GDPR – Intervista ad Andrea Battistella

Il GDPR è in vigore già da alcune settimane ma tra gli addetti ai lavori i dubbi sono ancora tanti. In occasione del prossimo Web Marketing Festival di Rimini (21-22-23 giugno 2018) durante il quale terrà un seminario, abbiamo intervistato Andrea BattistellaAvvocato cassazionista, consulente legale e appassionato di informatica.
Nell’arco di oltre dieci anni di attività si è occupato di diritto civile con particolare attenzione agli aspetti giuridici legati alla privacy, al valore giuridico del documento informatico e all’utilizzo degli strumenti di validazione informatica. Partiamo con le domande:

La data del 25 maggio 2018 resterà scolpita nella mente di tutti quelli che si occupano di web come uno dei giorni più difficili da affrontare.
Siamo stati letteralmente assediati da clienti in preda al panico intenzionati a mettersi in regola all’ultimo minuto. Vista la complessità della materia sono ancora tanti i dubbi da chiarire e le risposte che non siamo in grado di dare ai proprietari dei siti che gestiamo. Qual è l’approccio che dovrebbe avere un “web master” rispetto al GDPR in relazione ai propri clienti?

Il 25 maggio 2018 è stata una giornata a dir poco frenetica ed ha segnato un grande cambiamento nella gestione dei dati personali e nell’approccio al diritto alla privacy.
Il GDPR pur introducendo diverse novità non ha stravolto gli adempimenti privacy, già previsti da diversi anni, ha però imposto ai titolari del trattamento di applicarli con un approccio meno formale e più concreto.
L’adeguamento alla nuova normativa Europea, comporta inevitabilmente un’operazione di riprogettazione dei processi aziendali che hanno ad oggetto la raccolta e la gestione dei dati personali.
Anche la progettazione, la realizzazione e la gestione dei siti web, d’ora in avanti, dovrà essere effettuata partendo dal principio del Privacy by design cioè dalla valutazione preventiva ed oggettiva dei processi informatici tramite i quali si raccolgono e conservano i dati personali degli utenti.

L’attività di analisi e di valutazione diventa, quindi, fondamentale in quanto solo conoscendo la natura dei dati raccolti, la finalità perseguita e le modalità di trattamento si potrà predisporre un informativa privacy corretta e chiedere all’utente di esprimerne un consenso libero ed informato.

Quindi la prima attività che si dovrà fare sarà sicuramente quella di verificare le informative privacy la cookie policy e le formule di consenso utilizzate per raccogliere l’autorizzazione dell’utente al fine di inviare messaggi promozionali o eseguire attività di di profilazione.

Da quello che ci dici appare evidente che per i web designer nasca l’esigenza di ampliare le proprie competenze che fino ad oggi si limitavano ad argomenti per lo più tecnici/informatici. Per fornire un servizio completo e professionale c’è bisogno di prepararsi su tematiche inerenti al diritto alla privacy in modo da guidare il cliente nelle
scelte giuste e sviluppare siti web e applicazioni a norma.
Considerando che spesso chi gestisce il sito di un cliente ha accesso ai dati raccolti (registrazioni a servizi o iscrizioni a newsletter), in base al GDPR c’è la necessità di definire con il titolare dei dati un contratto specifico per questo ruolo? Cosa consigli ai freelance di Link2me.it per adeguarsi in questo senso?

Cultura digitale e professionalità sono i presupposti necessari per avviare il processo di adeguamento della normativa privacy.

Quando parlo di cultura digitale, mi riferisco alla consapevolezza delle potenzialità offerte dagli strumenti informatici ed alla capacità di gestire ed organizzare il work flow dei dati personali raccolti tramite tecnologie sempre più avanzate.

L’utilizzo degli strumenti informatici per effettuare operazioni sui dati personali sempre più avanzate ed accurate richiede professionalità tecnico – giuridiche necessarie per gestire tutti gli aspetti legali relativi al trattamento dei dati personali, soprattutto quando si effettuano operazioni di profilazione degli utenti.

Cultura digitale e professionalità rappresentano, quindi, i punti di partenza per erogare e gestire i servizi di realizzazione e gestione dei siti internet. La raccolta on line dei dati degli utenti o visitatori di un sito web è sicuramente un’operazione semplice, tuttavia per effettuarla nel rispetto della normativa è necessario rispettare almeno gli obblighi di informare ed ottenere il consenso privacy.

Inoltre, quando si progetta un sito web è opportuno definire le finalità della raccolta dei dati (marketing, profilazione, cessione a terzi ecc.) perché solo così è possibile predisporre un’ informativa privacy, ma soprattutto richiedere e documentare un consenso privacy informato e corretto in modo da costituire il presupposto giuridico necessario per raggiungere le finalità inizialmente stabilite.

Il GDPR lascia, da una parte, ampia libertà su come e con quali modalità trattare i dati personali, dall’altra introduce l’obbligo di documentare dette scelte. Il modo più efficace per il webmaster di adempiere a questo obbligo è sicuramente predisporre un contratto che definisca anche le attività aventi ad oggetto i dati personali dei propri clienti nell’ambito dell’erogazione del servizio.

La stipula di un contratto al momento dell’attivazione di un servizio è, dunque, un’ attività fondamentale poiché permette: sia di descrivere il servizio, limitare o definire le responsabilità civili del fornitore e sia di descrivere le operazioni effettuate con i dati personali nonchè le misure tecnico organizzative attuate per proteggere i dati personali.
Con l’entrata in vigore del GDPR, la predisposizione di un contratto diventa obbligatorio nel caso in cui il webmaster tratti i dati personali per conto del suo cliente. In questo caso, infatti, sulla base dell’articolo 28 del GDPR, il webmaster deve essere nominato dal proprio cliente come responsabile del trattamento dei dati personali.
La nomina, che deve avvenire tramite un contratto, comporta per il webmaster l’obbligo di trattare i dati personali nel rispetto delle istruzioni fornite dal cliente nel contratto stesso e quest’ultimo ha l’obbligo di vigilare sull’operato del suo fornitore.
Inoltre, nel caso in cui il web master eroghi i propri servizi avvalendosi di fornitori esterni alla sua organizzazione (invio newsletter, profilazione ecc.) dovrà fare molta attenzione alle condizioni di erogazione di detti servizi, in quanto inevitabilmente condizioneranno il contratto stipulato con il cliente e, ove sia stato nominato responsabile del trattamento, dovrà chiedere un’autorizzazione preventiva al proprio cliente (titolare del trattamento).
L’attività del webmaster, quindi, dovrà essere caratterizzata da un approccio sempre attento alle conseguenze tecnico giuridico legate all’utilizzo di tecnologie sempre più evolute.
In tale ottica, l’obiettivo di erogare sevizi sempre più efficienti ed efficaci dovrà essere integrato anche con l’obiettivo di gestire e proteggere i dati personali dei propri clienti in modo corretto e nel rispetto di quanto stabilito dalla legge.
Le novità introdotte dal GDPR non dovranno essere percepite come un ostacolo, una difficoltà e come una complicazione, bensì come un ‘opportunità per erogare servizi professionali e di compliance.

Per i consulenti web è sicuramente un momento di crescita professionale ma nel quadro di questa nuova regolamentazione non possono fare tutto da soli, da quello che sappiamo per certi tipi di realtà serve un DPO, che non è la stessa cosa di un reponsabile dei dati, si crea così di fatto una nuova figura professionale. Ci spieghi quando è necessario rivolgersi a questo consulente? Sarebbe poi interessante capire se in Italia è facile trovare queste risorse e come.

Il responsabile della protezione dei dati personali ( RDP o DPO) è una delle novità introdotte dal GDPR.
Si tratta di una nuova figura professionale, non prevista dal Codice della privacy, con il compito di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR.
Pertanto, svolge un compito diverso da quello svolto dal responsabile del trattamento a cui il Titolare affida specifici trattamenti ( ad esempio servizi in cloud).

Il DPO è nominato dal Titolare o anche dal responsabile del trattamento dei dati e deve possedere un’approfondita conoscenza della normativa e della prassi in materia di privacy, in modo da offrire la consulenza necessaria per progettare, verificare e mantenere aggiornato un modello organizzativo privacy.

Nell’individuare questa figura, si devono valutare le reali capacità professionali. Al riguardo, il Garante della Privacy ha precisato che, per svolgere tale ruolo, non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.

La designazione del responsabile della protezione dei dati non è obbligatoria tranne nei casi in cui: il trattamento sia effettuato da amministrazioni ed enti pubblici o l’attività di trattamento riguardi il monitoraggio regolare e sistematico degli interessati su larga scala o il trattamento, sempre su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

La figura del DPO svolge, quindi, un ruolo chiave nell’organizzazione e nel monitoraggio di qualsiasi modello organizzativo privacy. Pertanto, è fondamentale scegliere professionisti, che abbiano maturato negli anni concrete esperienze sul campo, tralasciando chi vanti la frequenza di corsi professionali o il possesso di fantomatiche certificazioni.

Considerando che il GDPR è un regolamento europeo e che ogni stato membro dell’unione ha la propria legislazione in merito al diritto alla privacy, in che modo il Garante alla Privacy Italiano si interfaccia con esso? Circolano voci su un rinvio del decreto attuativo, ci puoi spiegare la situazione attuale e se c’è già il rischio di ricorrere in sanzioni?

Il regolamento europeo disegna un quadro normativo in materia di privacy unitario in tutta Europa. Quindi in tutti i paesi Europei si applica la stessa norma che disciplina il trattamento e la circolazione dei dati personali.

Dal 25 maggio il regolamento ha trovato applicazione in modo diretto in ogni ordinamento nazionale senza bisogno di una legge di recepimento.

Il Regolamento non ha abbrogato le leggi nazionali che trovano ancora applicazione nella misura in cui non siano in contrasto con quanto stabilito dal GDPR, infatti, in caso di conflitto prevale sempre quanto disposto dal Regolamento.

In prossimità della data del 25 maggio sono circolate notizie su un possibile rinvio o non applicazione delle sanzioni. Niente di più falso, infatti il Garante Italiano, con un comunicato stampa, ha subito precisato che non ci sarebbe stato nessun tipo di rinvio nell’applicazione del Regolamento e delle relative sanzioni.

Come da programma il Regolamento Europeo è entrato in vigore garantendo a tutti i cittadini europei le stesse tutele in materia di privacy e creando, così, uniformità sui principi e sulle regole che i titolari del trattamento devono rispettare per poter raccogliere e utilizzare i dati personali all’interno dell’Unione Europea ed evitare di incorrere nelle onerose sanzioni.

Ringraziamo l’avvocato Andrea Battistella dello Studio Legale Battistella per il tempo che ci ha dedicato e per le risposte esaustive ricche di preziose informazioni sul GDPR. Ricordiamo che sarà presente  come relatore nella giornata del 21 giugno al Web Marketing Festival con un intervento intitolato “Marketing e GDPR, la trasparenza per conquistare la fiducia dei clienti“.