Anche una piccola attività online deve adeguarsi al GDPR?
Pro tip – quando si ha una piccola attività online e ci si chiede ma io la privacy la devo proprio fare? il più delle volte la risposta è: sì.
Una volta finito di scuotere il capo, lamentarsi e stramaledire che il GDPR ai piccoli proprio non c’ha pensato, o peggio che tocca fare tutta ‘sta burocrazia manco fossi una banca/assicurazione (che secondo vulgata diffusa sembrano essere gli unici soggetti destinati a dover fare la privacy o comunque un’unità di misura per la significatività della soggezione al GDPR) prima poi bisogna scendere a patti con il fatto che sì, la privacy tocca farla.
A meno che ovviamente l’attività non sia a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Ma se si sta parlando di piccola attività online, c’è ben poco spazio per questa eccezione. Anzi, diciamolo chiaramente: non ce n’è proprio. Neanche se la sede e modalità di lavoro la chiamiamo home working per tirarcela. E nemmeno se cane, gatto e ogni variegata animaleria domestica compongono tutti i nostri stakeholder interni (anche qui, ammettiamolo, un po’ ce la vogliamo tirare).
Ora: se si deve fare qualcosa per essere in regola con la legge, tanto vale farla bene. Prima di tutto pensando ad alcuni documenti essenziali e poi tutti gli altri che si andranno ad aggiungere a seconda della quantità, tipologia e complessità delle attività svolte, così come dei soggetti che si vanno a coinvolgere.
GDPR: quando le dimensioni contano
Chi agisce come titolare o responsabile del trattamento è sottoposto agli stessi obblighi derivanti dal GDPR a prescindere dalle dimensioni dell’organizzazione, foss’anche costituita dal singolo imprenditore o professionista?
Per quanto riguarda i registri delle attività di trattamento esiste un riferimento alla dimensione dell’organizzazione, con la soglia di 250 dipendenti:
“Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni.” (considerando n. 13 GDPR)
ma la deroga non è così ampia come può sembrare e quindi nella stragrande maggioranza dei casi un registro andrà fatto e aggiornato. La buona notizia è che se ben fatto può tornare particolarmente utile e che per una piccola attività deve contenere non tutti ma solo alcuni trattamenti.
Gli obblighi derivanti da una larga scala di trattamenti, invece, e quindi lo svolgimento di una valutazione d’impatto o la designazione del DPO, si possono dire esclusi nel caso di un’attività riconducibile a quella di un singolo professionista.
Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati. (considerando n. 91 GDPR)
In generale, dunque, per quel che riguarda il rispetto dei principi del GDPR viene seguito il criterio di adeguatezza e dunque bisogna sempre tenere conto dell’efficacia con cui si provvede agli adempimenti normativi e soprattutto alla tutela degli interessati.
E quindi cosa deve fare una piccola attività online per adeguarsi al GDPR?
Se si vuole capire bene il da farsi nello specifico delle piccole attività online, segnalo la puntata “Questioni di privacy” del podcast Maledizioni Guidate dell’avv. Valentina Fiorenza (@theblondlawyer su IG) che spiega in modo pratico ed essenziale i fondamentali per essere conformi al GDPR nel momento in cui si vuole guidare la propria nave ricolma dei dati personali altrui all’interno del mare magnum dell’internet.
Se si ha un blog o un ecommerce, ad esempio, è chiaro che il contesto cambia e quindi anche i rischi e gli obblighi a cui si è soggetti. I quali, beninteso, possono essere più ampi della sola protezione dei dati personali.
Cosa fare per non naufragare, o peggio, rinunciare all’impresa?
Il primo passo è avere la consapevolezza necessaria per pianificare gli adempimenti. Questo si può fare nel modo che si preferisce: informandosi, partecipando a un corso pratico o ricorrendo alla consulenza ad un professionista. Fatto ciò si passa al momento del fare, scegliendo (o pretendendo) sempre una modalità “sostenibile” per la propria attività a livello di costi, tempo e impegno. Leggasi: evitare fuffa e paper compliance. Dopodiché occorre controllare nel tempo se si è rimasti allineati al proposito di avere tutte le carte a posto. Così gli adempimenti vengono valorizzati e non si disperdono.
