Regolamento UE 2016/679: piccole imprese, obblighi più leggeri
Il Regolamento europeo si applica anche alle Pmi, perchè l’applicazione non dipende dalla dimensione dell’impresa ma dalla natura dell’attività compiuta. Le attività che causano rischi elevate per i diritti e le libertà degli individui, se condotte sia da una grande impresa sia da una piccola impresa impongono l’applicazione di regole cogenti. Peraltro non tutti gli obblighi previsti dal regolamento si applicano alle Pmi.
Per esempio le imprese con meno di 250 dipendenti non devono compilare il registro dei trattamenti, a meno che i trattamenti non siano occasionali, espongano a rischio le libertà e i diritti individuali o riguarda dati sensibili o relative a condanne penali. Allo stesso modo, le Pmi sono tenute a nominare un responsabile della protezione dei dati (Dpo) solo se il trattamento dei dati è l’attività principale e espone a rischi i diritti e le libertà personali, come nel caso di monitoraggio delle persone e trattamenti di dati sensibili o giudiziari, in quando il trattamento è effettuato su larga scala.
Il regolamento 2016/679, dunque, incide direttamente sul modello organizzativo delle aziende. Vediamo alcuni casi schedati dalla Commissione europea.
Quando si applica il regolamento. Una società è una piccola impresa occupata nel settore della formazione e svolge la sua attività online; l’impresa è stabilita fuori dall’Unione europea. I servizi sono destinati prevalentemente a favore delle facoltà di lingue spagnola e portoghese presso università dell’unione europea. La società offre consulenza gratuita a proposito di alcuni corsi universitari e gli studenti devono chiedere le credenziali di autenticazione (identificativo utente e parola chiave) per accedere al materiale conservato online. La società fornisce le credenziali previa compilazione di un formulario.
Quando non si applica il regolamento. Una società, stabilita fuori dall’Unione europea, svolge il servizio di service provider. Vengono forniti servizi internet a clienti che non si trovano nell’unione europea. I clienti possono usare i servizi quando sono in viaggio, anche all’interno dell’unione europea. Dal momento che i servizi non sono destinati specificamente a persone che si trovano in paesi dell’unione europea, la società non è assoggettata alla disciplina del Regolamento europeo.
Società paghe – Un birrificio ha molti dipendenti. L’impresa sottoscrive un contratto con una società che si occupa di paghe per il pagamento degli stipendi. Il birrificio comunica alla società di servizi quando devono essere pagati gli stipendi, quando un dipendente cessa dal servizio e ha un aumento di stipendio e fornisce tutte le altre informazioni per l’elaborazione del listino paga e per il pagamento.
La società di servizi fornisce il sistema informatico e conserva i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società di paghe è responsabile del trattamento.
Joint venture – Una società offre il servizio di baby-sitter su una piattaforma internet. Contemporaneamente la società ha un contratto con un’altra impresa che permette di offrire servizi aggiuntivi, come per esempio non solo la scelta del personale addetto ma anche di affittare video giochi che il baby-sitter può portare con sé.
Entrambe le imprese sono coinvolte nella predisposizione tecnica del sito web e le due società hanno deciso di usare la piattaforma per le due finalità (servizi di cura dei bambini e noleggio video giochi) e di scambiarsi le informazioni sui propri clienti.
Le due società sono contitolari perchè non solo hanno un’intesa sull’offerta di prodotti combinati, ma hanno anche progettato e usano una comune piattaforma internet.
Subappaltatore – Un’impresa di costruzioni si avvale di un sub-fornitore per specifici interventi e fornisce a quest’ultimo gli indirizzi dei clienti e dei cantieri presso i quali si devono compiere le attività.
Il subfornitore usa i dati per mandare materiale pubblicitario. In quest’ultimo caso il su-fornitore non riveste solo il ruolo di responsabile, in quanto non sta trattando dati per conto dell’impresa di costruzioni, ma sta anche svolgendo trattamenti ulteriori per scopi propri. Quindi assume la veste di titolare del trattamento per le finalità proprie.
Cloud – Una società di vendita al dettaglio decide di conservare una copia dell’archivio dei clienti su un server cloud. A questo scopo viene sottoscritto un contratto con un provider conosciuto per i livelli di alta sicurezza, che si avvale di un sistema certificato di crittografica dei dati.
Il cloud provider è un responsabile del trattamento, dal momento che la conservazione dei dati dei clienti della società è effettuata per conto della società commerciale.
Dpo – Il Dpo è obbligatorio per:
– un ospedale che tratta una gran quantità di dati sensibili
– una società che offre servizi di sicurezza ambientale, che fa monitoraggio di centri commerciali e spazi pubblici
– una piccola società che si occupa di selezione del personale che profila i candidati.
Il Dpo non è obbligatorio per:
– singolo medico che tratta i dati dei propri clienti
– piccolo studio legale.
Violazione dei dati/1 – I dati dei dipendenti di una società tessile sono stati carpiti e acquisiti. I dati comprendono gli indirizzi, la composizione familiare, l’ammontare del salario, dati sanitari. La società deve notificare al garante l’avvenuta violazione dei dati. Dal momento che tra i dati carpiti ci sono anche dati sanitari, la società deve anche dare comunicazione dell’accaduto ai dipendenti.
Un dipendente di un ospedale copia i dati dei pazienti su un Cd e poi li pubblica in rete. L’ospedale se ne accorge qualche giorno dopo. Non appena presa conoscenza l’ospedale ha 72 ore per informare il Garante e per darne notizia ai pazienti. In questo caso è fondato il dubbio che l’ospedale abbia predisposto misure di protezione adeguate sia tecniche sia organizzative.
Se avesse messo in atto misure adeguate (come la crittografia dei dati), non ci sarebbe stata probabilità di rischio e si sarebbe potuta evitare la comunicazione ai pazienti.
Violazione dei dati/1 – Un gestore di un servizio cloud smarrisce numerosi dischi rigidi contenenti dati personali di numerosi clienti. Deve notificare a questi clienti non appena prende conoscenza del fatto.
I clienti devono notificare al garante e comunicare agli interessati in relazione all’accaduto.
Sanzioni. Una società vende online articoli casalinghi. Mediante il sito web, i consumatori possono comprare attrezzi per la cucina, tavoli, sedie e altri prodotto per la casa, fornendo gli estremi dei propri conti bancari. Il sito web subisce un attacco cibernetico e i dati bancari sono carpiti dall’attentatore.
La mancanza di misure adeguate è causa della perdita dei dati. In questa circostanza molti elementi saranno considerati dal Garante nel corso dell’istruttoria del procedimento sanzionatorio.
Il Garante dovrà valutare quanto grave sia stata la lacuna del sistema di sicurezza, per quanto tempo è durata l’esposizione a rischio, se sono state effettuate prove per prevenire un attacco. Altri profili riguardano il numero dei clienti i cui dati sono stati rubati o carpiti e quali tipi di dati sono stati violati.
Una società vende online abiti su misura. Per rendere mirati i servizi alla clientela, si chiede ai clienti di fornire informazioni sulla taglia, colori preferiti, metodo di pagamento, nomi e indirizzi per la consegna dei prodotti acquistati.
In più la società chiede dati sulle opinioni politiche. Peraltro le opinioni politiche non sono necessari per cucire e consegnare un vestito. E, quindi, non si possono né raccogliere né usare.
Vip obbligatoria – Una banca classifica i propri clienti in un archivio sulla valutazione del merito creditizio; un ospedale elabora un archivio informatico con i dati sanitari dei pazienti; una società di trasporti installa video camera a bordo dei mezzi. Sono casi in cui è obbligatoria la Valutazione di impatto privacy.
Vip non obbligatoria – Un dottore che tratta dati dei suoi pazienti nel suo ambulatorio: il numero dei pazienti è limitato non c’è trattamento su larga scala: non ha l’obbligo di redigere la Valutazione di impatto privacy.
Non serve il consenso – Nelle verifiche di al Regolamento Ue l’impresa constata che i consensi già e raccolti in passato sono conformi ai requisiti adeguamento del regolamento europeo. A questa condizione non si deve chiedere agli interessati di confermare il consenso entro maggio 2018.
Obbligo di nuovo consenso – Una società ha acquisito i consensi dei clienti un po’ di anni fa usando il sistema di caselle già contrassegnate online.
Questo metodo di raccolta del consenso non è valido ai sensi del regolamento Ue 2016/679 e, quindi, la società deve raccogliere un nuovo consenso se vuole proseguire i trattamenti.
Import/export – Una piccola società di pubblicità intende espandere la sua attività dalla Francia alla Germania. Prima del regolamento Ue 2016/679 i trattamenti dei dati sono assoggettati a distinte discipline normative e questo implica che bisogna adeguarsi ai diversi ordinamenti. Ciò significa anche un aggravio di costi: per ottenere pareri legali, per adeguare i modelli organizzativi e per pagare costi amministrativi. Questi costi possono compensare gli utili attesi dall’ingresso della società in un nuovo mercato.
Grazie al regolamento europeo, invece, l’impresa che vuole esercitare la propria attività in un altro mercato europeo potrà fare i conti con la medesima disciplina normativa, senza sopportare costi addizionali in consulenza legale; si consideri anche che è stato abrogato l’adempimento della notificazione al Garante del trattamento dei dati personali.