Partite Iva e adeguamento obbligatorio: quella sconosciuta privacy
E’ doveroso sottolineare ancora una volta quanto poco si sappia dell’adeguamento obbligatorio in materia di trattamento dei dati, di GDPR e privacy cui tutte le partite iva devono sottoporsi.
Essere in linea con gli adeguamenti del GDPR 2016/679 non significa copiare un’informativa.
Occorre seguire un insieme di procedure definite e fornire della documentazione che attesti le tipologie di trattamento dei dati, le finalità perseguite, le categorie di dati interessati e i soggetti del trattamento. Ogni realtà piccola o grande che sia tratta dei dati, nessuna partita iva è esclusa.
E’ sempre più diffusa infatti la falsa convinzione di non essere soggetti al GDPR.
Chi non è tenuto all’adeguamento Privacy
La differenza tra l’osservanza della norma e la non osservanza sta nel carattere professionale dell’attività svolta.
Infatti il Garante dice che non sono soggetti alla norma coloro che trattano i dati al solo scopo personale o domestico (art. 2 comma 2 GDPR 2016/679).
Pertanto si parla di esclusività del trattamento dei dati a carattere personale, che viene a mancare con l’inizio di un’attività professionale, ergo con l’apertura di una partita iva.
Le Partite iva sottostanno all’adeguamento del GDPR e Regolamento Ue 2016/679.
Facciamo un esempio concreto.
Mario, 20 anni, passa tanto tempo sui social network. Posta con regolarità contenuti, opinioni, foto, interagisce in chat, in tweet con utenti e follower.
Da semplice ”opinionista” o blogger si crea una sua nomea sui social, divenendo un personaggio di spicco in un determinato ambito, moda, viaggi, fitness… dunque un influencer.
Mario in questo caso tratta i dati degli utenti, dei suoi followers in modo esclusivamente personale, ma nel momento in cui prenderà incarichi, sponsorizzerà dei prodotti o dei servizi, percepirà dei pagamenti dunque avvierà un’attività professionale, sarà soggetto a diversi adempimenti di legge. Mario aprirà una partita IVA, inizierà ad emettere fatture ai suoi fornitori e clienti, quindi avrà una banca dati di informazioni relative a dati identificativi:
- nome e cognome;
- indirizzo;
- partita iva;
- codice univoco;
- codice fiscale;
- dati bancari…
Ne consegue l’obbligo del rispetto e della conformità alle disposizioni di legge, un adeguamento obbligatorio dunque in cui rientra anche il trattamento dei dati in materia di privacy e di GDPR.
No al self-made
Le procedure del GDPR per la messa a norma di qualunque attività professionale non devono essere sottovalutate.
Attenzione quindi a non limitare il proprio adeguamento a semplici e riduttive informative, magari copiate dai siti dei competitor, o redatte in autonomia senza arte nè parte.
Gli adempimenti previsti abbracciano diversi settori e necessitano di competenza multidisciplinari, spaziando da quelle giuridiche a quelle gestionali, fino ad arrivare a quelle tecnico-informatiche.
Con il fai da te si rischia di sopravvalutare la propria attività e soprattutto di sottovalutare i rischi intrinsechi al trattamento dei dati.
Un professionista al contrario può offrire una valutazione oggettiva dello stato in essere.
Un professionista può sviluppare un efficiente e sicuro programma di adeguamento con le misure da adottare per la messa a norma dell’attività secondo il GDPR.
Documentazione delle partite iva
Innanzitutto ogni titolare di partita iva dovrebbe predisporre un registro delle attività di trattamento.
L’adeguamento in materia di privacy secondo il GDPR 2016/679 ha alla base la documentazione inerente:
- le tipologie di trattamento dei dati eseguite dal Titolare;
- le finalità del trattamento:
- le nomine delle persone autorizzate al trattamento, nonché a quali procedure sono autorizzate le stesse;
- le nomine dei Responsabili interni ed esterni del trattamento…
A seguire deve essere sviluppata un’analisi dei rischi intrinsechi correlata ai pericoli di varia natura, riportando le procedure di sicurezza messe in atto con il livello di adeguatezza delle stesse.
Il Registro dei Trattamenti, secondo l’art. 30 del GDPR non è obbligatorio per le aziende fino a 250 dipendenti, a meno che il rapporto con gli interessati non sia occasionale, o il trattamento possa violare i diritti e le libertà degli stessi, o che non ci siano attività di trattamento di dati particolari come da art. 9 , paragrafo 1 del Regolamento, o ancora non siano trattati dati giudiziari o inerenti condanne penali.
Ne consegue quindi che il Registro delle attività di Trattamento sia un adempimento imprescindibile vista la sua rilevanza nell’adeguamento e tutte le Partite Iva dovrebbero adottarlo.
Il Garante raccomanda che ciascuna partita iva predisponga il registro, perché è l’unico strumento che consente di attuare al meglio il principio di accountability e rendersi collaborativi in caso di eventuali ispezioni delle autorità di controllo.
Conclusioni
In conclusione devono adeguarsi tutti, senza mai sottovalutare i rischi dell’attività della propria azienda. Le partite Iva sono soggette anche al GDPR e al suo adeguamento.
Vogliate considerare questa una piccola infarinatura sull’adempimento necessario non solo per tutelare i dati trattati dei clienti-utenti e/o fornitori-partner, ma per una maggiore tutela della vostra attività.
E’ a tal proposito che Powersic srl mette a disposizione il suo staff specializzato in materia di protezione di dati e GDPR per allineare pienamente la TUA AZIENDA alle disposizioni stabilite dalla normativa attraverso:
ANALISI PRELIMINARE, AUDIT AZIENDALE, CHECK UP APPROFONDITO, ADEGUAMENTO ed EVENTUALE FORMAZIONE.
