Il GDPR per gli ottici

La stessa FEDEROTTICA, vista l’importanza della materia ed il momento storico in cui ci sta muovendo, consiglia a tutti i Centri ottici di contattare quanto prima eventuali Professionisti o Agenzie specializzate sulla Privacy per una valutazione più approfondita delle proprie specifiche procedure operative (utilizzo dei dati personali nel proprio Centro ottico, gestione documentale informativa o cartacea, conservazione e trattamento dei dati per attività di marketing eccetera).

Non occorre mai cadere nella facile interpretazione ma con la mia attività non tratto dati “particolari”, è vero l’esatto contrario in questo ambiente si trattano dati personali e sensibili, per cui oltre le normali precauzioni occorre anche qualche accorgimento più specifico.

Esistono una serie di adempimenti da affrontare, che possono variare a seconda della struttura e della complessità del negozio (dipendenti, sistema di videosorveglianza, sito di ecommerce, etcc), di seguito le principali azioni da compiere per essere a norma oggi:

Aggiornare e nel corso del tempo modificare secondo le indicazioni specifiche della materia i documenti informativi e i consensi con i clienti, utenti e fornitori e naturalmente il personale a qualunque titolo prestino la propria opera all’interno della struttura
Riorganizzare il Centro Ottico, il negozio, rendendolo compliance con la nuova legge europea sulla privacy solo a titolo di esempio parliamo di formalizzazione e formazione del personale che normalmente a qualsiasi titolo effettua il trattamento sui dati e che quindi occorre sia in possesso di autorizzazione da parte del titolare
Verificare ed aggiornare i sistemi di sicurezza nella protezione dei dati (antivirus, firewall, password complesse, backup protetti, gestione dei pagamenti elettronici, fatture elettroniche, etcc)
Compilare, manutenere ed implementare il registro del trattamento, che deve essere visto come vademecum di verifica dei rischi per dimostrare alle autorità ispettive di essere conforme alle regole previste dal Regolamento Europeo, ben sapendo che questo registro può essere tenuto nella modalità che più aggrada il singolo gestore purchè sia sviluppato secondo le regole definite all’articolo 30 del regolamento europeo.
Predisporre un sistema che sia in grado di comunicare all’Autorità di protezione dei dati un eventuale violazione dei dati personali (data breach).
Iter formativi continui per il titolare del trattamento e per gli incaricati.
Eventuale adesione a codici di correttezza e a sistemi di certificazione.
Formulare un piano di aggiornamento/verifiche della documentazione redatta e delle procedure esistenti.

E’ possibile ipotizzare un cammino “sicuro” anche per il settore ottico mirato a gestire la problematica con un set adeguato di attività, ed in tal caso occorre verificare una serie di regole.

I dati

Per verificare la compliance occorre verificare quali tipi di dati personali (come potrebbero essere i nomi, indirizzi) e sensibili (ad es. dati sanitari) sono gestiti nell’ambiente. Tutto ciò va fatto ben sapendo che oltre a quali sono occorre anche capire da dove vengono questi dati, come questi stessi sono stati raccolti e quindi sono entrati a far parte del database dell’ottico, ma soprattutto occorre avere molto ben chiaro il motivo dell’utilizzo.

Tieni audit interni sui tuoi flussi di dati per mappare quello che è a posto e cosa deve essere ancora adattato per il nuovo regolamento. Assicurati di fare una scansione legale di tutti i tuoi documenti legali e aggiornarli in maniera appropriata.

Informativa

Gli articoli 13 e 14 del Regolamento Europeo 2016/679 elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali ben spiegando che questa deve essere resa pubblica nel modo più semplice possibile.

Oltre che renderla pubblica l’informativa deve anche essere il più possibile chiara ed intuitiva e deve contenere:

Chi è l’interessato
Chi effettua il trattamento
I recapiti del titolare ed i recapiti del DPO dove nominato
Quali sono i trattamenti effettuati e perché
La base giuridica del trattamento
Quali sono i dati raccolti
Eventuali automatismo, come la profilazione
Comunicazioni a soggetti esterni (responsabili esterni)
Metodologia e tempi di conservazione
Trasferimenti di dati in paesi terzi
I diritti dell’interessato

Consenso regole ed obblighi

Nel nuovo GDPR, il consenso alla raccolta dei dati deve essere concesso liberamente e deve essere specifico, informato e inequivocabile. Il consenso non può provenire dal silenzio, da caselle preselezionate o dell’inattività.

Il GDPR offre diritti puntuali per revocare il consenso. È necessario informare le persone su questo diritto e offrire modi “semplici” per revocare il consenso in qualsiasi momento.

Il consenso sarà anche un fattore importante per qualsiasi e-mail inviata. Per le e-mail commerciali (ad es. offerta promozionale, sconto) ai non clienti è necessario aggiungere specifici pulsanti di opzione per consentire alle persone di confermare la loro iscrizione. Se le persone non hanno dato il consenso esplicito, non ti sarà permesso di inviare e-mail commerciali. Le e-mail non commerciali (ad es. gli auguri per le festività) o le e-mail ai clienti richiederanno solo un opt-out (l’opzione di annullare l’iscrizione a tali e-mail).

A questo va aggiunto e di conseguenza gestito la classica fidelity card dove presente, che richiede informative specifiche e consensi ancora più specifici.

Motivo della raccolta

Ai tuoi clienti, dovrai comunicare:

Come raccogli i dati:
Perché tratti i dati:
Per quanto tempo sono conservati (la conservazione non può andare oltre lo stretto necessario).
Quali dati sono stati raccolti:
Come sono raccolti;
Lo scopo del trattamento;
Il periodo di trattenimento dei dati;
I diritti degli interessati:
La procedura di reclamo;
L’eventuale trasferimento a terze parti.

Cancellazione dei dati personali

A partire da maggio dovrai essere dotato di un sistema per cancellare i dati personali una volta che il periodo legale per la conservazione dei dati è passato oppure quando gli interessati ritirano il consenso. Le persone hanno il diritto di ritirare il loro consenso in qualsiasi momento: il diritto di cancellazione (o il “diritto all’oblio”) è un principio chiave del GDPR.

Più specificamente, sarà necessario cancellare i dati se:

I dati personali non sono più necessari in relazione alle finalità per le quali sono stati originariamente raccolti
L’interessato ritira il consenso al trattamento (e non vi è alcuna giustificazione o interesse legittimo per continuare il trattamento)
I dati personali sono stati processati senza rispettare la legge

Nomine

In ambienti molto veloci e performanti come questo è necessario e molto importante provvedere alle nomine identificando le figure e le responsabilità con particolare attenzione. Anche il singolo ottico potrebbe essere portato a pensare di non dover fare nomine perché tutto nasce e finisce all’interno della sua struttura. Non è vero basti pensare a:

Commercialista: gestione fatture fornitori e clienti
Fiscalista: contabilità e gestione fiscale
Eventuali spedizionieri
…..

Procedura operativa – le procedure di accesso

I vostri server, computer, smartphone .. e i dati personali che conservate devono essere inaccessibili a chiunque non sia in possesso delle credenziali giuste. Inoltre gli interessati avranno il diritto di accedere a tutti i loro dati personali, rettificare le inesattezze, opporsi al trattamento in determinate circostanze o cancellare i loro dati – il tutto entro un termine di 30 giorni invece di 45 giorni.

Se si gestisce un gran numero di richieste di accesso, prendete in considerazione lo sviluppo di modi per affrontare tali richieste più rapidamente e le implicazioni che ciò potrebbe avere sul carico di lavoro. Si potrebbe verificare se è possibile sviluppare un sistema per consentire agli individui di accedere alle loro informazioni online. Questo è anche ciò che raccomandano gli organismi ufficiali del GDPR nella maggior parte dei paesi.

Dati per i minori

Il GDPR ha introdotto anche una protezione speciale per i dati personali dei minori, affermando che i minori di 16 anni non possono dare il loro consenso legale perché “possono essere meno consapevoli dei rischi, delle conseguenze e delle salvaguardie” della condivisione dei dati. Se la vostra azienda offre servizi online ai minori e si affida al consenso per raccogliere informazioni su di essi, avrete ora bisogno del consenso di un genitore o tutore per elaborare i loro dati personali legalmente.

Conformità

Il quadro di riferimento del GDPR richiede che dimostriate di rispettare i regolamenti:

Identifica il fondamento legale della tua attività di trattamento
Documenta le tue procedure
Aggiorna la tua informativa sulla privacy

Dovreste anche modificare i Termini e le Condizioni e/o l’autorizzazione approvata con i tuoi clienti. Infine puoi stipulare un accordo per il trattamento dei dati (DPA) con i responsabili dei dati e se necessario stipularne un altro anche con i sub-responsabili.

La formazione

Organizza sessioni formative interne per aiutare i colleghi a comprendere l’impatto del GDPR sulla vostra azienda. Il vostro programma di sensibilizzazione dovrebbe essere un processo continuo che viene regolarmente rafforzato durante tutto l’anno e che è documentato anche per i nuovi assunti che si uniscono in seguito.

Non dimenticare di aggiornare documenti e procedure per uso interno, come ad esempio:

Politiche per computer portatili, social media e internet
Contratto di assunzione
Regolamento sul lavoro

Il Responsabile della protezione dei Dati

Potrebbe essere necessario nominare un Responsabile interno della Protezione dei Dati, sebbene ciò non sia obbligatorio per la maggior parte delle PMI il gruppo dell’articolo 29 raccomanda di nominare una persona in modo da attuare delle pratiche corrette, ma va valutato rispetto al mercato di riferimento, comunque un DPO potrebbe anche essere un consulente esterno o un collaboratore che assuma un ruolo in più oltre alle responsabilità quotidiane.

26 Feb 2020/da Redazione

Il GDPR per gli ottici

Visconti Soluzioni

Alcune Informazioni

GDPR ultime notizie