Nel mese di febbraio 2019 ho avuto il piacere di essere invitato presso il Palacio de Cristal in Madrid per partecipare quale relatore alla serie di conferenze organizzate nell’ambito della fiera dedicata agli investimenti internazionali IMEX – Impulso Exterior.
IMEX-Impulso Exterior Fair è la principale fiera commerciale internazionale spagnola. Offre i prodotti più efficaci e innovativi per aiutare le PMI nel loro processo di uscita all’estero. Organizzato dalla rivista Moneda Única, si tiene a Madrid da 16 anni, con cinque edizioni in Andalusia e Barcellona, quattro nella Comunità Valenciana, due a Castilla-La Mancha e una nelle Asturie. L’evento ha contato con la sponsorizzazione tra i vari di Banco Santander, di ICEX (Instituto comercio exterior de España), Madrid City Council, Maersk e DHL, studio Legale Juarez Y Asociados. Più informazioni sull’evento al seguente link.
L’argomento sul quale ho effettuato il mio intervento è stato “mercato unico digitale e e-commerce (“mercado único digital e e-commerce”).
Nel corso della relazione ho ricordato brevemente il ruolo del Digital Single Market quale strumento di sviluppo dell’unione europea, ossia come questa sia la strategia volta a creare una mercato unico dei servizi digitali di respiro veramente europeo che spazi non solo sui beni di consumi ma che riguardi anche i servizi digitali, ed in buona sostanza la connessione digitale e lo sviluppo degli scambi di merci, servizi e informazioni trai vari soggetti attivi sul mercato in Europa.
Argomento non toccato ma che, invece, meriterebbe altrettanta attenzione è l’ambito e-governement, ovvero lo sviluppo degli strumenti di governo elettronico come ad esempio l’implementazione del regolamento eidas per unificare i sistemi di identificazione a livello europeo.
Tornando al contenuto dell’intervento ho evidenziato lo stato dell’arte attuale, con i passi già compiuti verso la realizzazione di un compiuto Digital Single Market, ad esempio la recente introduzione del nuovo Regolamento UE n. 302/2018 UE Geo-blocking, ovvero gli ulteriori passi ancora da fare nonché i margini di crescita dello stesso ancora possibili, infatti ancora oggi tolti i grossi player internazionali rimane esiguo il numero di imprenditori che usano il commercio elettronico per vendere al di fuori dei propri confini.
Questo ultimo dato deve veramente far riflettere, in quanto si parla di un potenziale inespresso a disposizione di quello che dovrebbe essere ormai riconosciuto dagli imprenditori come proprio mercato interno, ed invece rimane per l’appunto li a disposizione dei soli pochi in grado di sfruttarlo.
Certo le difficoltà nel comprendere i meccanismi del e-commerce internazionale non mancano, tuttavia una considerazione del genera confligge con quella che dovrebbe essere un’analisi completa della questione e cioè pesare le difficoltà con i possibili benefici.
Parlando dei benefici sembra quasi banale ricordare come commerciare all’interno della UE prima di tutto voglia dire commerciare all’interno di un mercato molto ricco compost da quasi 500 milioni di abitanti, sia in genere esente da costi doganali, ci sia un alto livello di servizi, inoltre grazie alle norme introdotte dalla Ue ci sia certezza nei rapporti giuridici tra i soggetti operanti all’interno del Digital Single Market in caso di problemi, nel senso che è chiaro dal punto di vista sostanziale e processuale individuare e quindi rispettivamente responsabilità, la legge applicabile ed il foro di competenza della lite senza dimenticare, infine, una delle cose più importante che è agevole recuperare un credito internazionale.
Tornando al contenuto del mio intervento, focalizzato su Ue e Spagna, tuttavia ho dovuto evidenziare i recenti dati pubblicati dalla Ue (DESI) in materia sviluppo digitale all’interno della Ue, ossia che da questo punto di vista purtroppo l’Italia nel 2018 non si è piazzata benissimo, anzi salvo alcuni punti positivi, connettività e servizi e-governement, il quadro generale vede l’Italia perdere un posto.
Detto ciò questa ricerca conferma tra le varie cose un aspetto già evidenziato sopra, cioè la difficolta nel comprendere i meccanismi del e-commerce internazionale che letto attraverso la ricerca in commento si traduce nel dato sulla scarsità di capitale umano formato nelle materia in discussione.
In altre parole questa ricerca evidenzia come ad oggi l’e-commerce a livello internazionale sia poco sfruttato per la mancanza di soggetti con le dovute competenze necessarie ad implementarlo nelle aziende, non solo dal punto di vista tecnico informatico ma anche e soprattutto strategico e, quindi, di sviluppo del business, ad esempio, l’adozione di una piattaforma e-commerce focalizzata su un determinato mercato può essere anche uno strumento rapido ed economico di condurre in proprio un test del mercato obbiettivo, in vista di una possibile espansione anche “fisica” e non solo digitale.
Premesso tutto ciò bisogna tuttavia evidenziare come si, gli altri paesi Ue abbiano un livello di sviluppo digitale più alto del nostro ma bisogna anche evidenziare come un uso poco esteso del e-commerce internazionale all’interno della Digital Single Market sia trasversale a tutti i paesi membri dell’Unione.
INFORMATIVA GDPR
INFORMATIVA GDPR
Come fare un’informativa GDPR corretta?
On line ormai sull’argomento si trova di tutto, la prova ne sono le migliaia di informative scritte nelle maniere più disparate, tralasciando quelle totalmente sbagliate, molte hanno però hanno il difetto di essere state scritte seguendo opinioni più che il dettato della normativa relativa all’informativa GDPR.
Prima passo da fare quando si deve applicare una norma nuova, ancora prima di correre su google e digitare “informativa privacy fac-simile” o modello informativa privacy”, è quello di trovare magari un contributo autorevole che dica quale siano le norme di riferimento e leggerle.
Riguardo all’informativa GDPR le norme di riferimento sono gli artt. da 12 a 14 del GDPR, dove l’art. 12 primo comma prescrive: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.
Come si vede dall’art. 12 l’informativa GDPR serve per fornire le informazioni prescritte dagli art.13 e 14 di cui si dirà a breve, ed il punto su cui personalmente si batte chi scrive il presente articolo è quello della scrittura in maniera concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare quando destinate ai minori. Questo cosa vuol dire? Che la maggior parte dei papiri che si trovano in giro sui siti o nelle informative consegnate brevi manu (manualmente) ai cittadini non sono a norma, detto in altre parole quelle “belle” informative GDPR di pagine e pagine zeppe di riferimento normativi dove a volte non viene riportato neanche la rubrica dell’articolo non sono a norma, mentre con riferimento a quelle che riportano informazioni ridondanti, ovvero in eccesso, qualora nel complesso rendano non facile o chiara né tantomeno intelligibile l’informativa GDPR anche queste dovranno essere tacciate come documenti non a norma.
Sul punto mi permetto di sottolineare ulteriormente la ratio di tutto ciò, ovvero che l’obbligo di chiarezza ed intelligibilità dell’informativa GDPR trae origine dalla necessità di aiutare il cittadino, l’uomo comune, compresi i soggetti meno istruiti, a comprendere i propri diritti, anzi possiamo dire che questo tipo di obblighi (obbligo informativo da una parte e corrispondente diritto ad averla dall’altra) esistono proprio per tutelare i soggetti deboli del rapporto, quindi una informativa GDPR che possa essere compresa solo da un avvocato manca totalmente il suo scopo, viola la ratio della norma, cioè informare la parte più debole del rapporto, in questo caso l’interessato.
Premesso ciò quindi che fare per scrivere una informativa GDPR norma?
Come detto all’inizio questo articolo andando a leggere la norma di riferimento, ovvero gli artt. 13-14 si avrà la risposta, dove il primo dei due prescrive la lista obbligatoria di informazioni che l’informativa GDPR deve contenere, quando i dati si raccolgono presso l’interessato, vediamola di seguito:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f)ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
2.In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Questa è la lista da rispettare per scrivere un’informativa corretta, niente di più niente di meno, anche il troppo come detto sopra rischia di essere nemico della semplicità e chiarezza in merito alla quale si segnala la chiarezza dell’informativa Apple ad esempio, la quale grazie all’uso sapiente delle icone rende facilmente comprensibile i vari argomenti trattati dall’informativa GDPR.
Quanto invece all’articolo 14 riprende il contenuto suddetto però con riferimento alla raccolta dati effettuata non presso l’interessato, che detto in altre parole riguarda i casi di acquisto di database oppure dati inviati da altri soggetti, o ancora di database talmente vecchi di cui non si riesce a capire l’origine con esatta certezza (motivo per il quale il 25 maggio scorso il mondo è stato inondato da una marea di spam GDPR).
Riassumendo, la maniera migliore per scrivere una informativa GDPR a norma sotto tutti i punti di vista deve contenere tutte le informazioni indicati nella lista sopra in maniera chiara, semplice ed intelligibile lasciando stare tecnicismi e virtuosismi giuridici che a volte sembrano più essere scritti con l’intento di compiacere chi la scrive (il consulente di turno) piuttosto che agevolare l’interessato nella comprensione (obbligo di legge).
Se hai trovato interessante questo articolo metti like oppure condividilo sui social. Grazie!
Se hai bisogno di consulenza sull’argomento, scrivimi, sarò lieto di aiutarti.
GDPR – Il registro dei trattamenti
GDPR – IL REGISTRO DEI TRATTAMENTI
Il registro dei trattamenti istituto con il nuovo regolamento privacy ex art 30 GDPR è una delle più grandi novità previste dal testo della norma.
A tal proposito sono molte le domande e i dubbi delle imprese e degli enti riguardo alla sua redazione in maniera conforme al GDPR.
Cominciamo con il sottolineare che esistono due tipi di registro per il GDPR, quello del titolare del trattamento e quello del responsabile del trattamento, mentre con riferimento al soggetto obbligato alla sua tenuta l’ultimo paragrafo dell’art. 30 GDPR stabilisce che gli obblighi di cui ai primi due paragrafi (cioè obbligo alla tenuta del registro rispettivamente da parte del titolare e del responsabile), non si applicano alle imprese o organizzazioni con meno di 250 dipendenti.
Tuttavia, in seguito tale norma pone le seguenti eccezioni, ovvero che il registro è obbligatorio a meno che il trattamento:
i. possa presentare un rischio per i diritti e le libertà dell’interessato,
ii. non sia occasionale o
iii. includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o
iv. i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Detto in altre parole basta avere un dipendente che l’obbligo di tenuta di tenuto del registro dei trattamenti ricompare, difatti è sufficiente la presenza ad esempio dei certificati di malattia o infortuni per riconfigurare l’obbligo.
Quanto al soggetto tenuto a gestirlo sia il titolare che il responsabile qualora abbiano provveduto alla sua nomina possono affidare la gestione al DPO.
Quanto alla sua conformazione è un documento con un contenuto minimo indicato dal regolamento (art.30), tuttavia nulla impedisce, anzi è consigliato, provvedere ad arricchirlo con altre informazioni.
Ciò perché l’istituzione di un registro ben fatto può costituire non solo la dimostrazione di quell’accountability richiesta dal GDPR, ma costituisce un’ottima base per procedere alla redazione del documento di valutazione d’impatto sul trattamento dei dati (DPIA).
Difatti, qualora il registro venisse arricchito con tutte le informazioni relative ai trattamenti dati effettuati, procedere con la loro analisi ai fini della valutazione del rischio, risulterebbe molto più agevole.
Fatte le dovute considerazioni di carattere generale, vediamo il contenuto minimo che il registro del titolare (o quello de rappresentante ove applicabile) deve avere:
a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Mentre il contenuto minimo del registro del responsabile (o quello de rappresentante ove applicabile) deve prevedere:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Quanto agli strumenti da usare, oltre ai software più o meno validi presenti sul mercato, esistono delle utilità gratuite messe a disposizione da autorità garanti straniere oppure da varie associazioni.
A questo proposito si riporta come l’autorità belga abbia provveduto a pubblicare un modello che si sostanzia in un foglio Excel in cui incasellare, secondo i criteri di classificazione ritenuti più opportuni al caso dal titolare, i contenuti minimi obbligatori richiesti dalla norma.
Altra precisazione doverosa, il registro come detto è il primo strumento dì accountability, pertanto, in caso d’ispezione da parte dell’autorità competente (ad esempio in seguito a una segnalazione), sarà il primo documento che chiederà di visionare.
Sempre rimanendo nel campo dell’accountability si ritiene che questa non vada considerata solo come principio imposto dal legislatore europeo foriero di nuovi adempimenti e responsabilità ma possa essere, ribaltandone l’accezione negativa che certi soggetti al momento gli stanno attribuendo (l’ennesimo adempimento burocratico!) un vantaggio competitivo nei confronti dei concorrenti se sapientemente comunicato.
Salvatore Familiari
Benvenuti su DP4EU
Benvenuti su DP4EU
Il sito che che andrete a consultare mira a fornire informazioni e chiarimenti sul complesso mondo della data protection.
Perche DP4EU?
Con l’entrata in vigore del nuovo GDPR è diventato evidente anche ai più scettici che la nuova dimensione della privacy è europea, non si può fare a meno che guardarla da un punto di vista internazionale, quindi non sarà più possibile creare de microcosmi normativi, la disciplina si svilupperà da ora in poi su base europea, lasciando agli stati nazionali solo alcuni aspetti (difesa, particolari categorie di dati, definizione interessi legittimi, etc..), però a parte ciò il grosso della discliplina e di best practice avrà un respiro europeo.
Tutto ciò non solo è il vantaggio perseguito dalla UE nell’emanare il Regolamento n. 679/2016, ma è un vantaggio per imprese e interpreti, infatti le prime se con proiezione europea non dovranno più confrontarsi con decine di discipline nazionali differenti, i secondi potranno usufruire delle esperienze degli altri paesi.
il blog è aperto a qualunque contributo costruttivo utile ad approfindire sia la materia della privacy, argomento del momento, sia delle nuove tecnologie (come Blockchain, Smart Contract, Intelligenza Artificiale, Smart Cities..).
