Ad oggi è ancora poco diffusa la consapevolezza che il GDPR, conosciuto anche come Regolamento Europeo sulla privacy, riguarda anche il freelance, ossia il libero professionista.
Il GDPR in realtà riguarda ogni tipo di azienda, che sia composta da una o mille persone, che tratta dati personali di persone fisiche, cioè utenti, consumatori, clienti in veste di privati.
Il GDPR riguarda il freelance sia come titolare del trattamento sia, spesso, come responsabile esterno del trattamento. Quindi se sei un freelance è nel tuo interesse conoscere la normativa e saperla applicare.
Facciamo un passo indietro e andiamo a definire le espressioni fondamentali utilizzate nell’ambito del diritto alla privacy.
Di cosa si occupa il GDPR
Il fulcro del GDPR è la tutela dei dati personali.
Cosa si intende per dati personali?
I dati personali sono tutti quei dati attraverso cui si può identificare una persona. I dati personali non sono solo quelli attraverso cui si può arrivare a conoscere l’identità di un soggetto, ma sono anche quei dati che rivelano l’origine etnica di una persona. Oppure quei dati attraverso cui si conoscono le sue inclinazioni politiche e le credenze religiose. O ancora i dati da cui emergono i gusti e le abitudini sessuali di un soggetto.
I dati che rivelalo le inclinazioni e le abitudini di un soggetto sono i c.d. dati sensibili, che il GDPR identifica come dati “particolari”. Questi dati devono essere tutelati maggiormente rispetto ai dati personali comuni.
Quali sono i soggetti del trattamento?
I soggetti coinvolti nella normativa del GDPR sono:
- Interessato al trattamento: la persona fisica cui si riferiscono i dati personali che vengono trattati;
- Titolare del trattamento: colui che decide di trattare determinati dati, le finalità di trattamento, e le modalità di trattamento;
- Responsabile esterno: il titolare del trattamento può avvalersi di collaboratori per trattare i dati che hanno proprie responsabilità;
- Incaricati al trattamento: sono meri esecutori che trattano i dati in base all’incarico ricevuto dal titolare del trattamento
- DPO: figura prevista come obbligatoria solo in determinati casi. Il DPO è un soggetto particolarmente qualificato, che supporta il titolare del trattamento nelle scelte che lo rendono GDPR compliant.
Facciamo un esempio pratico: il titolare di un e-commerce è anche il titolare del trattamento dati dei clienti e degli utenti che lasciano le loro generalità. Responsabile del trattamento è l’advertiser che si occupa delle campagne di marketing. Ma può essere anche lo specialista in e-mail marketing, l’assistente virtuale che emette le fatture, l’agenzia web.
Incaricati del trattamento sono ad esempio gli addetti alle vendite che emettono la fattura, o i dipendenti dell’agenzia web.
Come vengono tutelati i dati personali?
Il GDPR stabilisce che è l’interessato al trattamento, cioè la persona fisica cui si riferiscono i dati personali, ad avere in mano la gestione dei suoi dati.
Mentre il titolare del trattamento dei dati, deve fornirgli tutti gli strumenti per agevolarlo nell’esercizio dei suoi diritti.
Per rendere effettiva la tutela dei dati, il GDPR attribuisce un ruolo attivo e importanti responsabilità al titolare del trattamento, ma anche al responsabile del trattamento.
Ad esempio una responsabile che coinvolge entrambi i soggetti è quella per cui se il titolare del trattamento non fornisce la nomina formale al responsabile esterno, entrambi i soggetti , titolare e responsabile di fatto, sono a rischio di sanzione.
GDPR per freelance: titolare del trattamento dati
Il freelance agisce in qualità di titolare del trattamento nel momento in cui raccoglie i dati dei suoi clienti. Questo trattamento è ciò che accomuna tutti i freelance e, diciamo, tutte le aziende. Basta avere anche un solo cliente o un solo dipendente, o un solo fornitore, che si diventa titolari del trattamento dati.
Poi ci sono freelance che trattano dati ulteriori dal momento in cui, ad esempio, fanno attività di marketing per promuovere se stessi.
Se il freelance ha un sito web attraverso cui fa lead generation, è tenuto ad adeguare il sito alla normativa GDPR come qualsiasi altra azienda.
Il GDPR non effettua una distinzione netta in merito agli adempimenti fra piccole e grandi aziende. Ma ci sono adempimenti che sono obbligatori sono per aziende che superano un certo numero di dipendenti, o che trattano dati su larga scala. Ad esempio il freelance non è obbligato a tenere il registro del trattamento, e non è tenuto a nominare un DPO.
Ma il freelance deve conservare in modo sicuro i dati personali che raccoglie, trattarli solo per le finalità per cui sono stati raccolti, cancellarli nel momento in cui la finalità per cui sono stati raccolti viene meno. Il freelance deve poi far prendere visione agli interessati al trattamento dell’informativa privacy. Attraverso la privacy policy, o informativa privacy, il freelance mette a conoscenza gli interessati delle finalità e modalità con cui tratterà i dati.
L’informativa è un documento obbligatorio e deve essere accessibile con facilità.
GDPR per freelance: responsabile del trattamento dati
Se tutti i freelance sono titolari del trattamento, non tutti i freelance sono anche responsabili del trattamento. Dipende da quale attività svolgono:
non sarà responsabile del trattamento il SEO specialist, a meno che non acceda al database di contatti del cliente.
Non sarà responsabile esterno neppure il web designer che una volta che il sito è pronto, lo consegna al cliente. Ma se svolge anche attività di manutenzione del sito invece, è probabile che acceda ai dati di chi si iscrive alla newsletter o dei clienti che acquistano sul sito e-commerce.
Sicuramente sono responsabile esterno del trattamento l’assistente virtuale, l’advertiser, il social media manager, l’esperto di chat bot.
Cosa devono fare questi liberi professionisti per essere a norma di GDPR?
Innanzi tutto devono adeguare i loro strumenti alla normativa europea. Infatti il titolare del trattamento che si affida al responsabile esterno, deve accertarsi che questi sia GDPR “compliant”.
Se il freelance ha molti clienti e tratta molti dati, è raccomandabile che abbia il registro dei trattamenti per tener traccia del ciclo di vita del dato.
La nomina a responsabile esterno
Il responsabile del trattamento non può trattare i dati senza una nomina formale da parte del titolare del trattamento.
Senza questa nomina tratta dati senza autorizzazione, quindi è a rischio di sanzione.
Anche se questo è un adempimento a carico del titolare del trattamento, cioè il cliente/committente, la sanzione è a carico di entrambi i soggetti.
L’Avvocato del Digitale però sa benissimo che sono pochi i committenti ad avere il documento di nomina a responsabile del trattamento. Spesso quei pochi forniscono anche un documento che non è idoneo allo scopo.
Quindi la soluzione migliore qual è?
Il freelance ha tutto l’interesse a procurarsi un documento di nomina a responsabile da utilizzare per ogni suo cliente.
E ricordati che non è una responsabilità da cui puoi esimerti!
Se tratti dati senza una nomina, sei comunque responsabile esterno del trattamento di fatto.
GDPR freelance: check-list per essere a norma
Quindi visto che il GDPR riguarda anche te che sei freelance, riassumiamo quello che devi fare per essere a norma:
- Non inviare dati personali su una chat qualsiasi (Whatsapp, Telegram, Messenger);
- Utilizza sistemi di crittografia, antivirus e firewall per proteggere i dati;
- Se condividi il portale che utilizzi per lavorare con altri soggetti, proteggi le cartelle che contengono dati con password sicure;
- Redigi l’informativa privacy in qualità di titolare del trattamento;
- Metti a norma di GDPR il sito web, se lo hai;
- Fatti redigere la nomina a responsabile del trattamento;
- Formati: non devi conoscere la normativa sui dati personali come un avvocato, ma i fondamenti sei tenuto a saperli.
Il GDPR non è un adempimento formale, ma sostanziale. Se viene un controllo devi sapere come si trattano i dati. Ed è nel tuo interesse sapere se i dati che stai trattando, magari per un cliente, sono stati acquisiti correttamente oppure no.