#tiDomando: parliamo con Federica De Stefani di GDPR
Salve carissimi amici e lettori di InsiDevCode, finalmente siamo giunti alla quattordicesima puntata della saga #tiDomando. La puntata odierna è dedicata a Federica De Stefani e soprattutto all’argomento del momento, cioè il GDPR.
Però non stiamo qua a svelare troppe cose in anticipo, quindi mettetevi comodi e leggete quanto segue.
CHE L’INTERVISTA A FEDERICA DE STEFANI ABBIA INIZIO
Come prima cosa, presentati ai nostri lettori
Sono un avvocato iscritto all’ordine degli avvocati di Mantova. Mi occupo di diritto delle nuove tecnologie, di privacy e di contrattualistica.
Da sempre interessata ai profili giuridici del mondo online, ho approfondito la mia formazione frequentando un corso di perfezionamento post laurea in criminalità informatica e investigazioni digitali e uno un Data Protection e Data Governance, entrambi presso l’Università degli Studi di Milano e un Master in diritto delle nuove tecnologie.
Ho conseguito la qualifica di Esperto di ADR (Alternative Dispute Resolutions), con specializzazione in risoluzione delle controversie in materia societaria. Ho partecipato in qualità di relatrice a diversi convegni sul diritto della Rete e in materia giuslavoristica.
Scrivo per Hoepli e Officina del Diritto (Edizioni Giuffrè). Sono responsabile della regione Lombardia di AIDR (Associazione Italian Digital Revolution) e mi occupo di media law per SportDigitale, il progetto di Alessandra Ortenzi sulla cultura digitale per le professioni legate all’informazione sportiva.
Bene adesso che abbiamo scoperto di che cosa si occupa l’avvocato Federica De Stefani, direi che possiamo passare alle domande sul GDPR. Quindi prendere posto su Adesso passiamo alle domande…
Che cos’è GDPR?
Il GDPR è il nuovo Regolamento Europeo che si occupa della protezione dei dati personali.
Da quando entra in vigore questo nuovo regolamento?
La normativa entrerà in vigore il 25 maggio, quindi c’è tempo fino a questa data per porre in essere tutte le misure necessarie per l’adeguamento.
Qual è la differenza tra GDPR e l’attuale normativa?
La differenza è sostanziale. Si tratta di un nuovo approccio che pone al centro di tutto la tutela dei dati personali che vengono qualificati dalla stessa normativa come “diritti fondamentali dell’uomo”.
Il GDPR vale anche per le grosse aziende come Facebook Inc, Google LLC (azienda del holding Alphabet Inc), Vodafone, TIM e così via?
Assolutamente sì.
Vale per tutto coloro che trattano dati personali di soggetti che si trovano all’interno della Comunità Europea o che offrono servizi all’interno della stessa UE.
Dati sensibili devono essere criptati oppure nascosti in un bunker?
I dati personali devono essere tutelati.
La normativa non dice come, lascia al titolare del trattamento la possibilità di scegliere la modalità più idonea in base alle caratteristiche specifiche della sua realtà. Criptare i dati personali che si trattano è in ogni caso un passo fondamentale per la protezione degli stessi.
Coloro che hanno già raccolto dei dati con la vecchia normativa, che cosa deve fare con la nuova normativa?
Devono verificare se le modalità con le quali li hanno raccolti sono in linea con le nuove disposizioni.
Se così non fosse dovranno adeguarsi attraverso una nuova informativa da rilasciare agli interessati oppure attraverso la raccolta di un nuovo consenso al trattamento.
Dipende, ovviamente, da caso a caso.
GDPR, come si dimostra che il trattamento è effettuato conformemente al presente regolamento?
Per dimostrare che il trattamento è avvenuto in conformità del GDPR è necessario documentare tutti i singoli passaggi del trattamento stesso.
La normativa prevede l’obbligatorietà del registro dei trattamenti solo per realtà con più di 250 dipendenti, ma il Garante, e questa è una posizione che condivido (soprattutto in ottica probatoria), raccomanda la tenuta di questi registri anche al di sotto di questa soglia.
In altre parole documentare tutto significa poter dimostrare a posteriori, anche a distanza di tempo, cosa è stato fatto e come.
Esiste un testo standard da utilizzare, come succede oggi con la Cookie Law per rivitalizzare i vecchi dati raccolti?
Facciamo una premessa. Il termine “standard” non va d’accordo con il Regolamento Europeo perché quest’ultimo prevede un’impostazione che è del tutto incompatibile con i modelli standard.
Il GDPR infatti punta alla responsabilizzazione del titolare del trattamento e questo perché vuole garantire una tutela dei dati personali che sia effettiva e calibrata sulla singola realtà. Se si parla di modelli standard che, per definizione, devono essere generici per abbracciare il più alto numero di casi, si sbaglia completamente approccio e di conseguenza non si realizza quella tutela cui tende tutto il GDPR.
I dati personali già raccolti possono essere utilizzati solo se la raccolta è avvenuta con modalità che siano in linea con la nuova normativa, in caso contrario come già anticipato, si dovrà valutare se integrare le informazioni date agli interessati o se procedere ad una nuova raccolta.
Chi definisce la data di scadenza dei dati?
La tempistica relativa alla conservazione e al trattamento viene determinata dal titolare in relazione alla tipologia di trattamento che deve essere effettuato e agli obblighi di legge che ricadono sullo stesso.
Bisogna comunque tenere presente che il principio di minimizzazione dei dati previsto dal GDPR impone di trattare e conservare i dati per il minor tempo possibile.
Con il nuovo regolamento, come stabilire se sono obsoleti oppure dati nuovi?
In realtà non esistono dati obsoleti o dati nuovi.
I dati possono (e devono) essere aggiornati nell’ipotesi in cui non siano più attuali e questo può avvenire anche su richiesta dell’interessato che, in base agli artt. 12 e 13 del Regolamento, deve essere adeguatamente informato di questo suo diritto.
Cosa fare dei dati scaduti?
I dati una volta terminato il trattamento devono essere cancellati.
Prendiamo due esempi concreti. Un cliente arriva all’interno di un e-commerce oppure all’interno di un progetto web di un libero professionista: se un cliente lascia il proprio nome e cognome, ma anche la propria email per ricevere informazioni sull’ordine oppure una richiesta di preventivo, ma non spunta la casella per ricevere comunicazioni di carattere commerciale (newsletter), come bisogna comportarsi?
In questo caso bisogna fare alcune precisazioni.
Se l’utente lascia volontariamente il nome e la mail deve essere informato di quale sia lo scopo specifico e per quale finalità verranno utilizzati quei dati. Se i dati, per esempio, vengono inseriti per una richiesta di preventivo andranno utilizzati unicamente per inviare il preventivo richiesto.
Nel caso, invece, di un form nel quale vengano richiesti i dati per il preventivo, come nel caso appena analizzato, ma si chieda nel contempo l’autorizzazione all’utilizzo degli stessi dati per l’invio di informazioni di carattere commerciale, l’utente dovrà spuntare anche la relativa casella. In caso contrario i dati verranno utilizzati solo per l’invio del preventivo e non potranno essere utilizzati per inviare info commerciali.
Un’altra domanda collegata a un esempio concreto. Oggi il nuovo regolamento GDPR fa la una differenza di trattamento dei dati raccolti attraverso indirizzi e-mail come: info@azienda.com, sales@azienda.com, amministrazione@azienda.com, mariorossi@azienda.com (dipendente azienda) e info@mariorossi.eu (libero professionista)?
La differenza è sostanziale, nel senso che gli indirizzi emal aziendali, ma ricollegabili ad una persona specifica (come per esempio mariorossi@nomeazienda.it) sono da considerarsi dati personali e quindi soggetti a tutti gli effetti alla normativa del GDPR.
Che cos’è il DPO?
DPO è l’acronimo di Data Protection Officer.
Si tratta di una figura particolare perché rappresenta il punto di contatto tra l’azienda e l’autorità di controllo.
Quali sono le sanzioni previste per le aziende e i liberi professionisti?
Le sanzioni arrivano fino a 20 milioni di euro, quindi bisogna stare attenti.
C’è in ogni caso la possibilità, per l’interessato che sia stato vittima di un trattamento illecito di dati, di agire per il risarcimento dei danni.
Quali sono le autorità disposte a verificare che sia tutto in regola?
I controlli verranno effettuati dal Garante e dalla Guardia di finanza, ma il potere di verificare se e come vengono trattati i (propri) dati spetta anche al singolo soggetto, quindi diciamo ci sono possibilità di controllo su più fronti.
Un libero professionista, blogger è obbligato come una società di aggiornare la privacy policy del tuo sito, specificando in maniera chiara e trasparente quali dati raccogli e cosa ci farà esattamente con quei dati?
Sì, anche il libero professionista o il blogger sono tenuti ad aggiornare la propria privacy policy, l’adeguamento al GDPR non dipende dalla qualifica che si riveste, ma dai dati che si trattano.
Un libero professionista, blogger o azienda che per il proprio sito utilizza già soluzioni convalidate come quelle offerte dai plugin sviluppati per la legge sui cookie dell’UE possono dormire sogni tranquilli?
Non esiste una risposta corretta in assoluto.
Dipende da come è strutturato il plugin e da come è stato “costruito”. Quando ci si affida a strumenti particolari bisogna poter garantire anche l’affidabilità degli stessi. Io consiglio in ogni caso di fare una valutazione di adeguatezza con riferimento al singolo caso specifico.
Conclusione
Così come nelle puntate precedenti, anche nel caso dell’avvocato Federica De Stefani le domande sarebbero state tante, visto che il nuovo Regolamento Europeo GDPR è un argomento spinoso, però mi sono fermato prima lasciando lo spazio per un’altra serie di domande nel futuro prossimo, ma anche per lasciare lo spazio a voi di fare altre domande all’avvocato.
Ringrazio Federica De Stefani per il tempo che ci ha dedicato e speriamo che anche questo nuovo episodio della saga #tiDomando sia stato di vostro gradimento. Nel mentre aspettiamo le vostre impressioni nei commenti qui sotto.
In conclusione vi cogliamo la lettura di questo post Privacy e GDPR: come adeguarsi al Regolamento europeo?, che contiene le risposte ad altre domande fatte da diversi utenti all’avvocato Federica De Stefani.
Link a libri da leggere:
- Le regole della privacy
- Le regole del turismo. Manuale pratico per gestire le strutture ricettive tra online e offline
- Le regole della rete. Come tutelare i propri contenuti online
Seguiteci anche su Facebook, Google Plus, Tumblr, Twitter e Telegram, per restare sempre in contatto con noi e con le nostre guide.
Blogger e Sviluppatore, appassionato sin da piccolo dell’informatica e di tutta la tecnologia.
