Sul GDPR si è scritto e detto tutto e il contrario di tutto, complici anche coloro che, pur non occupandosi di questa materia, si sono voluti cimentare nella redazione di post basati su un argomento ostico, solo perché si trattava dell’argomento del momento.

La diretta conseguenza di questo “bombardamento” di informazioni, non sempre corrette, è la confusione che si è venuta a creare, sia online che offline.

Le leggende metropolitane e i falsi miti generati in questo ambito si alternano in un valzer che sembra non avere fine.

Cerchiamo quindi, normativa alla mano, di fare un po’ di chiarezza.

1. GDPR: La data fatidica del 25 maggio 2018

Da più fonti è stata riportata la notizia di fantomatici rinvii per l’applicazione del Regolamento.

Niente di più sbagliato.

Il GDPR è stato emanato attraverso l’adozione di uno strumento particolare, ossia un regolamento che, come tale, è direttamente applicabile all’interno dei singoli Stati appartenenti alla UE.

Questo significa che non sarà necessario alcun tipo di norma interna di recepimento e, proprio per questo non ci saranno rinvii di alcun genere.

2. Il Garante ha detto che non farà controlli di alcun tipo

Anche questa notizia è del tutto infondata.

È appena il caso di sottolineare che c’è stato addirittura un comunicato ufficiale del Garante che ha smentito la notizia.

Inutile insistere in questa direzione, proprio in virtù della smentita ufficiale.

Da leggere: Link building? Ecco come farlo bene

3. Il consenso richiesto per il trattamento dei dati si può ottenere anche implicitamente

Assolutamente no, il consenso deve essere esplicito.

A questo riguardo l’art. 4 n. 11 del Regolamento definisce “consenso dell’interessato” qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che dati personali che lo riguardano siano oggetto di trattamento. La dichiarazione o l’azione espressa è espressamente richiesta dal Regolamento quindi il silenzio assenso non si può prendere in considerazione.

4. Il consenso già ottenuto per l’invio della newsletter non comporta altri adempimenti

Il consenso ottenuto secondo il Codice Privacy per l’invio della newsletter potrebbe non essere in linea con il GDPR.

Dipende, infatti, dalle modalità con le quali è stato raccolto e ottenuto, oltre che dalle finalità specifiche per le quali è stato richiesto.

Pensiamo, ad esempio, all’autorizzazione rilasciata dall’utente per l’invio di contenuti extra rispetto a quelli pubblicati sul sito.

L’interessato ha dato il consenso affinché i propri dati venissero utilizzati esclusivamente per questo tipo di contenuti. Nell’ipotesi in cui quello stesso dato (indirizzo email) venisse ora utilizzato per l’invio di contenuti diversi, ad esempio a carattere commerciale o promozionale, il consenso originariamente rilasciato non sarebbe idoneo e andrebbe nuovamente richiesto per quella specifica finalità.

Bisogna quindi fare sempre riferimento al consenso originariamente acquisito e sulla base di quello valutare se sia o meno necessario richiederlo nuovamente.

5. Il GDPR si applica solo a realtà con più di 250 dipendenti

La soglia dei 250 dipendenti è indicata dal Regolamento unicamente con riferimento all’obbligo della tenuta del registro dei trattamenti, ma non riguarda l’applicazione del GDPR.

Il Regolamento si applica a tutti coloro che trattino dati personali e tale trattamento non avvenga nell’ambito di attività a carattere personale o domestico (così espressamente l’art. 2 paragrafo 2 lett c).

Tornando per un attimo al registro dei trattamenti si segnala che sebbene questo adempimento non sia obbligatorio per tutti coloro che trattano dati personali, rappresenta in ogni caso, ai fini probatori, un ottimo strumento di tutela perché consente di dimostrare come sia stato realizzato in concreto il trattamento e quali misure siano state adottate.

6. L’informativa da dare ai clienti è la stessa che si mette sul sito

L’affermazione è del tutto errata perché l’informativa (anche se tecnicamente nel GDPR non si chiama più così) che deve essere fornita all’interessato deve esplicitare le finalità per le quali vengono raccolti e trattati i dati personali. L’attività svolta online e quella offline, sebbene di una medesima realtà, non sempre risultano coincidenti e, proprio per questo, i due documenti dovranno essere realizzati in relazione alle specifiche finalità perseguite in ciascun ambito.

7. Il GDPR riguarda solo il digitale

Anche questa è un’informazione completamente errata.

Il GDPR non si applica in base alle modalità con cui vengono trattati i dati, bensì al trattamento dei dati personali in sé considerato.

Che questo quindi venga realizzato con strumenti digitali o meno non influisce sull’applicazione della normativa.

8. Il registro dei trattamenti va conservato in formato cartaceo

Le modalità con le quali vengono tenuti i registri delle attività sono lasciate alla decisione del singolo soggetto.

In particolare l’art. 30 paragrafo 3 del Regolamento specifica che “i registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico”.

Da leggere: Come trovare gli argomenti per un blog: 6 consigli indispensabili

9. Il DPO è obbligatorio solo per la Pubblica Amministrazione

Anche questa informazione è frutto di una erronea conoscenza delle disposizioni del Regolamento.

Il DPO, infatti, a norma dell’art. 37 deve essere designato quando:

• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Ecco quindi che la designazione del DPO non è riservata esclusivamente, per espressa previsione normativa, alla Pubblica Amministrazione.

L’elenco delle leggende metropolitane che circolano sul GDPR potrebbe continuare all’infinito.

Per non cadere in errore e non lasciarsi fuorviare da queste informazioni sbagliate basta un’unica accortezza: controllare la fonte dalla quale provengono e leggere con occhio critico e attento tutto ciò che si trova online. Poi, se si aggiunge una buona dose di curiosità e si controlla leggendo personalmente il testo del regolamento, ancora meglio.