Questa è una Guida estramente pratica alla protezione dei dati nei punti vendita, senza alcuna pretesa di sostituire i vostri consulenti, commercialisti, avvocati o partner commerciali
Introduzione
Gestire responsabilmente i dati personali: un impegno quotidiano
La protezione dei dati personali è diventata una componente essenziale dell’attività di ogni esercente. Comprendere le regole previste dalla normativa sulla privacy significa tutelare se stessi, la propria attività e i clienti.
Questa guida offre una panoramica sui principali riferimenti normativi in materia di trattamento dati, fornendo indicazioni pratiche su come comportarsi in negozio. Saranno affrontati:
- cosa si intende per “dato personale”;
- quali attività costituiscono un trattamento;
- chi sono i soggetti responsabili;
- quali misure di sicurezza adottare;
- cosa fare in caso di incidente (data breach).
L’obiettivo è fornire strumenti chiari per individuare i rischi connessi al trattamento dei dati e applicare tutte le contromisure preventive richieste.
Normativa Privacy: definizioni e ambito applicativo
Il quadro normativo
Il regolamento europeo sulla protezione dei dati personali (GDPR) è stato pubblicato il 24 maggio 2016 e reso operativo il 25 maggio 2018, abrogando la precedente Direttiva 95/46/CE.
In Italia, il Codice della Privacy è stato aggiornato con il D.lgs. 101/2018, che ha modificato il D.lgs. 196/2003 per armonizzarlo con il Regolamento UE.
Cosa si intende per dato personale?
Un dato personale è qualsiasi informazione che consenta, anche indirettamente, di identificare una persona fisica. Alcuni esempi:
- Nome e cognome;
- Codice fiscale o altri numeri identificativi;
- Dati di geolocalizzazione.
Rientrano tra i dati personali anche:
- Indirizzi IP;
- Cookie e identificatori di navigazione;
- Caratteristiche fisiche, comportamentali o culturali.
Anche un modo di scrivere, una voce registrata o la cronologia web possono essere usati per tracciare l’identità di una persona.
Cosa si intende per trattamento?
Il termine trattamento include qualsiasi operazione, automatizzata o meno, applicata ai dati: raccolta, consultazione, archiviazione, modifica, cancellazione, invio.
Il Responsabile del Trattamento
Chi è il responsabile?
Secondo l’art. 28 del GDPR, è il soggetto – persona fisica o giuridica – che gestisce dati personali per conto del titolare, sulla base di uno specifico incarico.
Perché ci sia un responsabile del trattamento, devono verificarsi due condizioni:
- essere distinto dal titolare del trattamento;
- agire esclusivamente su mandato del titolare.
Il contratto con il titolare
Il trattamento effettuato dal responsabile deve essere regolato da un contratto scritto, che stabilisce:
- le finalità del trattamento;
- la durata e la natura delle attività;
- il tipo di dati coinvolti;
- i diritti e gli obblighi delle parti.
Obblighi del tabaccaio
Un esercente nominato responsabile del trattamento è tenuto a:
- trattare i dati seguendo le istruzioni ricevute dal titolare, nei limiti dei servizi concordati;
- assicurarsi che i collaboratori abbiano firmato un impegno alla riservatezza;
- mettere in sicurezza strumenti, accessi e credenziali (come terminali, portali o app);
- rispettare le misure previste dall’art. 32 del GDPR;
- evitare la condivisione non autorizzata delle informazioni.
Data Breach: cosa è e come riconoscerlo
Come riconoscerlo, segnalarlo, documentarlo
Che cos’è un Data Breach?
È una violazione della sicurezza che provoca, anche accidentalmente, la perdita, modifica, divulgazione o accesso non autorizzato a dati personali. Alcuni esempi comuni:
- Furto o smarrimento di dispositivi con dati o credenziali salvate;
- Invio errato di documenti contenenti dati a un destinatario sbagliato;
- Accesso abusivo o danneggiamento dei dati a causa di virus o hacker;
- Esposizione di dati personali su pre-scontrini o scontrini lasciati incustoditi.
Cosa fare in caso di Data Breach?
Il responsabile del trattamento deve comunicare l’evento entro 24 ore dalla sua scoperta al titolare del trattamento, fornendo tutte le informazioni necessarie, tra cui:
- chi ha segnalato la violazione (compresi eventuali sub-responsabili);
- data e ora dell’incidente;
- tipologia della violazione e numero stimato degli interessati;
- possibili conseguenze e azioni previste per ridurre i danni;
- contatti del responsabile della protezione dei dati o di un referente.
Tutte le violazioni – anche solo sospette – devono essere documentate, in linea con i protocolli di whistleblowing aziendale.
Quali sono le conseguenze?
Una violazione degli obblighi privacy può comportare:
- danni economici e reputazionali;
- interruzione dei servizi;
- risoluzione del contratto di collaborazione con il titolare del trattamento, ove prevista.
Per qualsiasi ulteriore informazione contatta sempre il tuo sindacato o il tuo commercialista di fiducia.