Chi ha un sito web ha sicuramente sentito parlare del GDPR. In molti pensano che, essendo un regolamento che tutela la privacy nell’Unione Europea, non è applicabile in Svizzera. Ma non è così
Il GDPR (che in italiano sta per “Regolamento Generale sulla Protezione dei Dati”) dal 25 Maggio è entrato in vigore in tutti gli Stati dell’Unione Europea.
In sintesi, si tratta di una normativa unica europea - recepita automaticamente da tutti gli stati appartenenti all’Unione – che regola la complessa tematica del trattamento dei dati personali (sensibili e non) da parte delle pubbliche autorità di imprese e private.
La normativa unifica le procedure sulla privacy tra gli stati appartenenti, e riconosce alcuni diritti fondamentali prima non riconosciuti, riconosciuti solo parzialmente o riconosciuti ma non in maniera così strutturata. Nello specifico, vengono riconosciuti questi diritti:
Rispetto alle normative precedenti, tutti coloro che trattano dati sensibili devono non solo rispettare le regole, ma fare una comunicazione seria ed esaustiva sul trattamento dei dati (per esempio con delle Privacy Policy) e prendere tutte le precauzioni per evitare violazioni.
La domanda, più che legittima è: in Svizzera è lecito rispettare una normativa che non riguarda il diritto interno?
Premesso che il legislatore sta lavorando per una nuova legge sulla privacy (attualmente prevista per il 2019) che accoglierà molti princìpi del GDPR, almeno sulla carta ci sono due situazioni che in cui un’azienda svizzera è tenuta a rispettare il regolamento:
1) L’azienda ha sede in Svizzera ma filiali nell’Unione Europea
2) L’azienda ha sede in Svizzera e vende prodotti e servizi a cittadini dell’Unione
Sempre in teoria, chi è in una di queste due condizioni dovrebbe nominare pubblicamente una figura, residente nell’Unione Europea (generalmente un legale), che faccia da tramite col garante nazionale della privacy per eventuali controversie.
In definitiva, quali sono le conseguenze per chi ha un sito web svizzero che vende nell’Unione Europea?
Uno dei concetti fondamentali è quello dell’intenzionalità: se un e-commerce supporta il pagamento in Euro o prevede la spedizione in uno stato membro, o fa capire in qualsiasi modo che la vendita è rivolta all’interno dell’Unione, deve rispettare il GDPR.
Stesso discorso per chi non ha un e-commerce ma, tramite un sito vetrina, si rivolge ad una clientela dell’UE.
Se, per esempio, un sito di un albergo traccia il percorso per arrivarvi da uno Stato membro, si sta rivolgendo ad un utente dell’UE e deve applicare il GDPR.
Potenzialmente, quindi, un po’ tutti gli elementi di un sito sono soggetti a GDPR:
Per ognuno di questi strumenti, bisogna scrivere a cosa sono, a cosa servono, come raccolgono dati, che utilizzo se ne vuole fare, per quanto tempo vengono tenuti, come si possono cancellare i dati forniti.
In alcuni casi basta specificare tutto su una prolissa Privacy Policy. In altri casi (come in un formulario di contatto) sono obbligatorie delle caselle da spuntare dove, chi invia la richiesta, acconsente al trattamento dei dati in base al GDPR.
Insomma, sembra che il legislatore europeo ha avuto la mano pesante in termini di obblighi da adempiere.
Tuttavia, è bene specificare che sono le grandi aziende e i grandi trattatori di dati ad avere più restrizioni.
Per una piccola azienda, specie se non fa e-commerce, basta prendere qualche piccolo accorgimento.
Sicuramente un onere in più che non farà sorridere ma, almeno nelle intenzioni, le sanzioni esistono (anche se sono previsti dei richiami prima di arrivare a pene pecuniarie).
E poi, bene rimarcarlo, la salvaguardia della privacy viene sempre prima di tutto.
Articolo a cura di Clublab Sagl, siti web e grafica in Ticino