le indicazioni

Protezione dati personali: la guida EDPB per le piccole e medie imprese

Home Sicurezza digitale Privacy
Indirizzo copiato

Lo European Data Protection Board ha pubblicato uno strumento agile e schematico molto utile per soggetti, come le piccole imprese, spesso in difficoltà nell’ottemperare ai principi del Gdpr, in ragione della scarsità di risorse e di preparazione

Pubblicato il 6 giu 2023
Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

shutterstock_1917684596.jpg

Di recente lo European Data Protection Board (EDPB), nell’ambito delle attività pianificate per il 2023, ha pubblicato una guida sintetica finalizzata ad aumentare il grado di coerenza dell’agire delle piccole imprese (small business) rispetto alla tutela dei dati personali, nei suoi vari aspetti, così come regolato dal GDPR.

Si tratta di uno strumento agile e schematico particolarmente utile per soggetti, come le piccole imprese appunto, spesso in difficoltà nell’ottemperare ai principi posti dalla normativa, in ragione della scarsità di risorse e della carenza di preparazione al riguardo.

Privacy: le imprese poco attente alla compliance sono più a rischio default

È dunque certamente utile farne una veloce ricognizione, tanto più che, al momento della redazione di questo contributo, tale strumento era disponibile esclusivamente in lingua inglese.

Cosa si intende per dati personali

Nello sforzo di rendere il proprio contegno coerente con i principi posti dal GDPR a tutela del trattamento dei dati personali, il primo concetto che tutti, piccole imprese comprese, devono tenere a mente è, appunto, la definizione di dato personale.

È dato personale ogni informazione connessa con l’essere umano in grado di identificarlo direttamente o di renderlo identificabile indirettamente (mediante una inferenza).

Per esemplificare, sono dati personali tutelati dal GDPR:

  • i nomi, i cognomi, i numeri di telefono delle persone;
  • i numeri di identificazione di clienti e dipendenti;
  • i codici di prenotazione;
  • gli indirizzi e-mail ed i dati di localizzazione;
  • le cronologie di navigazione e le cronologie di acquisto di beni/servizi;
  • le fotografie, le registrazioni di video ed audio aventi ad oggetto immagini e/o suoni delle persone.

L’identificazione indiretta delle persone rende dati personali anche, per esempio, le loro preferenze, gli orientamenti, le convinzioni e le abitudini.

Ai sensi degli articoli 9 e 10 del GDPR, alcune categorie di dati sono particolarmente sensibili ed importanti, così da meritare una tutela più severa: essa si traduce nel rendere lecito il loro trattamento solo ricorrendo determinate, specifiche condizioni, come, ad esempio, il consenso esplicito dei titolari.

Da questo punto di vista sono dati sensibili:

  • i dati concernenti la salute;
  • i dati concernenti le abitudini e gli orientamenti sessuali;
  • i dati concernenti origini etniche e raziali;
  • i dati concernenti le opinioni politiche, gli orientamenti religiosi e filosofici;
  • i dati biometrici e genetici.

Sono altresì considerati sensibili (articolo 10 del GDPR) i dati concernenti i reati e le condanne penali: essi possono essere trattati solo da una autorità pubblica (come la Polizia di Stato), sotto il controllo di una autorità ufficiale (come il Garante), e solo ove i trattamenti siano espressamente autorizzati dalla legge.

Le buone pratiche consigliate dal EDPB

Il EDPB, al fine di orientare il contegno di coloro che trattano i dati, e così anche delle piccole imprese, ha identificato alcune buone pratiche da seguire per risultare coerenti con i principi del GDPR.

Esse sono:

  • chiedersi se la finalità del trattamento sia giustificata;
  • raccogliere solo i dati strettamente necessari in relazione al trattamento;
  • informare il titolare dei dati su come avverrà il trattamento e per quali finalità;
  • verificare che esista una adeguata copertura giuridica del trattamento, ed ove essa coincida con il consenso dei titolari dei dati, chiedere loro tale consenso sempre prima di iniziare il trattamento;
  • assicurarsi di trattare e conservare i dati in modo sicuro;
  • mantenere i dati sempre aggiornati;
  • cancellare i dati non appena essi non sono più necessari per il trattamento (tenendo a mente che in alcuni casi le leggi nazionali possono imporre periodi di conservazione più lunghi).

In cosa consiste il trattamento dei dati personali

È trattamento dei dati personali qualsiasi attività, automatizzata o meno, condotta su o con i medesimi.

Per fare un esempio: la semplice lettura/consultazione del dato personale è un trattamento rilevante ai sensi del GDPR.

Ancora più in concreto: la lettura, effettuata anche senza alcun interesse specifico, del frontespizio di un fascicolo indicante il nome ed il cognome della persona cui si riferisce, quando tale fascicolo è posto chiuso sul piano di lavoro di una scrivania, è un trattamento dei dati personali di quella persona rilevante ai fini GDPR.

Anche la semplice memorizzazione dei dati personali integra un trattamento rilevante.

Deve dunque essere chiaro che non solo la elaborazione, riorganizzazione, elaborazione dei dati sono trattamenti presi in considerazione dal GDPR: come detto trattamenti non manipolativi come consultazione ed archiviazione sono altrettanto sensibili e rilevanti.

Quando il GDPR si applica alla piccola impresa

Ai sensi degli articoli 2 e 3, il GDPR si applica alla piccola impresa se:

  • essa è stabilita nel territorio dello Spazio Economico Europeo (coincidente con il territorio della UE cui si aggiungono Islanda, Liechtenstein e Norvegia);
  • ovvero, se essa non è stabilita nel territorio della Spazio Economico Europeo ma offre, anche gratuitamente, beni e/o servizi a persone che si trovano (anche solo per uno scalo aeroportuale, dunque in mero transito) in tale territorio, ovvero ne monitora il comportamento in tale ambito geografico e temporale.

Il GDPR, inoltre, si applica anche alla piccola impresa ove essa stia attuando il trattamento in rappresentanza di una entità di diritto pubblico o di diritto privato; naturalmente, laddove nel fare ciò essa risponda ai criteri sopra riepilogati.

In pratica, ciò significa che il GDPR si applica alla piccola impresa, ad esempio:

  • se essa ha una sede nel territorio dello Spazio Economico Europeo;
  • se essa non ha una sede in detto territorio ma vi fornisce beni e servizi (ed indipendentemente dalla nazionalità di coloro che se ne avvalgono – scalo aereo);
  • se essa è una compagnia dell’IT senza sede in detto territorio, ma ha subappaltato la gestione dei suoi database ad una entità che si trova nel medesimo;
  • se essa è un service provider con sede nel predetto territorio e tratta i dati in rappresentanza di una entità stabilita al di fuori di esso.

I principi generali fondanti del GDPR

Il trattamento dei dati è lecito solo laddove sia giuridicamente coperto dal consenso degli interessati ovvero da una tra le altre possibili coperture giuridiche, così come disposto dall’articolo 6 GDPR.

Qualora il trattamento sia coperto dal consenso degli interessati, detto consenso deve essere: libero, informato, specifico, ed esplicito.

In altre parole, non vi devono essere dubbi circa la consapevolezza degli interessati in ordine a ciò cui hanno acconsentito, alla finalità del trattamento.

Inoltre, non vi deve essere alcun dubbio che il trattamento sia iniziato solo successivamente all’ottenimento del relativo consenso.

Infine, deve essere sempre possibile per gli interessati revocare il loro consenso.

Principio di limitazione del trattamento

Il trattamento dei dati personali può avvenire solo per finalità specifiche, esplicitamente espresse, e legittime (contemplate dalla legge).

Ciò significa che il trattamento può avvenire e successivamente continuare solo ed esclusivamente per le finalità inizialmente evidenziate e segnalate agli interessati.

Nuove finalità devono essere oggetto di nuove informative, e nuovamente consensate, ove necessario.

Principio di limitazione/minimizzazione dei dati

Il set di dati oggetto di trattamento deve corrispondere per qualità e numero al set strettamente necessario alla luce della finalità del medesimo; e così, ad esempio: se si desidera porre in essere una campagna promozionale su larga scala attraverso l’invio massivo di e-mails (spamming), si avrà bisogno esclusivamente di nome, cognome ed indirizzo di posta elettronica; il numero di telefono, o l’indirizzo di residenza a questo specifico fine sono considerati dati “eccedenti”, e la loro acquisizione è illecita.

Principio di accuratezza/esattezza

I dati raccolti per uno specifico trattamento devono essere esatti ed essere aggiornati.

I dati inesatti devono essere rettificati ovvero cancellati.

Principio di limitazione temporale della conservazione dei dati

La conservazione dei dati raccolti deve essere strettamente limitata al periodo necessario al raggiungimento della finalità specifica di ogni trattamento.

Ne discende che i dati degli interessati devono essere cancellati od anonimizzati ogniqualvolta non siano più necessari per il raggiungimento di tale finalità.

La tua piccola impresa, pertanto, dovrà dotarsi di una policy che prenda in considerazione il periodo di conservazione dei dati in relazione alle varie finalità dei trattamenti, e di procedure di cancellazione specifiche.

In questa sede può essere utile svolgere qualche riflessione sull’anonimizzazione dei dati: è anonimizzazione qualsiasi procedura che abbia come risultato il rendere impossibile permanentemente la identificazione del titolare sulla base del dato o di una qualsivoglia sua elaborazione.

La criptazione del dato con successiva creazione di una chiave di decriptazione che renda reversibile il processo, non è anonimizzazione, ma psuedonimizzazione.

La differenza tra i 2 processi è fondamentale; poiché mentre il primo sottrae letteralmente il dato alla copertura del GDPR (il dato anonimizzato non è protetto dal GDPR, perché secondo il GDPR, successivamente a tale processo, non è più un dato personale), la seconda si traduce in una misura di sicurezza più o meno efficace in funzione del contesto specifico e, dunque, più o meno idonea, sempre in funzione del medesimo, ma lascia il dato assolutamente sotto l’ombrello della tutela GDPR.

Tuttavia, in astratto, neppure l’anonimizzazione lascia tranquilli; questo perché la tecnologia è in continua evoluzione ed il dato anonimizzato oggi potrebbe essere ricostruito domani grazie ad una tecnologia più sofisticata, risultando a posteriori semplicemente pseudonimizzato.

Principio di sicurezza

I dati devono essere trattati in modo sicuro; ciò significa che adeguate misure di sicurezza devono essere adottate al fine di prevenire ed impedire ogni possibile inconveniente, accidentale, o doloso che abbia per conseguenza, il disvelamento, la perdita, la distruzione o la compromissione parziale dei dati personali.

In questo ambito il problema coincide col concetto di adeguatezza: ogni qualvolta si verifica un problema tra quelli appena elencati, tragicamente si scopre che le misure di sicurezza considerate “adeguate” a priori, a posteriori erano “inadeguate”; e questa scoperta non sempre coincide con la emersione di una negligenza del titolare del trattamento: la tecnologia, come detto sopra, è in continua evoluzione, e come nel doping sportivo, chi attacca, potendo preparare l’attacco in ogni dettaglio, è intrinsecamente in vantaggio rispetto a chi si deve difendere da tutto e da tutti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • Medicina

    Neuralink: le promesse e i dubbi sulla tecnologia di Musk

    30 Gen 2024

    di Redazione

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 3