Le partite Iva, con le pmi, sono tra le categorie più spaventate dalla normativa europea sulla data protection e privacy e ciò per vari motivi: per motivi di budget; per paura di dover modificare significativamente il proprio business; per un’infondata convinzione di non essere soggetti al GDPR.
Il presente articolo non vuole quindi essere un manuale su come diventare esperti privacy in pochi passi, quanto piuttosto un aiuto per capire passo dopo passo gli adempimenti che piccoli imprenditori, professionisti e partite iva devono affrontare per adeguare la propria attività.
Primo, non improvvisarsi
Per affrontare al meglio la messa a norma di un’impresa, seppur piccola, in primo luogo bisogna comprendere che si tratta di un’attività complicata che necessita competenze multidisciplinari che spaziano dal piano giuridico, a quello gestionale, sino ad arrivare al piano tecnico-informatico. Salvo rare eccezioni, anche per le cosiddette “partite iva”, è da ritenere quindi caldamente sconsigliabile procedere ad un’operazione di adeguamento home made. La percezione che un imprenditore può avere del proprio business spesso è differente dalla realtà dei fatti vista attraverso il filtro del Regolamento Europeo. Capita difatti molte volte di incontrare clienti che, di primo acchito, si lasciano andare con affermazioni del tipo “io non tratto dati”, questo perché la cultura GDPR non è ancora molto radicata e, quindi, le persone comuni non hanno una esatta comprensione di cosa sia un trattamento di dati; per non parlare della comprensione della differenza tra dato sensibile (oggi dato particolare) e dato personale. Si sconsiglia quindi il copia incolla di informative dai siti dei propri competitor e ciò anche perché, deve essere chiaro, una piccola differenza di trattamento comporta adempimenti anche molto diversi per l’imprenditore.
Partite Iva e privacy: a chi non si applica il GDPR
L’articolo 2 comma 2 del GDPR afferma che il regolamento “non si applica ai trattamenti di dati personali: […] c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.
In base a tale previsione normativa possiamo dire quindi che (in linea di massima) il discrimine tra l’applicabilità della norma e la non applicabilità è il carattere professionale dell’attività svolta dal soggetto. Pertanto se, ad esempio un soggetto decidesse di diventare un influencer, fino a che non eserciterà tale attività come una vera e propria professione, possiamo dire che, in linea di massima, potrebbe essere esentato dall’applicazione del GDPR mentre, dal momento in cui inizierà a prendere incarichi, sponsorizzare prodotti, ricevere pagamenti, sarà obbligato ad essere in compliance.
Volendo semplificare ulteriormente potremmo considerare come spartiacque la creazione di una partita iva.
Da questo momento in poi, per liberi professionisti, ditte individuali e simili è consigliabile mettersi in regola sotto il punto di vista privacy come sotto ogni altro punto di vista normativo.
I documenti necessari per il Gdpr a portata di partite Iva
In primo luogo sarà necessario munirsi di un registro delle attività di trattamento.
Il registro è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare del trattamento. Ma non solo, questo documento di fatto costituisce espressione diretta delle valutazioni di accountability che incidono, ad esempio sui tempi di data retention, sulle basi giuridiche scelte, sull’ individuazione dei soggetti autorizzati a trattare i dati.
L’art. 30 del GDPR afferma che tale adempimento non è obbligatorio per “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 “.
Tuttavia, l’importanza di tale registro è talmente cruciale ai fini dell’adeguamento che, a parere di chi scrive, risulta di fatto un adempimento imprescindibile.
A tal riguardo il Garante della Privacy sul suo sito internet ha predisposto un modello semplificato di registro di trattamento il quale si presenta in sostanza come una tabella di excel in cui ogni riga costituisce un flusso diverso di dati, mentre le colonne indicano le varie informazioni relative ad un determinato flusso.
In generale, è da ritenere che un professionista del tipo partita iva generi i seguenti flussi di dati:
- Preventivi;
- Gestione clienti e contabilità;
- Gestione e mail;
- Sito Internet.
Partendo da tale assunto, per il professionista sarà quindi necessario dotarsi di una informativa ex art. 13 GDPR che disciplini i rapporti con clienti e fornitori (già dalla fase di preventivo).
Dovrà nominare eventuali responsabili del trattamento tra cui, i principali potrebbero essere il commercialista e i servizi di cloud o di hosting che ospitano informazioni capaci di rientrare nella categoria “dati personali”.
Sul punto, è utile ricordare che la maggior parte dei servizi di cloud hanno presentato già nomina a responsabile esterno scaricabile dal relativo sito internet.
A mero titolo esemplificativo, Google sul proprio sito afferma:“I clienti che utilizzano G Suite e Google Cloud Platform operano in genere come titolari del trattamento dei dati per tutti i contenuti personali che forniscono a Google attraverso l’utilizzo dei servizi Google Cloud. Il titolare del trattamento dei dati determina gli scopi e i mezzi per il trattamento dei dati personali. Poi c’è il responsabile del trattamento dei dati. Solitamente siamo noi. In qualità di responsabile del trattamento dei dati, Google Cloud gestisce i dati personali per conto del titolare del trattamento dei dati, quando quest’ultimo utilizza G Suite o Google Cloud Platform”
Non solo, sempre la grande G ha pubblicato tutta una sezione dedicata al loro ruolo nei confronti dei clienti alla luce del GDPR. In tale sezione del sito è possibile altresì individuare l’atto vincolante considerato come elemento imprescindibile al fine di nominare un responsabile del trattamento.
Come Google, occorre ribadirlo, anche molti altri servizi si sono premurati di disciplinare i rapporti con i clienti professionali ai fini privacy e, pertanto, sarà sufficiente cercare bene per poter trovare il relativo atto giuridico di nomina a responsabile esterno.
Sicurezza informatica
Ciò detto, una volta redatto il registro dei trattamenti e i conseguenti documenti (informative e nomine) per il libero professionista o per la piccola ditta individuale sarà necessario sottoporre ad un esame accurato i propri sistemi informatici di modo da innalzare il livello di sicurezza.
A tal riguardo è utile evidenziare come tale passaggio non comporti per forza degli esborsi eccessivi.
Esistono difatti programmi gratuiti che, ad esempio riescono a cifrare il disco dei laptop (siano essi Mac o Windows) garantendo un ottimo livello di sicurezza.
Nel dettaglio, per i sistemi Windows, tra gli altri, esiste un programma chiamato #Bitloker (già incluso in molte versioni da Vista in poi) che permette di cifrare il disco aumentando notevolmente il livello di protezione dei dati. Anche per Mac esistono sistemi analoghi. Uno su tutti è il programma FileValut anch’esso in grado di cifrare il disco permettendo, ad esempio, in caso di furto, di valutare seriamente la possibilità di non notificare il data breach al Garante ed ai clienti. Ricordiamo difatti che l’art 33 GDPR obbliga a notificare le violazioni all’Autorità competente “a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Pertanto, se il libero professionista o la ditta individuale subiscono un data breach è necessario che gli stessi valutino la necessità, o meno, di notificare la violazione al Garante, ricordando che, in ogni caso, permarrà l’obbligo di annotare il breach in un apposito registro da munire, possibilmente, di data certa.
Policy privacy da seguire per professionisti e partite Iva
Oltre a quanto detto, il professionista/partita iva, seppur da solo, dovrà valutare la predisposizione di policy che disciplinino le best practice a cui ispirarsi nel trattamento di dati. Ora, è evidente che per un singolo professionista, la creazione di policy potrebbe risultare un lavoro quasi autoreferenziale. Così però non deve essere. Anche se chi predispone la policy è lo stesso destinatario, è utile che si proceda con simili attività, se non altro per permettere riflessioni approfondite su cosa fare e cosa non fare nell’esercizio della propria attività di impresa. Fermarsi e riflettere sui singoli passaggi, sulle prassi a volte naturali, permette difatti di individuare criticità anche in passaggi apparentemente innocui.
In questo modo, ad esempio, il libero professionista potrà comprendere i pericoli insiti nell’utilizzo del car play nelle auto a noleggio e ricordarsi di cancellare i dati personali dopo l’utilizzo. Potrà poi decidere una corretta policy di backup, in modo da riuscire a riavviare la propria attività in caso di backup. Un’altra policy importante potrebbe essere quella che risponde alla domanda “come comportarsi a seguito di un breach?”. Se ci si pone simili interrogativi prima che l’evento avvenga, sarà difatti più semplice e veloce la reazione del professionista. Si potrebbe, per ipotesi, individuare un tecnico fidato a cui rivolgersi, ma anche un avvocato da contattare tempestivamente per valutare se notificare o meno la breccia al Garante, riuscendo così a scegliere i professionisti più adatti alle proprie esigenze.
In conclusione, come si diceva, anche per partite iva e ditte individuali, è sconsigliabile procedere con un adeguamento fai da te in quanto, come visto, la messa a norma di un’azienda comporta creazione di documenti e procedure nonché la implementazione di sistemi informatici. In ogni caso, per chi volesse intraprendere il percorso verso l’adeguamento, sarà importante prendere in considerazione (come minimo) tutti gli aspetti sopra evidenziati. Adeguarsi al GDPR non vuol dire copiare un’informativa privacy, alla luce di quanto sopra, questo concetto dovrebbe essere chiaro.
