Il regolamento sulla protezione dei dati entra in vigore il 25 maggio e vale anche per noi freelance. Se sei rimasto un po’ indietro, forse possiamo aiutarti.

GDPR. Parliamone. Se stai leggendo questo articolo è probabile che tu voglia risposte chiare su cosa devi fare per adeguarti alla famigerata General Data Protection Regulation, che entrerà in vigore il prossimo 25 maggio, cioè dopodomani.

Non serve che ti giustifichi per non averci ancora pensato. Sono anche io una freelance, so cosa vuol dire avere altro a cui pensare: clienti che non rispondono per mesi e poi esigono lavori consegnati in sei minuti, tasse da pagare, contributi, burocrazia, aggiornamenti professionali. Ma – ahimè – ora ti tocca. Il tempo stringe e anche tu devi adeguarti a queste benedette normative europee sul trattamento dei dati.

Quindi bando alle chiacchiere, cerchiamo di essere concreti.

A cosa serve il GDPR?

In estrema sintesi, il GDPR chiarisce come dobbiamo (anche noi freelance, ne abbiamo parlato qui) trattare i dati personali dei nostri clienti e dei nostri contatti, incluse le modalità di raccolta, utilizzo, protezione e condivisione. Quindi l’obiettivo del GDPR è quello di dare alle persone il pieno controllo dei dati di cui autorizzano il trattamento, rafforzandone la protezione.

Questo significa che chiunque tratti dei dati (cioè il titolare) deve garantire ai suoi utenti la sicurezza e, per quanto possibile, il controllo sulle informazioni di cui è in possesso.

I dati possono essere trattati solo in presenza di una base giuridica.

I fondamenti di liceità del trattamento sono indicati all’art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy – d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).

Quindi, cosa deve fare chi raccoglie dei dati?

Il titolare deve innanzitutto raccogliere il consenso al trattamento dei dati.

Il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). Nel caso di trattamento di dati sensibili, il consenso deve essere scritto.

La prima cosa da fare, quindi, è verificare che la tua privacy policy contenga tutti gli elementi previsti dal GDPR (finalità del trattamento, tipologia di dati raccolti, identità e dati di contatto del titolare del trattamento, eventualmente del responsabile e del DPO – Data Protection Officer, periodo di conservazione) e che sia di facile accesso per l’utente prima della raccolta dei dati.

Un consiglio. Evita il copia incolla di modelli trovati chissà dove nel web: i modelli predefiniti potrebbero non contenere tutte le informazioni necessarie per informare correttamente i tuoi utenti e il risultato sarebbe una policy inadeguata. Per esempio, se vuoi inviare delle comunicazioni commerciali ai tuoi contatti e la tua policy non ne tiene conto, il consenso rilasciato dai tuoi utenti non è completo.

In secondo luogo, devi fare in modo che i tuoi utenti possano accedere facilmente ai propri dati e che, se lo desiderano, possano revocare in qualsiasi momento il loro consenso al trattamento.

Secondo il GDPR, infatti, qualunque interessato può infatti inviare una richiesta al titolare del trattamento (che dovrà darvi riscontro tendenzialmente entro 1 mese) per attivare i suoi diritti di: accesso, cancellazione, limitazione e portabilità sui propri dati.

Queste indicazioni valgono più o meno per tutti.

Poi ci sono delle pratiche specifiche da attuare:

– Se hai un sito web

In questo caso, oltre a rivedere e aggiornare la tua privacy policy, devi occuparti dei famigerati cookie. In realtà, l’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). In pratica, è una normativa che lavora insieme al GDPR per regolamentare l’utilizzo dei cookie. Presto questa direttiva sarà sostituita dal Regolamento ePrivacy, che peraltro probabilmente confermerà disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

– Se gestisci uno o più siti web

Se sei un professionista che gestisce il sito di un cliente, devi regolarizzare la tua posizione. Il tuo cliente resta il titolare del trattamento dei dati, e tu sei quello che li gestisce. Questo rapporto dovrà essere formalizzato tramite un contratto di fornitura in cui verrai incaricato del trattamento dei dati e saranno definiti i confini delle tue responsabilità.

– Se invii una newsletter

Se hai una mailing list di contatti a cui invii periodicamente una newsletter, dovrai richiedere il consenso prima di raccogliere i dati dei tuoi utenti, fornire la possibilità alle persone di accedere ai dati e cancellarsi.

In generale, l’avvento del GDPR è un buon momento per controllare la tua lista dei contatti: rimuovi chiunque non disponga di una registrazione del consenso e assicurati che i nuovi utenti confermino specificamente l’intenzione di iscriversi alla tua newsletter.

Il consenso raccolto prima del 25 maggio resta valido se ha tutte le caratteristiche che il GDPR richiede; se non è così, è bene che tu raccolga di nuovo il consenso degli interessati.

Tutto chiaro? Probabilmente no. Ogni professionista ha una situazione diversa e domande specifiche. Se hai dei dubbi, ti conviene rivolgerti a un esperto. Per questo, noi di ACTA abbiamo siglato una convenzione con Argo Business Solutions per i nostri soci. L’accordo con Argo prevede una consulenza gratuita per capire se le norme sulla GDPR hanno un impatto su di te. E se devi intervenire, potrai ottenere le informazioni personalizzate che ti servono.