Protezione dati: RGPD in Svizzera
Quali le regole UE applicabili o da applicare al nostro territorio? Ecco un’informativa a tal proposito.
GDPR, come dice la sigla (General Data Protection Regulation), è un testo che volge a uniformare le leggi europee sul trattamento dati e il dovere di controllo delle informazioni che riguardano ogni persona.
Nell’aprile 2016 è arrivata l’adozione del testo da parte del Consiglio europeo e del Parlamento europeo, e il 4 maggio 2016, i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea. Il Regolamento entra, per prassi, in vigore 20 giorni dopo la pubblicazione in Gazzetta ed è entrato effettivamente in applicazione in tutti gli Stati membri, dal 25 maggio 2018 (deadline uguale per tutti i Paesi). Per questa data, infatti, ha dovuto essere garantito il perfetto allineamento delle varie normative nazionali con le disposizioni previste dal Regolamento.
In Svizzera, le attività di vigilanza e controllo in materia di protezione dei dati sono assicurate dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e dalle autorità cantonali di protezione dei dati (ACPD; per il Ticino l’Incaricato cantonale della protezione dei dati) nel quadro delle rispettive competenze. Nell’ambito degli Accordi di Schengen queste autorità concretano e coordinano diverse attività di controllo, d’informazione e di sensibilizzazione. Esse non sono unicamente competenti in materia di vigilanza sul SIS e dei servizi interessati, ma devono pure vigilare affinché alle persone interessate da un trattamento di dati personali in questo ambito sia garantito l’esercizio effettivo dei diritti individuali.
L’”Ambito di applicazione territoriale” sancito all’articolo 3, RGPD, è estremamente importante per la Svizzera e regola, secondo la legge europea sulla protezione dei dati, come e in che misura anche la Svizzera debba rispondere e attendere a regole ben precise nel quadro europeo.
Le aziende
GDPR concerne tutte le aziende che gestiscono qualsiasi tipo di dato personale, dalle informazioni sui propri dipendenti alla profilatura dei clienti per conto terzi.
È importante capire che anche i soggetti che non appartengono agli Stati membri dell’Unione Europea ma che hanno interessi sul territorio UE o che trattano dati di cittadini UE, devono garantire le medesime garanzie di tutela previste dal Regolamento.
Proprio per le aziende, l’articolo 5 del GDPR 2018 prevede una serie
di principi validi per il trattamento dei dati, incluso quello della “responsabilizzazione”
che attribuisce direttamente ai titolari del trattamento il compito di
assicurare, ed essere in grado di comprovare, tutti i principi.
Le attività commerciali in Svizzera
Particolarmente interessati sono tutti i servizi e i negozi online svizzeri al servizio dell’UE. In effetti, non sono solo i prodotti a pagamento che rientrano nella definizione di offerta di beni o servizi, ma anche le offerte che non sono soggette a pagamento, come ad esempio le newsletter gratuite per le persone residenti nell’UE.
Poiché secondo GDPR gli indirizzi IP sono considerati dati personali, l’operato degli operatori di siti web svizzeri rientrano nel GDPR dell’UE fintanto che utilizzano il “webtracking” per l’analisi delle abitudini e del comportamento di navigazione degli utenti sul loro sito (compresi quindi i clienti residenti UE).
Raccomandiamo agli operatori di siti web e negozi online stabiliti in Svizzera di verificare se le loro attività rientrano nell’ambito di applicazione del GDPR al fine di poter, se necessario, conformarsi al complesso elenco di disposizioni che quest’ultimo regolamento prevede e, se necessario, avvalendosi della consulenza di legali specializzati in materia.
Il mancato rispetto delle normative prevede sanzioni severe: chi viola il GDPR può essere multato fino a 20 milioni di euro o con una multa equivalente al 4% del fatturato mondiale dell’azienda.
Difficile riassumere questo
tema, qui di seguito elenchiamo alcune delle voci più utilizzate, spiegandone brevemente
le regole di base per un utilizzo consapevole e corretto (parametri selezionati
del RPDG dell’UE, in relazione al funzionamento di siti web, negozi online,
attività di marketing online, ecc.).
I ‘cookies’
Essi sono utilizzati per memorizzare bit di informazioni specifiche riguardanti le interazioni tra il pc ed il sito web. Tali informazioni possono essere usate dal server web in seguito, per quando l’utente tornerà a fargli visita. Il browser è il programma che ha il controllo dei cookies e li gestisce sul computer.
È necessario valutare attentamente se gli interessi legittimi dell’operatore del sito web o del negozio online che utilizza i cookies siano prevalenti sugli interessi di protezione dei propri dati dell’utente stesso. La prelazione dell’operatore si verifica solo quando l’uso dei cookies viene utilizzato per raccogliere i soli dati necessari per raggiungere gli scopi previsti dal servizio dell’operatore (vedi ev. anche: la pseudonimizzazione è una tecnica che consiste nel conservare i dati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive).
I cookies che facilitano l’uso
di un sito web, l’accesso e la qualità del servizio di un negozio online o i
cookies utilizzati per l’analisi del sito web sono, in linea di principio,
legalmente ammissibili. Se la valutazione della prevalenza degli interessi in
gioco fosse a favore dell’utente, i cookies in questione dovrebbero essere
utilizzati solo previo consenso dell’interessato.
Moduli di contatto
Tutti i moduli di contatto su
un sito web o per un negozio online devono essere protetti (ad esempio tramite
il blocco SSL: il termine SSL -sigla per “Secure Socket Layers”- indica
una tecnica che si usa per
criptare e autentificare il traffico dati in rete, garantendola
trasmissione sicura dei dati tra browser e server web su un sito. Soprattutto
nell’e-commerce, dove vengono trasmessi dati protetti e sensibili, l’uso di un
certificato SSL, o meglio della sua versione più recente TLS -“Transport Layer
Security”- è imprescindibile.)
.
Lo stesso vale per i moduli
utilizzati a fini di ordinazioni o registrazioni (ad esempio, per inserire
l’indirizzo di fatturazione e consegna), per un possibile modulo di richiesta
online, per abbonamenti a newsletter e per le altre forme che sono oggetto di
una raccolta di dati personali.
I dati personali che non sono essenziali non dovrebbero essere raccolti “inutilmente”.
Ciò può quindi essere evitato definendo opportunamente i campi obbligatori
richiesti nei moduli.
Ottenere il consenso
Quando si richiede il consenso dell’utente al trattamento dei dati personali (ad es. per l’invio di una newsletter), l’utente deve essere informato in modo trasparente e chiaro sulla modalità e la finalità della raccolta e dell’utilizzo dei dati richiesti.
L’utente dovrà poi accettare il trattamento previsto per i suoi dati personali e indicare chiaramente il proprio consenso al riguardo (ad esempio, facendo clic su una casella prevista a tale scopo. Un semplice “opt-out” non è sufficiente. Opt-out: nell’ambito dell’email marketing, è l’opzione di rinuncia con cui l’utente iscritto ad una mailing list chiede l’interruzione dell’invio di e-mail informative o promozionali.
Un tipico esempio di opt-out è l’impresa che invia un messaggio al
consumatore per un primo contatto, offrendogli la possibilità di rifiutare
l’invio di ulteriori messaggi; in mancanza di tale rifiuto, e in virtù di una
sorta di consenso tacito, l’impresa può continuare ad inviare comunicazioni
commerciali all’utente, fino a quando egli non dichiarerà esplicitamente di non
essere interessato).
L’operatore del sito web
o del negozio online deve essere sempre in grado di attestare il consenso
dell’utente. L’utente ha anche il diritto di opporsi e deve essere informato di
questo suo diritto.
RGPD in Svizzera: dichiarazione sulla privacy
L’informativa sulla privacy deve essere scritta in un linguaggio comprensibile, chiaro, semplice e nella/e lingua/e in uso. L’informativa sulla privacy deve contenere anche le informazioni dettagliate di cui all’art. 13 RGPD (Articolo 13, EU RGPD, “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”). L’operatore deve, nel contesto dell’informativa sulla privacy, trattare esplicitamente tutti i vari ambiti coinvolti, raccolta e trattamento dei dati personali in relazione ai moduli di contatto, alla registrazione / account cliente, cookie e plug-in dei social media, nonché argomenti relativi a newsletter, processi di verifica del credito, hosting di siti web, ecc..
Verifica della solvibilità
Come regola generale, è generalmente ammesso un controllo della solvibilità laddove quest’ultima sia necessaria per la conclusione di un contratto. Sempre preponderante la valutazione degli interessi coinvolti: gli interessi legittimi dell’operatore per verificare la solvibilità dell’utente devono essere prioritari sugli interessi della protezione dei dati dell’utente.
Se si propone il metodo di pagamento “acquisto con fattura”, è ammissibile un controllo del credito e non è necessario aver ottenuto il consenso preliminare dell’utente per farlo. La verifica del credito deve tuttavia aver luogo solo dopo aver la selezione del metodo di pagamento e non prima.
Se si scelgono i metodi di pagamento “pagamento anticipato”, “con carta di credito” (PayPal incluso) o qualsiasi altro metodo simile, il controllo del credito non è considerato necessario per la conclusione del contratto. Se, tuttavia, si desidera verificare la solvibilità dell’utente, è necessario ottenerne un esplicito consenso. Un controllo del credito per la gestione attiva del metodo di pagamento scelto dall’utente senza il consenso dell’utente stesso è altrimenti illegale.
Plugin dei social media
Poiché l’utente non può validamente acconsentire all’uso dei plugin dei social media, è consigliabile rinunciare al loro uso o ricorrere a soluzioni alternative come l’uso di “Shariff” (Social-Media-Buttons rispettoso della legislazione sulla protezione dei dati).
Utilizzo di fornitori di servizi esterni
Se l’operatore di un sito web o di un negozio online collabora con fornitori di servizi esterni per il trattamento di dati personali, l’operatore e il fornitore di servizi esterni devono concludere un accordo per la protezione dei dati trattati.
È necessario rispettare i requisiti stabiliti nel GDPR in materia di “Accordo sul trattamento dei dati”. Tutti gli accordi esistenti con fornitori di servizi esterni devono essere sottoposti a screening per determinare se soddisfano i requisiti del GDPR in Svizzera. In caso contrario, gli accordi esistenti devono essere riformulati di conseguenza. Quando si trasferiscono dati personali a un fornitore di servizi di paesi terzi (Stati membri al di fuori dell’UE e del SEE), è necessario rispettare condizioni di ammissibilità stabilite dal GDPR in Svizzera.
Obbligo di nominare un responsabile della protezione dei dati
I gestori di siti web o negozi online devono assicurarsi di rispettare sia il GDPR, sia la legislazione nazionale del Paese dell’UE sull’obbligo di nominare un delegato alla protezione dati. Solo le persone con qualifiche professionali e conoscenze tecniche adatte a tale posizione possono essere designate come responsabili della protezione dei dati. La nomina di un responsabile esterno della protezione dei dati è tuttavia possibile.
Il responsabile della protezione dei dati è il primo punto di contatto per l’autorità di controllo. Il RGPD contiene anche un elenco di compiti assegnati al responsabile della protezione dei dati.
Questo articolo di controllo ha lo scopo di aiutare e indirizzare la gestione di un utilizzo del sito web in modo legalmente sicuro. Tuttavia, in alcuni casi potrebbe rendersi necessaria una consulenza tecnica e legale mirata. Dal momento che la legislazione e la giurisprudenza si evolvono a pari passo con questo ampio e complesso tema, consigliamo la massima prudenza.
Fonte: WEKA, RGPD en Suisse: Check-list, 5.9.2019