Privacy e dati personali: FAQ sul GDPR per il digitale
-
Quanti anni devo conservare le fatture dei clienti per il GDPR?
Il GDPR non prevale sugli obblighi fiscali: le fatture vanno conservate 10 anni per normativa tributaria (art. 2220 c.c.). Non puoi cancellarle prima anche se il cliente lo richiede. Tuttavia, dopo la scadenza fiscale, vanno eliminate salvo contenziosi in corso. Best practice: informativa chiara sui tempi (10 anni per obbligo legale), separazione tra dati fiscali e marketing (questi cancellabili subito), procedura di data retention documentata. Implementa reminder automatico per cancellazione post-decennio ed evita conservazione “per sempre” non giustificata.
-
Devo fare il DPIA se uso ChatGPT per rispondere alle email dei clienti?
Il DPIA (Data Protection Impact Assessment) diventa necessario quando il trattamento presenta rischi elevati per i diritti degli interessati. Usare ChatGPT per email clienti configura un trattamento ad alto rischio: processo automatizzato, possibile profilazione, dati potenzialmente sensibili nelle conversazioni. OpenAI memorizza gli input per 30 giorni e potrebbe usarli per training (salvo opt-out enterprise). Prima del DPIA, valuta se hai base giuridica per questo trattamento: il legittimo interesse potrebbe non bastare. Documenta nel DPIA: tipologia dati inseriti, misure per evitare dati sensibili, formazione del personale su prompt sicuri, procedura per richieste di cancellazione, informativa specifica ai clienti sull’uso di AI. Alternative più sicure: usa API enterprise con data processing agreement, implementa filtri pre-prompt per anonimizzazione automatica.
-
Un ex dipendente minaccia di denunciarmi al Garante, quanto rischio?
La denuncia al Garante Privacy è gratuita e non richiede avvocato, quindi la minaccia è credibile. Il rischio dipende dalla solidità del tuo impianto privacy: – Hai dato l’informativa dipendenti?
– Hai le nomine ad autorizzato?
– Gestisci correttamente gli accessi a fine rapporto?
Le violazioni più comuni in ambito HR: mancata cancellazione account email, accesso a dati post-licenziamento, videosorveglianza senza accordo sindacale, controllo dispositivi senza policy. Il Garante può aprire istruttoria, richiedere documentazione in 15 giorni, effettuare ispezioni. Le sanzioni variano da ammonimento a 20 milioni di euro. Agisci subito: audit interno della documentazione, bonifiche immediate delle criticità, eventuale autodenuncia per collaborazione attiva. La mediazione pre-contenziosa spesso evita l’escalation al Garante. -
Il certificato SSL basta per essere conformi GDPR sul sito?
No, l’HTTPS è solo una delle misure tecniche necessarie. Il GDPR richiede un approccio olistico alla sicurezza. Oltre SSL servono: privacy policy completa e accessibile, cookie banner con consenso granulare, registro trattamenti aggiornato, contratti con fornitori terzi (hosting, analytics), misure organizzative (formazione, procedure breach). L’SSL protegge i dati in transito ma non copre:
❌ sicurezza database,
❌ accessi amministrativi,
❌ backup cifrati,
❌ log degli accessi.
Un sito con SSL ma senza privacy policy rischia sanzioni quanto uno senza SSL. -
Posso usare i dati raccolti per una promozione anche per campagne pubblicitarie diverse?
No, non puoi. Il GDPR vieta il cosiddetto purpose shifting, cioè usare i dati per finalità diverse da quelle dichiarate al momento della raccolta. Se hai chiesto i dati per partecipare a un concorso o ottenere uno sconto, non puoi poi usarli per inviare newsletter o campagne pubblicitarie senza un consenso specifico. Ogni finalità deve essere spiegata chiaramente nell’informativa privacy e associata a un consenso separato. Se vuoi usare gli stessi dati anche per attività di marketing ulteriori, devi raccogliere un consenso distinto e documentato.
-
Se chiedo la data di nascita ai clienti per inviare sconti personalizzati, è considerato dato “sensibile” o, detto in maniera corretta, particolare?
No, la data di nascita non rientra tra le “categorie particolari di dati” (salute, opinioni politiche, religione, orientamento sessuale, ecc.). Tuttavia, resta comunque un dato personale e quindi soggetto al GDPR. Devi informare gli utenti sul motivo della raccolta (in questo caso, offrire uno sconto personalizzato) e conservare solo le informazioni necessarie. Se invece la data di nascita fosse raccolta in contesti medici o sanitari, potrebbe assumere rilevanza diversa, ma nel marketing resta un dato ordinario.
-
Se un utente mi chiede di cancellare i dati ma devo conservare la fattura, cosa devo fare?
In questo caso si applica un’eccezione al diritto alla cancellazione. Il GDPR prevede che i dati possano essere conservati quando servono per rispettare obblighi di legge, come la conservazione fiscale delle fatture per 10 anni. Quindi puoi eliminare i dati non più necessari (ad esempio l’email usata per la newsletter) ma mantenere quelli indispensabili per adempiere agli obblighi contabili. È buona prassi informare l’utente spiegando chiaramente quali dati sono stati cancellati e quali devono invece essere trattenuti per legge.