuto a interrogarsi sulla “liceità” dell’attività che sta per intraprendere in base quanto abbiamo detto finora. Infatti se si opera sulla base di quanto previsto dal contratto , dal consenso o dall’obbligo legale non c’è nessun problema, fino a che eventualmente l’interessato non chiede modifiche o cancellazioni , che devono essere prontamente gestite.

Il problema può sussistere però quando avvio nuove attività o quando non si ha evidenza che  l’interessato abbia dato effettivamente il consenso al trattamento. Se infatti non ho chiara evidenza che il trattamento che sto per avviare sia stato illustrato all’interessato e che questi ha acconsentito al trattamento, è necessario fermarsi e interrogarsi sul da farsi. Se per esempio i dati li ho all’interno di un contratto per la fatturazione ma voglio poterli usare anche per nuove iniziative commerciali (marketing, eventi, promozioni, ecc) allora devo per forza chiedere il consenso per tale attività. Se magari ho già il consenso per la newsletter ma voglio avviare anche una profilazione sull’interessato, devo chiedergli esplicitamente il consenso. Se invece le comunicazioni che mando sono previste dal servizio contrattualizzato (aggiornamento sui prodotti, informazione sulle promozioni, ecc) allora non è necessario chiedere alcun consenso, perché altrimenti non potrei svolgere il mio compito.

Ecco quindi che è fondamentale studiare e redigere bene i contenuti dei contratti e le informative in modo da risolvere il problema a monte e non trovarsi a dover gestire il problema in un secondo momento. Con il nuovo Regolamento l’informativa è diventata lo strumento cardine con il quale comunicare con i propri interessati  (clienti,  pazienti, utenti, lettori, ecc) e diventa necessario saperla scrivere correttamente e saperla utilizzare al momento giusto. (In allegato A. riportiamo i punti che devono essere sempre presenti in una informativa)

 

Per quanto riguarda le Newsletter di tipo promozionale e marketing, si segnalano i seguenti accorgimenti:

  • È opportuno ricorrere ai SW di gestione delle mailing list che consentono diverse funzioni utili per il rispetto del regolamento: possibilità di disiscriversi in autonomia e con semplicità; impossibilità di ricaricare contatti che si siano disiscritti a meno che non siano loro stessi a reiscriversi; possibilità di linkare policy privacy mirata alla sola attività di newsletter;
  • L’interessato dovrebbe aver sempre rilasciato un consenso per la ricezione della newsletter promozionali (nel contratto sottoscritto, attraverso un consenso esplicito sul sito o su un modulo, ecc). per contatti già in uso da tempo, qualora non fosse possibile reperire tale consenso , è opportuno prevedere contestualmente alla comunicazione la possibilità di disiscriversi in autonomia e semplicità. In fase di raccolta di nuovi contatti è invece indispensabile ottenere un consenso esplicito o prevedere chiaramente tale attività all’interno del contratto.

 

Un altro aspetto importante da tenere in considerazione è il fatto che durante l’utilizzo dei dati, io li debba condividere con soggetti terzi. Ad esempio se organizzo un evento e devo prenotare l’albergo, dovrò  inviare all’albergo i dati dei partecipanti, oppure se utilizzo una piattaforma digitale per  analizzare e profilare gli utenti questa automaticamente gestirà i dati dei miei utenti, o se devo sottoscrivere delle polizze assicurative, dovrò comunicare i dati dell’assicurato alla compagnia. Queste son tutte situazioni in cui io affido a terzi (che chiameremo Responsabili esterni) il compito  di svolgere dei trattamenti su dati di cui io son titolare e il processo deve essere gestito. Se infatti paragoniamo il dato a qualsiasi altro bene aziendale, nel momento in cui io lo affido a terzi esterni alla società lo devo fare a fronte di determinate garanzie e a fronte di un contratto che specifichi chiaramente cosa questo soggetto può fare coi dati e quali sono le sue responsabilità (in All. B riportiamo i contenuti minimi per nominare qualcuno a responsabile esterno). Per esempio è importante definire in alcuni casi  all’interno di un contratto che i dati non possono essere ceduti a terzi e che una volta terminata l’attività i dati condivisi devono essere cancellati. Ogni situazione deve avere le sue clausole specifiche e nel caso di dubbio è  opportuno confrontarsi e approfondire la tematica, dato che l’azienda titolare del dato  è pienamente responsabile di ciò che il responsabile esterno fa coi dati che gli cede.  Infine è fondamentale che tale soggetto gestisca i dati all’interno della comunità europea, altrimenti in caso contrario son tenuto a formulare specifiche clausole contrattuali o a chiedere esplicito consenso all’interessato per l’invio all’estero.

 

7. CANCELLAZIONE

 

Con questo concetto si vuole sottolineare il fatto che una volta terminato di utilizzare il dato (finita l’attività contrattualizzata, inviato il prodotto, terminata la vacanza, ecc) se questo non è più necessario deve essere cancellato dai miei Database, perché non ha più ragione di esservi archiviato. La durata di conservazione del dato deve essere chiaramente specificata nell’informativa condivisa  con gli interessati e deve essere basata su criteri ragionevoli , dimostrabili  e difendibili. Ad esempio nel caso di iscritti a una newsletter, una volta che questi si disiscrivono il dato diventa inutilizzabile e io devo cancellarlo dai miei DB. Questione diversa può invece essere legata al fatto che lo stesso utente che riceve la newsletter ha anche acquistato un prodotto e come tale è intestatario di una fattura. In tal caso ovviamente non posso cancellare la fattura coi suoi dati dato che gli obblighi fiscali ne prevedono la conservazione per 10 anni, ma devo distinguere la durata di conservazione rispetto alle diverse finalità (quindi i suoi dati saranno cancellati dai DB commerciali perché non vuole più ricevere comunicazioni dalla mia azienda ma rimarranno in quelli amministrativi per gli obblighi contabili e fiscali previsti dalla normativa per 10 anni).

Questo tipo di valutazione sulla durata di conservazione dei dati va fatta per qualsiasi tipo di informazione relativa a persone fisiche (dati anagrafici, curriculum vitae, foto, log informatici, cedolini paga, ecc) e deve essere esplicitata nell’informativa e rispettata nelle procedure operative aziendali.

 

 

8. DIRITTI DELL’INTERESSATO

 

Oltre alla cancellazione l’interessato ha diritto anche a fare alcune richieste quali:

 • Avere accesso ai propri dati e conoscere a quali trattamenti son assoggettati, i destinatari con cui sono condivisi e il periodo di conservazione

 • Chiedere modifiche e correzioni  nel caso i dati  non siano corretti

 • Chiedere la limitazione del trattamento qualora nutra dei dubbi sulla sua liceità o sulla correttezza delle informazioni

 • Chiedere l’estrazione dei dati che lo riguardano in un formato leggibile per archiviarseli o passarli a nuovo fornitore (ad esempio se volesse aprire una nuova casella di posta mantenendo però tutto lo storico). In questo caso il trattamento deve essere basato su un consenso o un contratto e deve essere automatizzato

 • Opporsi al trattamento  , in particolare se di profilazione o marketing.

 

E’ quindi sempre necessario prevedere un canale presidiato al quale l’interessato può rivolgersi per avanzare tali diritti, e assicurare che tali richieste siano prontamente gestite e condivise con tutti coloro che con quel contatto hanno a che fare. Prima di dare riscontro all’interessato è necessario verificarne l’identità e valutare la fondatezza della sua  richiesta.

 

 

 

All.A Contenuti minimi di una Informativa

 

L’importante è che le informative siano redatte in modo semplice e diretto, fornite al momento giusto, immediatamente comprensibili e che riportino come minimo i seguenti contenuti:

  1. l’identità e i dati di contatto del titolare del trattamento
  2. i dati di contatto del responsabile della protezione dei dati (DPO) , ove applicabile;
  3. se i dati son stati raccolti tramite soggetti terzi, bisogna indicare le categorie di dati in nostro possesso e la fonte del dato
  4. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento (contratto, consenso, obbligo legale, eventuali legittimi interessi )
  5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. se previsto, l’intenzione di trasferirli in un paese terzo fuori dalla Comunità Europea
  7. il periodo di conservazione o i criteri utilizzati per stabilirlo
  8. l’esistenza dei diritti dell’interessato (accesso, rettifica, limitazione del trattamento, opposizione, portabilità,revoca del consenso, reclamo al garante)
  9. natura obbligatoria o facoltativa del dato e  conseguenze nel caso l’interessato si rifiuti di conferire i dati (impossibilità di portare a termine il contratto, di ricevere comunicazioni mirate, di portare a termine l’iscrizione, ecc)
  10. l’esistenza di un processo decisionale automatizzato, compresa la profilazione

 

All. B Contenuti minimi per la Nomina a responsabile esterno (che può essere inserita in un contratto un accordo o qualsiasi altro atto giuridicamente vincolante )

 

  1. Il responsabile Esterno (RE) deve trattare i dati personali soltanto su istruzione documentata del titolare del trattamento,
  2. Il RE garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. Il RE adotta misure di sicurezza idonee a garantire la tutela del dato
  4. Il RE , nel caso ricorra ad un altro Responsabile del trattamento, ne garantisce i medesimi requisiti
  5. Il RE supporta il titolare a dare seguito alle eventuali richieste degli interessati nell’esercizio dei loro diritti
  6. Il RE, su richiesta del titolare,è tenuto a cancellare e restituire tutti i dati personali dopo che l’attività è terminata
  7. Il RE consente al titolare di verificare il rispetto dei precedenti vincoli e requisiti

 

 

 

 

© TASS s.r.l.  TIR -AIR - SEA SERVICE //  2018      -      P.IVA  02307960159      -        INFORMATIVA PRIVACY