Questo sito usa esclusivamente cookie tecnici di sessione, ovvero i cookie necessari per utilizzare le funzionalità della piattaforma e strumenti ad essi equiparati. Per ulteriori informazioni vai su Privacy policy.
Fornire consulenze in modalità on line è considerata da tutti i professionisti un'opportunità sempre più interessante per accrescere il proprio parco clienti. La modalità di lavoro “agile”, peraltro, è destinata a diventare sempre più la regola nel rapporto professionale, vista l'accelerazione impressa dai recenti eventi che hanno sconvolto il modo di lavorare di tutte le categorie, liberi professionisti in primis. Anche dopo l'atteso ritorno alla normalità dei rapporti umani, l'abitudine a sostituire il classico appuntamento presso lo studio professionale con la videoconferenza, per la molte situazioni in cui ciò è concretamente possibile, sarà certamente conservata ed incentivata, non solo per motivi di prudenza e profilassi sanitaria, ma anche per i molti benefici che comporta questa consuetudine, tanto per fare un esempio, in termini di riduzione degli spostamenti e delle ricadute positive sull'ambiente, tra le tante cui si può pensare.
La prestazione della consulenza online pone la necessità di adottare alcuni accorgimenti, non molto complessi, ma di certo importanti, per la gestione dei dati personali dei clienti. Sappiamo tutti che ciascun professionista è tenuto ad adeguarsi alla normativa di settore nel momento stesso in cui inizia la propria attività, predisponendo una modulistica da offrire al cliente, tenendo un apposito registro dei trattamenti ed individuando uno per uno i diversi soggetti che possono avere accesso ai dati dei propri clienti, per svariate ragioni (per esempio i collaboratori di studio, il proprio commercialista, l'addetto alla manutenzione del PC, etc.). Quando si inizia ad affiancare uno studio “virtuale” a quello tradizionale, si realizza un trattamento di dati personali dei clienti che bussano alla vetrina virtuale, simile al trattamento dei dati raccolti nella prima seduta nel proprio studio fisico. Vediamo quali sono le particolarità e quanti adattamenti si richiedono rispetto all'adeguamento che avevamo già faticosamente implementato per lavorare in studio nel rispetto di leggi e regolamenti...
La normativa di riferimento, nel campo della tutela dei dati personali, è sempre costituita dal Regolamento Europeo sulla Protezione dei Dati Personali, conosciuto da tutti come GDPR. I principi basilari che ogni trattamento deve rispettare (quindi anche del trattamento di cui ci stiamo occupando) sono sempre quelli della pertinenza, del consenso e dell'accesso ai dati da parte dell'utente.
La pertinenza del trattamento è il primo punto su cui porre attenzione. Nel momento in cui si acquista uno spazio virtuale, si entra a contatto con strumenti di raccolta di dati praticamente illimitati: al potenziale cliente che si registra per poi acquistare le prestazioni professionali, in teoria, possiamo chiedere di inserire tutte le informazioni che vogliamo e raccogliere questi dati per i più svariati scopi (dalle ricerche di mercato, alla profilazione degli utenti del sito). L'errore da non fare è quello di raccogliere dati che non siano pertinenti con la finalità per la quale vengono raccolti: se sto chiedendo ad un utente dei dati che sono finalizzati a fornirgli la prestazione di consulenza che mi richiede, dovrò sicuramente richiedere i soli dati necessari a questo scopo, dunque i dati anagrafici e per la fatturazione, l'indirizzo fisico per l'eventuale invio della fattura, la posta elettronica. A questo gruppo di dati personali “standard”, che saranno richiesti sicuramente per tutte le possibili tipologie di consulenze online, si aggiungeranno informazioni particolari che potranno essere richieste nei vari casi particolari. Una consulenza medica sicuramente è destinata a raccogliere informazioni diverse rispetto ad una di tipo fiscale o legale, ma l'essenziale è che non vengano raccolte e conservate (“trattate”) informazioni non coerenti con la prestazione che l'utente vuole acquistare. Nulla più.
Questo non significa che sia vietato raccogliere dati ulteriori, per ulteriori finalità rispetto alla prestazione della consulenza online: semplicemente, in questi casi, il cliente dovrà essere informato del fatto che alcuni dei dati che gli vengono richiesti potranno essere trattati per degli scopi diversi da quello dell'acquisto del servizio che richiede; e dovrà liberamente prestare il consenso a questo trattamento ulteriore, come vedremo tra poco.
Quindi, ricapitolando, la prima attenzione da porre quando si inizia un'attività online di vendita di servizi di consulenza (ma la regola è valida per qualsiasi tipo di attività commerciale o profrssionale) è quella di individuare e selezionare, preliminarmente, quali dati personali verranno richiesti ai nostri futuri clienti. Abbiamo visto che alcuni dati sono sempre indispensabili, per tutte le transazioni online; ve ne saranno altri, che saranno caratterizzanti per il tipo di prestazione professionale che si offre, e magari altri ancora che il professionista potrà lecitamente raccogliere e conservare per finalità ulteriori rispetto alla prestazione professionale, purchè ciò venga ben spiegato al cliente (tra poco vedremo come). Fuori da questo perimetro, ricordiamolo sempre, non è lecito richiedere informazioni personali ai propri utenti (ecco perchè parliamo di “pertinenza”): per intendersi, se ho intenzione di fornire una prestazione di consulenza fiscale, raccoglierò soltanto i dati necessari ad elaborare il parere che mi viene richiesto ed ad assolvere gli obblighi di legge conseguenti (fatturazione, contabilità). Perciò all'utente che vuole registrarsi nella mia pagina professionale non potrò chiedere per chi ha votato alle ultime elezioni o se è iscritto ad un sindacato, perchè queste informazioni non sono pertinenti con un trattamento limitato alle sole informazioni necessarie per fornire la prestazione richiesta. Potrò anche farlo, al limite, ma con le precisazioni che spieghiamo tra un attimo.
Fatto questo passaggio preliminare, importantissimo, la gestione dei dati personali raccolti online ricalca abbastanza da vicino quei comportamenti che siamo già abituati a tenere nel nostro studio, ovviamente con gli adattamenti che richiede questo ambiente particolare che è il web. Ogni volta che si propone all'utente di compilare un modulo con dei suoi dati personali, dobbiamo sottoporgli la famosa informativa, in cui si precisano le caratteristiche del trattamento dei dati, le modalità del trattamento stesso e le sue finalità (torniamo a tutto quanto detto sinora).
L'informativa deve illustrare le necessità per cui abbiamo bisogno dei suoi dati (le finalità del trattamento) ed è bene che sia strutturata in modo dettagliato, distinguendo quali dati vengono richiesti e per quale scopo. Tornando all'esempio di prima, i dati “base” che richiediamo ai nostri clienti sono quelli indispensabili per fornirgli la prestazione che ci richiede e per fatturarla regolarmente. Se gli stiamo richiedendo altri dati, magari al fine di condurre un'indagine statistica a nostro uso, per renderci conto delle caratteristiche della nostra clientela, probabilmente richiederemo di lasciare qualche informazione in più (qui però serve già un po' di cautela); in questo caso nella nostra informativa dovremo spiegare all'utente che, oltre ai dati di cui dicevamo prima, che servono per fornirgli pa prestazione richiesta e per assolvere agli obblighi fiscali, gli chiediamo qualcosa d'altro e gli spieghiamo a quale scopo.
A questo punto entra in gioco il consenso, che pure è un concetto ben noto se abbiamo dovuto “fare l'adeguamento” nei nostri studi ad ogni cambio di legislazione. Per alcuni tipi di dati la legge non richiede un consenso scritto e formulato esplicitamente da parte del cliente, purchè si sia rispettato, sempre, l'obbligo di fornire l'informativa. Sono i famosi dati “necessari per la fornitura del servizio richiesto” e per l'assolvimento degli obblighi di legge conseguenti (obblighi fiscali in primis). Quando raccogliamo soltanto questi dati indispensabili, è sufficiente che al cliente sia fornita la sola informativa, redatta nei modi che ormai tutti sappiamo. Certamente l'informativa andrà adeguata all'ambiente digitale, che comporta una modalità di conservazione dei dati diversa dal nostro archivio cartaceo o dal PC di studio: un esempio per tutti, se il server del nostro fornitore di servizio fosse ubicato in un paese estero, dovremo farne cenno nell'informativa.
Oltre a ciò, se in studio sappiamo che basta predisporre il foglio e farselo firmare, in ambiente web è necessario che il nostro fornitore di servizi telematici appronti un sistema con cui tenere traccia del fatto che il cliente abbia effettivamente preso visione dell'informativa. Perchè se è vero che “non è indispensabile il consenso ma basta fornire l'informativa al cliente” è pur vero che un domani al cliente che dovesse mettere in dubbio di essere stato informato bisognerà poter opporre una prova credibile che invece l'informativa l'aveva ricevuta. Ecco perchè molti provider di servizi prevedono un percorso in cui il cliente debba comunque cliccare su un box che presuppone anche una formula di consenso, che sarebbe in teoria superflua. Così facendo ci si può precostituire la prova che il cliente abbia preso visione dell'informativa, perchè altrimenti non avrebbe potuto andare avanti nella procedura. Concetto simile alla firma per presa visione dell'informativa cartacea che tutti noi abbiamo a blocchi di fotocopie nelle nostre sale d'attesa...
In molti casi capita di dover necessariamente richiedere e trattare dei dati particolari, quelli che spesso in passato abbiamo sentito chiamare “dati sensibili”, che pure possono risultare indispensabili per eseguire la prestazione che ci richiede l'interessato (il cliente). Il Regolamento GDPR elencadettagliatamente queste categorie di dati, tra cui vi sono delle informazioni che molte categorie di professionisti e consulenti si trovano a dover necessariamente richiedere ai propri clienti nell'esecuzione dei rispettivi incarichi: pensiamo ai dati relativi alla salute, dati genetici e biometrici, o relativi alla vita sessuale (necessari per consulenze in ambito medico e sanitario), all'appartenenza etnica, alle opinioni politiche, all'appartenenza a determinate cateogrie, iscrizione a sindacati od associazioni (commercialisti, consulenti del lavoro); ma ancora i dati relativi alla pendenza di procedimenti od ai precedenti penali (avvocati). Per tutti questi dati “particolari” è necessario acquisire il consenso esplicito del cliente prima di procedere alla loro raccolta e conservazione, pur se essi sono ugualmente dei dati indispensabili per fornire la prestazione che ci viene richiesta. Come molti di noi già sanno, per trattare questa categoria di dati personali è necessario che l'interessato fornisca un consenso esplicito, a meno che non ricorrano altre situazioni particolari (ad esempio pericolo di vita dell'interessato), che nella pratica non ricorrono quasi mai nei trattamenti di dati raccolti online. Sappiamo però, che quando predisponiamo l'informativa da sottoporre al cliente, abbiamo sempre cura di predisporre un box di consenso espressamente riferito al trattamento di questi dati. La legge non precisa che sia necessaria questa particolare modalità, ma è senz'altro il modo più sicuro per conservare traccia di un consenso espresso, senza possibilità di equivoci. Il discorso è analogo quando la raccolta di questi dati viene effettuata on line. Il nostro fornitore di servizi dovrà necessariamente approntare una procedura che preveda un passaggio in cui viene richiesto un secondo consenso all'utente, riferito alla particolare categoria di dati che dovremo trattare. Come si è visto, questi dati possono essere di tipologie diverse tra loro, cambiando da professione a professione; per molti tipi di trattamento potrà anche non essere necessario richiedere altro che non siano i dati “base” (quelli per archivio e fatturazione di cui parlavamo prima). Vista la diversità delle ipotesi possibili, sarà opportuno verificare che il provider cui ci rivolgiamo per comprare una “vetrina online” sia in grado di adattare la modulistica online alle caratteristiche della nostra professione ed alle tipologie di dati che andremo a trattare tramite le sue pagine web. Ecco perchè, come dicevamo all'inizio, è molto importante lo step iniziale e preliminare rispetto all'inizio del trattamento: fare mente locale ed elencare (a noi stessi) uno per uno i dati che andremo a richiedere ai nostri utenti; quindi raggrupparli in categorie, a seconda che siano pertinenti alla prestazione o servano per scopi ulteriori ed altresì a seconda che siano dati “comuni” o “particolari”, che richiedono un consenso espresso. È importante tenere presente che questi dati “particolari” necessitano sì del consenso dell'interessato, ma sono ugualmente necessari per il professionista, che altrimenti non potrebbe fornire all'interessato la prestazione che viene richiesta; cioè, senza questi dati il consulente non potrebbe poi correttamente eseguire il contratto che verrà concluso. È del tutto evidente che se l'interessato avesse riserve a comunicare il proprio orientamento sessuale ad uno psicologo cui si sta rivolgendo - magari per avere una consulenza per problematiche inerenti proprio alla sfera sessuale - il professionista non sarebbe in grado di svolgere il proprio lavoro... Pertanto, la procedura di acquisizione del consenso dovrà essere fatta in modo da precisare all'interessato che le informazioni “sensibili” che vengono richieste in aggiunta a quelle “basilari” sono comunque necessarie all'esecuzione del servizio che sta richiedendo e che senza i suo consenso la transazione non potrà essere conclusa.
L'errore da evitare in questo caso è quello di porre all'utente solo l'alternativa di prestare il consenso: la procedura di registrazione deve prevedere anche l'opzione “non presto il consenso”, da cui l'utente verrà riportato indietro senza che i suoi dati vengano salvati dal server. È vero che sono dati indispensabili per fornire la prestazione da lui richiesta, ma il consenso dell'utente deve essere liberamente espresso, per cui è buona norma lasciare sempre le due alternative di scelta, salvo poi non concludere il contratto e non raccogliere nessun dato, nel caso in cui non vi fosse il consenso. E va ribadito che la scelta di prestare il consenso operata in ambiente digitale deve essere memorizzata dal sistema in modo da poter poi essere documentata in un secondo momento.
Abbiamo fatto cenno ai dati non strettamente inerenti rispetto alla prestazione che viene richiesta dall'utente del nostro sito internet. Come accennavamo poco prima, è ben possibile richiedere altre informazioni agli utenti, per scopi ulteriori rispetto alla fornitura della prestazione professionale. In questi casi, però, dal momento che la base giuridica del trattamento non è più assicurata dal fatto che questi dati sinao necessari per eseguire il contratto di consulenza che l'utente ci sta chiedendo, dovremo raccogliere un ulteriore e distinto consenso dall'interessato, proprio come per i dati “particolari”. Anche in questo caso, nel contesto in cui il cliente compilerà il form con i dati che gli si richiedono, prima che il sistema acquisisca i suo dati dovrà esporgli l'informativa, con box di consenso esplicito per questi dati “ulteriori” che vengono richiesti: qui dovrà essere spiegato per quale motivo ed a quale scopo chiediamo di fornire anche queste informazioni. La prestazione del consenso (come per il caso dei dati sanitari, giudiziari, ed altri “particolari) dovrà essere tracciata e conservata dal sistema informatico. In questo caso, però, il sistema dovrà consentire all'utente di andare avanti nella conclusione della transazione anche se non dovesse prestare il consenso a questo trattamento ulteriore: il consenso deve essere prestato liberamente, dicevamo poc'anzi, ed in questo caso il trattamento ha ad oggetto dati non indispensabili per eseguire il contratto di consulenza che ci viene richiesto. Dunque, se il cliente non vuole fornire anche dati che vengono richiesti, per esempio, a fini statistici, dovrà comunque poter concludere il contratto di consulenza senza fornire anche questi dati in più, ove non prestasse il consenso. Va da sé che in questo caso, se l'utente compilasse il form con i dati richiesti a fini statistici ma poi non prestasse il consenso, la procedura dovrà farlo proseguire senza salvare quei dati, digitati, ma non coperti da consenso.
Una volta approntata la informativa e la procedura di acquisizione del consenso, per quanto sembri ovvio, la prima regola da seguire è quella, già accennata, di non utilizzare i dati raccolti al di fuori delle finalità per i quali sono stati raccolti ed oltre l'ambito per il quale il cliente ha prestato il consenso.
Subito dopo, dovremo procedere ad aggiornare il registro dei trattamenti, che il Regolamento Europeo GDPR ha introdotto anche per i liberi professionisti, oltre che per le attività imprendditoriali. Per quanto la normativa lasciasse il campo a qualche dubbio sul punto, nella prassi questo adempimento viene adottato ormai anche dagli studi professionali medio-piccoli, sulla scorta di interpretazioni “autorevoli” espresse immediatamente dopo l'entrata in vigore del Regolamento. Anche a prescindere da questo, la tenuta del registro è un adempimento che non ci deve spaventare, ma che anzi si rivela uno strumento utile per tenere sempre sotto controllo il flusso di informazioni che entrano ed escono dai nostri studi, facilitando gli interventi che eventualmente possono essere necessari per correggere possibili criticità. Nel registro previsto dall'art. 32, ogni titolare di trattamento deve annotare queste informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
del trattamento, del rappresentante del titolare del trattamento e del responsabile
della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi
i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione
internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione
delle garanzie adeguate;
f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche
In pratica si tratta di organizzare un foglio excel o equivalente in cui vengono raggruppate tutte queste notizie, associate ad ogni tipologia di dati, che ci consente, materialmente, di “vedere” quali dati raccogliamo, come li conserviamo e se e come possano arrivare all'esterno. Molto probabilmente quasi tutti i lettori di questa guida hanno già provveduto a redigere (o far redigere) un registro per la propria attività professionale in studio. Una volta che si inizi a trattare dati raccolti anche on line si dovrà aggiungere una voce ulteriore, relativa al trattamento dei dati raccolti con il servizio prestato online. Verosimilmente molte delle caratteristiche specificate per questo trattamento saranno uguali a quelle relative al trattamento dei dati raccolti in modo tradizionale. Potrebbe essere necessario precisare il tipo di dati che vengono raccolti, che non necessariamente saranno gli stessi che raccogliamo negli appuntamenti di studio, come abbiamo visto. Molto probabilmente cambierà qualcosa per voci d), e) e g), dal momento che i dati raccolti online saranno fisicamente conservati sui server del fornitore di servizi online, che è diverso dal nostro PC di studio o dal server del servizio di archiviazione cloud che molti di noi usano. Queste informazioni sono reperibili nelle condizioni contrattuali dei fornitori di servizi, che a loro volta devono renderle conoscibili al proprio cliente (in queasto caso il professionista che vi si rivolge) ed è necessario porvi attenzione, in quanto sono parte anche dell'informativa che viene esposta sul sito web per il nostro cliente finale.
Hai bisogno di aiuto per Gestione dei dati personali?
Consulta i programmi individuali e di gruppo:
La gestione dei dati personali per lo studio professionale on-line
Avv. Francesco Maina
Responsabile area legale
Ecomind casa editrice dal 2001.
C.F. e P.IVA 03742890654
Specializzata in educazione, formazione e crescita personale.
Copyright © 2001-2024 Ecomind srl
Consulta la nostra Privacy policy
Assistenza clienti info@ecomindlearning.com