Da anni la protezione dei dati personali è diventata una priorità per le organizzazioni e, più in generale, per i titolari del trattamento in tutto il mondo. Con l’introduzione del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (GDPR), è necessario garantire che il trattamento dei dati personali avvenga in conformità a standard rigorosi di sicurezza. Il GDPR, infatti, impone l’obbligo di implementare, tra l’altro, misure adeguate per la gestione e la protezione dei dati personali.

La conformità al GDPR non è una questione prettamente legale ma coinvolge direttamente aspetti ulteriori legati all’attività d’impresa, come la fiducia e la reputazione di società e operatori economici. La mancata conformità può comportare severe sanzioni: fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo risulti più elevato. Oltre alle sanzioni economiche, le violazioni della privacy possono danneggiare significativamente la reputazione aziendale, con conseguente perdita di clienti, partner commerciali e ricavi.

I titolari del trattamento devono quindi adottare un approccio proattivo per garantire che tutte le attività di trattamento dei dati personali siano conformi al GDPR. Ciò include l’implementazione di politiche e procedure interne, la formazione dei dipendenti e l’uso di strumenti tecnologici avanzati per monitorare e gestire i dati secondo i principi “privacy by design” e “privacy by default”.

Privacy by Design e Privacy by default.

I principi di privacy by design e privacy by default implicano la protezione dei dati fin dalla fase di progettazione dei processi e come impostazione predefinita.

  • Privacy by design è un principio che si riferisce all'integrazione di misure di protezione dei dati e di rispetto della privacy fin dalle prime fasi di sviluppo di un sistema o processo;
  • privacy by default è il principio per cui le impostazioni più rispettose della privacy siano configurate automaticamente, senza l’intervento dell'utente.

Spesso nemmeno le organizzazioni sono pienamente consapevoli di come gestiscono i dati: per questa ragione, prima di impostare la modulistica e le procedure relative al rispetto della privacy, è necessario comprendere chi gestisca i dati, quali dati vengano trattati, come e perché – prima di tutto: con quali mezzi e per quali finalità. In questo contesto, esistono plurimi servizi automatizzati di compliance, i quali offrono soluzioni che promettono di aiutare le organizzazioni a rispettare il GDPR. Tuttavia, è fondamentale comprendere i limiti di questi strumenti e perché potrebbero non garantire una conformità completa.

GDPR: applicazione e diritti degli interessati.

l Regolamento Generale sulla Protezione dei Dati (GDPR) è una normativa dell’Unione Europea entrata in vigore il 25 maggio 2016 ed applicata dal 25 maggio 2018, con l’obiettivo di armonizzare le leggi sulla privacy dei dati in tutta Europa, proteggere e responsabilizzare tutti i cittadini dell’UE in materia di privacy dei dati e ridefinire il modo in cui le organizzazioni di tutta la regione affrontano la protezione dei dati. Il GDPR può applicarsi a tutte le organizzazioni che, indipendentemente dalla loro ubicazione, trattano i dati personali di persone fisiche residenti nell’UE.

Il GDPR è stato progettato con plurimi obiettivi:

Protezione dei diritti individuali connessi al trattamento dei dati:

  1. Diritto all’informazione: gli interessati hanno il diritto di sapere come vengono raccolti, utilizzati, conservati e condivisi i loro dati personali;
  2. Diritto di accesso: gli interessati possono richiedere accesso ai propri dati personali e sapere come vengono utilizzati;
  3. Diritto di rettifica: gli interessati possono correggere i dati personali inesatti o incompleti;
  4. Diritto alla cancellazione (diritto all’oblio): gli interessati possono richiedere la cancellazione dei loro dati personali in determinate circostanze;
  5. Diritto alla portabilità dei dati: gli interessati possono ottenere e riutilizzare i propri dati personali per i propri scopi attraverso diversi servizi;
  6. Diritto di opposizione: gli interessati possono opporsi al trattamento dei propri dati personali in determinate situazioni, come il marketing diretto.

“Interessato” è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo e-mail, il codice fiscale e il cognome di Mario Rossi, costui è l’“interessato”.

Trasparenza e responsabilità:

  • Le organizzazioni devono essere trasparenti in merito alle modalità con cui utilizzano i dati personali e devono adottare misure per garantire che i dati siano trattati in modo sicuro e conforme alla legge;
  • le organizzazioni devono mantenere documentazione dettagliata delle attività di trattamento dei dati e devono essere in grado di dimostrarne la conformità di fronte alle autorità di controllo.

Sicurezza dei dati:

  • Le organizzazioni devono implementare misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, nonché da perdita, distruzione o danni relativi ai dati personali;
  • in caso di violazione dei dati, le organizzazioni possono essere tenute a notificare la violazione alle autorità di controllo e, in alcuni casi, agli interessati.

Per conformarsi al GDPR, le organizzazioni devono adottare una serie di misure, tra cui:

  • Audit dei dati: identificare e mappare tutti i dati personali che vengono trattati – ad esempio: raccolti, utilizzati e conservati;
  • Policy e procedure: implementare politiche e procedure interne per la gestione dei dati personali, inclusi i processi per gestire le richieste degli interessati;
  • Formazione: formare dipendenti e collaboratori sulle loro responsabilità in materia di protezione dei dati e sulle procedure aziendali per garantire la conformità;
  • Tecnologia: utilizzare tecnologie appropriate per proteggere i dati personali e rilevare eventuali violazioni.

Come funzionano i servizi di compliance automatici?

I servizi di compliance automatizzati sono progettati per aiutare le organizzazioni a gestire la conformità alle normative sulla privacy attraverso l’uso di strumenti tecnologici. Alcuni noti servizi offrono una soluzione che consente alle organizzazioni di creare e gestire contenuti e documenti legali, come le privacy policy e le cookie policy, in modo autonomo; alcune piattaforme forniscono molteplici strumenti per facilitare la generazione, l’archiviazione e l’aggiornamento dei contenuti e documenti legali necessari per garantire la conformità delle attività di trattamento rispetto al GDPR.

Alcuni noti servizi permettono addirittura agli utenti di creare documenti legali personalizzati utilizzando un generatore automatico: tali utenti inseriscono le informazioni relative alla loro attività e un software genera i documenti necessari, come le privacy policy e le cookie policy. Il processo di generazione è semplificato attraverso l’uso di modelli predefiniti e clausole standard, che talvolta possono essere selezionate e adattate alle specifiche esigenze dell’organizzazione. Tuttavia, è essenziale che le organizzazioni siano perfettamente consapevoli di come gestiscono i propri dati prima di utilizzare questi strumenti: per definizione, di nessun documento e nessuna procedura è possibile garantire la correttezza senza una preliminare mappatura e verifica dei dati personali e dell’organizzazione che li tratta.

Alcuni noti servizi offrono anche strumenti di integrazione che permettono di incorporare i documenti e i contenuti legali nei siti web o nelle app mobili: questo avviene tramite l’uso di codici di embedding, in grado di consentire ai documenti e ai contenuti di essere visibili e accessibili agli utenti finali. Alcune piattaforme includono anche strumenti per la gestione del consenso, consentendo alle organizzazioni di raccogliere e gestire i consensi degli utenti.

 

Limiti dei servizi di compliance automatici

1) Mancanza di personalizzazione e adattabilità

I servizi di compliance automatizzati offrono soluzioni standardizzate che possono essere particolarmente utili, come base di partenza, per le piccole organizzazioni con esigenze di base. Tuttavia, la mancanza di personalizzazione è uno dei limiti principali di questi strumenti: ogni organizzazione ha caratteristiche uniche e specifiche che richiedono un approccio su misura per garantire una piena conformità al GDPR. I documenti e i contenuti generati automaticamente dai servizi automatici si basano sulle informazioni inserite dall’utente (non sempre consapevole e formato) e utilizzano modelli predefiniti, il che può non essere sufficiente per coprire tutte le necessità legali specifiche di un’organizzazione.

2) Inadeguatezza nella gestione delle specificità delle organizzazioni

Le organizzazioni operano in contesti molto diversi e spesso devono affrontare situazioni complesse che richiedono una consulenza legale esperta. I servizi automatici non forniscono assistenza personalizzata nella scelta delle clausole o nella stesura dei documenti e dei contenuti legali, lasciando questa responsabilità interamente agli utenti. Questo può portare a lacune nella documentazione legale, soprattutto in settori regolamentati o in presenza di dati particolari. Inoltre, le piattaforme non sono in grado di adattarsi rapidamente alle specifiche esigenze aziendali o alle variazioni normative o giurisprudenziali o di prassi che possono influenzare il trattamento dei dati e la relativa legittimità.

3) Responsabilità dell’utente nella verifica della conformità

Un aspetto importante dei termini e condizioni applicati da noti servizi automatici riguarda la responsabilità dell’utente nella verifica della conformità dei documenti generati. Anche se alcuni servizi automatici forniscono strumenti per facilitare la generazione e l’aggiornamento dei documenti e dei contenuti, è sempre e comunque compito dell’utente assicurarsi che i documenti siano conformi alle leggi applicabili e, in primis, al GDPR. Questo include la verifica che tutte le clausole inserite siano adeguate e che i documenti riflettano correttamente le pratiche di trattamento dei dati dell’organizzazione. In caso di ispezioni e provvedimenti delle Autorità di controllo, non sarà mai possibile invocare la responsabilità del fornitore dei servizi automatici – al contrario: la cieca adozione dei documenti e dei contenuti generati dai servizi automatici può contribuire di per sé all’accertamento di una responsabilità dell’organizzazione e all’applicazione di sanzioni.

A mero titolo di esempio, di seguito riportiamo la clausola “responsabilità” presente nei termini e condizioni del servizio automatico fornito da Iubenda e consultabile al sito web www.iubenda.com:

“Il contenuto di iubenda.com ed i documenti generati utilizzando il Servizio sono forniti a scopo informativo. Malgrado le clausole e disposizioni selezionabili nel generatore siano state redatte da una squadra di consulenti legali altamente qualificati vengano sottoposte a costante revisione ed aggiornamento, la generazione dei documenti avviene in modo interamente automatizzato. Pertanto, il Servizio non costituisce o sostituisce una consulenza legale, né dà luogo ad un rapporto di mandato tra assistito e avvocato. Nonostante il massimo sforzo volto ad offrire il miglior servizio possibile, iubenda non può garantire che i documenti generati siano perfettamente conformi alla legge applicabile. Gli Utenti sono quindi invitati a non fare affidamento sui documenti generati con iubenda senza farsi assistere da un avvocato abilitato nell’ordinamento/negli ordinamenti di riferimento.”

L’importanza della consulenza legale specializzata

Affidarsi esclusivamente a strumenti automatizzati per la compliance al GDPR può dunque lasciare scoperti alcuni aspetti cruciali della conformità legale e, come si è visto, non limita in alcun modo le eventuali responsabilità dell’organizzazione che vi ricorre – anzi.

La consulenza legale specializzata offre diversi vantaggi che i servizi automatizzati non possono garantire:

Personalizzazione:

  • Analisi specifica: un avvocato esperto in materia di GDPR può analizzare in dettaglio le specifiche attività dell’organizzazione, identificando le esigenze uniche e i rischi specifici;
  • soluzioni su misura: un avvocato esperto in materia di GDPR può creare documenti e contenuti legali personalizzati che riflettono accuratamente le pratiche e le politiche dell’organizzazione, assicurando che tutte le clausole siano adeguate e conformi alle normative vigenti.

Interpretazione delle normative:

  • Consulenza esperta: le normative sulla privacy sono complesse e in continua evoluzione: un avvocato esperto in materia di GDPR può fornire interpretazioni aggiornate e consigli su come applicare le normative al contesto specifico dell’organizzazione;
  • aggiornamenti normativi: un avvocato esperto in materia di GDPR può operare al fine di consentire all’organizzazione di rimanere conforme alle nuove leggi e alle interpretazioni delle normative esistenti, offrendo aggiornamenti tempestivi e pertinenti.

Gestione dei rischi:

  • Identificazione dei rischi: un avvocato esperto in materia di GDPR può identificare potenziali rischi di non conformità e suggerire misure preventive per mitigare tali rischi, in particolare con riferimento a nuove attività dell’organizzazione che potrebbero imporre verifiche e modifiche rispetto a procedure, documenti e contenuti legali legati alla privacy – ad esempio: un servizio automatico non può sapere che un’organizzazione ha deciso di implementare un nuovo servizio che determina un nuovo trattamento di dati personali che addirittura potrebbe richiedere l’adozione di specifiche misure (come una valutazione d’impatto);
  • Supporto in caso di violazioni: in caso di violazioni dei dati o altri problemi di conformità, un avvocato esperto in materia di GDPR può offrire supporto immediato per gestire la situazione e ridurre al minimo le conseguenze legali e finanziarie; in tal caso, sarebbe opportuno che il professionista che si occupa della gestione della situazione di crisi sia lo stesso che ha contribuito alla formazione della struttura privacy dell’organizzazione, in modo da poter intervenire rapidamente e con cognizione di causa – nessun servizio automatico può dialogare con il DPO né con il Garante.

Formazione e sensibilizzazione:

  • Sessioni di formazione: un avvocato esperto in materia di GDPR può organizzare sessioni di formazione per il personale, aumentando la consapevolezza sulle normative sulla privacy e le migliori pratiche per la gestione dei dati, aspetti che contribuiscono alla cultura aziendale e al valore – anche patrimoniale – dell’attività d’impresa: ad esempio, nell’ambito delle operazioni societarie straordinarie, è tipico che un acquirente pretenda che l’organizzazione da acquisire sia conforme rispetto al GDPR, ciò al fine di evitare sia i costi necessari a raggiungere l’obiettivo della compliance, sia i rischi – anche patrimoniali – di situazioni di illegittimità e violazioni.

In definitiva: non si nega che i servizi automatizzati possano fornire una base utile per la compliance al GDPR, in particolare quando le esigenze delle organizzazioni sono particolarmente modeste; tuttavia, la consulenza legale specializzata rimane essenziale per garantire una conformità completa e sicura.

Un avvocato esperto in materia di GDPR può offrire soluzioni personalizzate, interpretazioni aggiornate delle normative e supporto continuativo, assicurando che l’organizzazione rimanga conforme e protetta dai rischi legali e finanziari associati alla non conformità. Inoltre, è opportuno che la valutazione iniziale della compliance al regolamento in materia di dati personali sia effettuata da un consulente GDPR, evitando l’errata convinzione che si possa risparmiare procedendo prima con l’adozione di servizi automatici per poi rivolgersi in un secondo momento al consulente, come se fosse possibile una mera revisione di quanto predisposto attraverso i servizi automatici.

Infine – aspetto non secondario – qualsiasi avvocato è obbligato per legge a dotarsi di una assicurazione professionale a tutela dell’organizzazione che si rivolge al professionista per avvalersi di servizi di consulenza e assistenza legale, anche in ambito di privacy; quando si rivolgono a uno studio legale – sempre, ma soprattutto per questioni legale alla compliance GDPR, visti gli importi delle sanzioni – le organizzazioni farebbero bene a verificare le coperture assicurative in vigore.

 

Per ricevere una consulenza mirata in materia privacy e GDPR, contattaci

Inviando confermo il consenso al trattamento dei dati personali che ho inserito nel modulo disciplinato dalla Privacy Policy