Panoramica

Nuove leggi sulla privacy e buone prassi

A partire dal 25 maggio 2018 è in vigore il Regolamento Generale sulla Potezione dei Dati (RGPD) che ha inaugurato una nuova era in questo ambito. Avrai sicuramente sentito parlare e letto molte informazioni sull'RGPD ma può essere difficile capire esattamente cosa significa per il tuo business in termini pratici e cosa dovresti fare per adempiere alle nuove regole.

In Odoo, ci impegniamo a seguire le migliori prassi in materia di privacy e sicurezza. Puntiamo a fornire lo stesso livello di protezione a tutti gli utenti e clienti senza nessun tipo di distinzione. Inoltre, applichiamo queste prassi a tutti i tipi di dati, non solo quelli personali.

Quindi Odoo SA e le rispettive filiali rispettano l'RGPD.

Cose che devi sapere sul'RGPD

Consiglio
Se puoi, il miglior modo per comprendere l'RGPD è di leggere il testo ufficiale.
È un po' lungo (99 articoli per 88 pagine) ma abbastanza comprensibile per i non esperti.

Si tratta di un Regolamento dell'UE che mira ad armonizzare e modernizzare la legislazione sulla privacy esistente come, ad esempio, la Direttiva sulla protezione dei dati che è andato a sostituire. Il regolamento stabilisce le regole per la protezione delle persone fisiche con particolare attenzione al trattamento dei dati personali e della libera circolazione di quest'ultimi in Europa.

Trattandosi di un Regolamento e non di una Direttiva esso è applicabile immediatamente in tutti gli stati membri dell'UE senza richiederne la trasposizione nella legge nazionale di ogni Paese. I paesi membri dell'UE hanno un margine di interpretazione limitato per i punti più precisi ma le regole fondamentali saranno le stesse per tutti e ovunque nell'Unione Europea.

L'RGPD tiene conto anche del nuovo millennio prendendo in considerazione i social media, il cloud computing, i crimini informatici e le principali sfide che comportano in termini di privacy e sicurezza dei dati personali.

In poche parole: niente panico!

L'RGPD non è una nuova legge rivoluzionaria ma è fondamentalmente una buona iniziativa per i cittadini e le aziende.

È una buona idea!

Vogliamo sottolineare il fatto che l'RGPD può essere una buona soluzione per te e per i tuoi clienti. Essere conforme all'RGPD inizialmente potrebbe rappresentare un grande impegno ma ci sono molti lati positivi:

  • Maggiore fiducia da parte di clienti e utenti
  • Semplificazione, le stesse regole vengono applicate a tutti gli stati membri
  • Razionalizzazione e centralizzazione dei processi organizzativi

Lo scopo dell'RGPD è di fornire agli individui un controllo maggiore dei propri dati personali. Se la tua azienda mette in atto le strategie e i sistemi corretti, negli anni a venire sarà più semplice da gestire, sicura e protetta.

Cosa rischi se non rispetti le norme?

La pena massima per l'assenza di conformità è una multa amministrativa di 20 milioni di euro o il 4% del fatturato annuo globale, a seconda del valore più alto. Per le infrazioni minori si applica un massimo di 10 milioni di euro o del 2% del fatturato annuo globale.

Questi importi massimi hanno lo scopo di essere dissuasivi per le aziende di tutte le dimensioni ma l'RGPD prevede che le multe siano proporzionate.

Le autorità di supervisione (conosciute come autorità preposte alla protezione dei dati: DPA) devono tenere conto delle circostanze di ogni caso comprese la natura, la gravità e la durata della violazione. Le DPA hanno anche il potere di investigare e imporre azioni correttive che includono la limitazione delle attività di violazione senza per forza imporre un'ammenda.

Un altro rischio che corri se non rispetti la normativa è la perdita di fiducia da parte dei clienti e dei potenziali clienti, che si preoccupano del modo in cui tratti i loro dati!

Molte DPA, infine, hanno lasciato intendere che non imporranno ancora multe nel 2018 ma pretendono che le aziende dimostrino che stanno lavorando per raggiungere la conformità.

Principi chiave dell'RGPD

Campo di applicazione

Il regolamento si applica a qualsiasi trattamento di dati personali da parte di qualsiasi organizzazione:

  1. Se l'organizzazione che controlla o esegue il trattamento è situata all'interno dell'UE
  2. Se l'organizzazione non ha sede nell'UE ma il trattamento interessa dati personali di persone che si trovano in Europa ed è legato a offerte commerciali o al monitoraggio del comportamento.

Il campo di applicazione include quindi anche aziende non UE, cosa che non accadeva con la legislazione precedente.

Ruoli

Il regolamento fa distinzione tra due soggetti principali:

  • Titolare del trattamento: qualsiasi soggetto che determina finalità e mezzi del trattamento dei dati personali, singolarmente o insieme.
  • Responsabile del trattamento: qualsiasi soggetto che elabora i dati per conto del titolare del trattamento.

Ad esempio, se la tua azienda possiede un database ospitato su Odoo Cloud, sei il titolare del database e Odoo SA è solo il responsabile. Se invece utilizzi Odoo on premise sei sia titolare che responsabile dei dati.

Dati personali

L'RGPD da una definizione ampia del concetto di dati personali:ogni informazione relativa ad una persona fisica identificata o identificabile. Una persona identificabile può essere identificata direttamente o indirettamente attraverso il nome, l'indirizzo e-mail, il numero di telefono, le informazioni biometriche, i dati relativi alla localizzazione, i dati finanziari, ecc. Gli identificatori online (indirizzi IP, ID dei dispositivi) fanno parte del campo di applicazione.

Ciò si verifica anche in contesti aziendali: info@odoo.com non è un indirizzo personale ma john.smith@odoo.com lo è perché può essere utilizzato per identificare una persona fisica all'interno di un'azienda.

L'RGPD richiede anche un alto livello di protezione per dati sensibili che include categorie specifiche di dati personali come informazioni su salute, genetica, etnia o religione.

Principi del trattamento dei dati

Per essere conformi, le attività di elaborazione devono rispettare le seguenti regole:
(come indicato nell'Articolo 5 dell'RGPD)

  1. Leggitimità, equità e trasparenza: per raccogliere dati devi avere una base giuridica, un obiettivo chiaro e devi informare il soggetto a riguardo.

    • Avere un'Informativa sulla privacy semplice e chiara e fare riferimento ad essa ovunque si raccolgano dati
    • Verificare la base giuridica di ogni attività che riguardi il trattamento di dati
  2. Limitazione delle finalità: una volta che i dati sono stati raccolti per uno scopo specifico bisogna richiedere il permesso se vuoi utilizzarli per un obiettivo diverso.

    e.g. - Non puoi decidere di vendere i dati dei tuoi clienti se non sono stati raccolti per questo scopo.

  3. Minimizzazione: devi raccogliere solo i dati necessari al tuo scopo

  4. Esattezza: è necessario adottare misure adeguate per garantire che i dati siano aggiornati in relazione allo scopo principale

    e.g. - Assicurati di gestire le e-mail respinte e correggere o eliminare gli indirizzi.

  5. Limite di archiviazione: i dati personali dovrebbero essere conservati solo per il periodo di tempo necessario a soddisfare lo scopo principale.

    Definisci i termini per cancellare o rivedere i dati personali trattati in base al loro scopo.

  6. Completezza e riservatezza: i responsabili del trattamento dei dati devono implementare adeguate misure di controllo degli accessi, di sicurezza e di prevenzione della perdita dei dati, in funzione della tipologia e dell'entità dei dati trattati.

    e.g. - Assicurati che il tuo sistema di backup funzioni bene, che ci siano i controlli di sicurezza adeguati, che utilizzi la crittografia per proteggere dati sensibili come password...

  7. Responsabilità: i titolari del trattamento dei dati sono responsabili e devono essere in grado di dimostrare la conformità con tutti i principi descritti in precedenza.

    • Per la tua organizzazione stabilisci e mantieni un riferimento per la mappatura dei dati che descrive la conformità delle attività di trattamento
    • Informa i tuoi clienti attraverso un'Informativa sulla privacy chiara
Base giuridica

Al fine di osservare l'RGPD (primo principio), il trattamento dei dati personali deve basarsi su una delle sei basi giuridiche possibili, come elencato nell'Articolo 6 (1):

  1. Consenso. Valido quando la persona interessata ha esplicitamente e liberamente dato il proprio consenso dopo essere stata adeguatamente informata con una finalità chiaramente indicatae specificata. L'onere della prova ricade sul titolare del trattamento dei dati.
  2. Necessario all'esecuzione di un contratto o all'esecuzione di misure precontrattuali adottate su richiesta della persona interessata.
  3. Adempiere a un obbligo legale al quale il titolare del trattamento è soggetto.
  4. Salvaguardare gli interessi vitali. Quando il trattamento è necessario per salvare una vita.
  5. Interesse pubblico o autorità ufficiale.
  6. Interesse legittimo. Applicabile quando il titolare del trattamento ha un legittimo interesse che non prevale sugli interessi e sui diritti fondamentali della persona interessata.

Uno dei cambiamenti più grandi apportato dall'RGPD rispetto ai regolamenti precedenti è rappresentato dai requisiti più severi per ottenere un consenso valido.

Diritti della persona interessata

I diritti esistenti in materia di privacy sono ulteriormente ampliati nell'RGPD. Le organizzazioni devono essere preparate ad accogliere le richieste degli interessati tempestivamente (entro 1 mese) e gratuitamente:

  1. Diritto di accesso - Gli individui hanno il diritto di sapere, in totale trasparenza, quali sono i dati personali trattati e in che modo vengono trattati;
  2. Diritto di rettifica - Gli individui hanno il diritto di ottenere correzioni o compilazionidei propri dati personali;
  3. Diritto alla cancellazione - Gli individui hanno il diritto di ottenere la rimozione dei propri dati personali per scopi legittimi (revoca del consenso, non più necessari allo scopo, ecc.);
  4. Diritto di limitazione - Gli individui possono richiedere che il titolare smetta di trattare i propri dati personali se non vogliono o se non possono richiederne l'eliminazione completa;
  5. Diritto di opposizione - Gli individui hanno il diritto di opporsi ad alcuni trattamenti dei propri dati personali in ogni momento, ad esempio per scopi di marketing diretto;
  6. Portabilità dei dati - Gli individui hanno il diritto di richiedere che i dati personali in possesso di un titolare possano essere forniti alla persona interessata o a un altro titolare del trattamento.

Come dovresti prepararti per l'RGPD

Avvertenza
Non possiamo fornire una consulenza giuridica, questa sezione ha esclusivamente valore informativo. Rivolgiti al tuo consulente legale per determinare in maniera esatta in che modo l'RGPD incide sulla tua azienda.

Di seguito trovi le tappe fondamentali che suggeriamo per avere un piano d'azione:

  1. Stabilisci una mappattura delle attività di elaborazione dei dati della tua organizzazione per avere una chiara panoramica della situazione. Le autorità predisposte alla protezione dei dati spesso forniscono modelli per i fogli di calcolo per aiutare in quest'attività. Per ogni processo, documenta il tipo di dati personali e la maniera in cui vengono trattati, lo scopo, la base giuridica e la politica di cancellazione del trattamento, le misure di sicurezza tecniche e organizzative implementate e i subcontraenti (responsabili) coinvolti.

    Avrai bisogno di aggiornare la mappatura regolarmente con l'evolversi dei tuoi processi.
  2. In base al primo step, scegli una Strategia di risanamento per tutti i trattamenti per i quali non disponi di una base giuridica (ad esempio, consenso mancante) o per i quali non disponi di misure di sicurezza appropriate. Adatta i tuoi processi, le tue procedure interne, le regole di controllo degli accesi, i backup, il monitoraggio, ecc.
  3. Aggiorna e pubblica sul tuo sito web una chiara Informativa sulla privacy. Spiega quali tipi di dati personali elabori, qual è il metodo adottato e quali sono i diritti degli individui in relazione ai loro dati.
  4. Revisiona i tuoi contratti con un consulente legale e adattali all'RGPD.
  5. Decidi come risponderi ai vari tipi di richieste delle persone interessate.
  6. Prepara la tua procedura di risposta ad un incidente in caso di violazione dei dati.

In base alla tua situazione, altri elementi potrebbero essere aggiunti all'elenco come la nomina di un responsabile della protezione dei dati. Consulta gli esperti interni e i tuoi consulenti legali per stabilire ulteriori misure rilevanti.

Ricorda!
Creare una mappa precisa dei tuoi processi renderà tutto più semplice per raggiungere la conformità!

In che modo Odoo rispetta l'RGPD

In Odoo, l'idea di implementare le migliori prassi su privacy e sicurezza non è nuova. Essendo un'azienda che offre un servizio di hosting su cloud revisioniamo e miglioriamo costantemente i nostri sistemi, strumenti e processi al fine di rendere la piattaforma sempre più sicura.

I nostri ruoli RGPD

Le nostre responsabilità in termini di dati personali dipendono dalle varie attività di elaborazione dei dati:

I nostri ruoli Trattamento dei dati TIpo di dati
Titolare dati e Responsabile Su Odoo.com Dati personali forniti dai nostri clienti diretti e potenziali clienti, dai nostri partner e da tutti gli utenti diretti di Odoo.com (nomi, e-mail, indirizzi, password...)
Responsabile dati Su Odoo Cloud
(Odoo Online, Odoo.sh e altri servizi di Odoo Enterprise)
Qualsiasi dato personale archiviato nei database dei nostri clienti, ospitati su Odoo Cloud o trasferiti a noi al fine di utilizzare uno dei nostri servizi. Il proprietario del database è il titolare dei dati.
Nessun ruolo On-Premise Qualsiasi dato situato in un database di Odoo on-premise o in qualsiasi servizio di hosting non gestito da noi.

Documenti sull'RGPD di Odoo

In quanto Titolare dei dati le nostre attività sono descritte nella nostra Informativa sulla privacy, che è stata aggiornata per l'RGPD. L'Informativa spiega nella maniera più chiara possibile quali dati trattiamo, perché lo facciamo e in che modo. In relazione a ciò, la nostra Politica di sicurezza spiega le migliori prassi che adottiamo in azienda, per tutti i livelli (tecnico e organizzativo) per garantire che i tuoi dati vengano trattati in modo sicuro.

In aggiunta a tali documenti, le nostra attività come Responsabile dei dati sono soggette all'accettazione del nostro Contratto di abbonamento a Odoo Enterprise. Il presente contratto è stato aggiornato per aggiungere le clausole necessarie relative alla protezione dei dati (spesso chiamato "Contratto per l'elaborazione dei dati"), come richiesto dall'RGPD.
In quanto cliente di Odoo S.A. non devi fare nulla per accettare questi cambiamenti, puoi già beneficiare delle nuove garanzie, e se non avremo alcuna segnalazione ti considereremo d'accordo!

Oltre a questi documenti, abbiamo anche aggiornato il nostro sito web per inserire informative sulla protezione dei dati personali in tutte le sezioni importanti per tenere i nostri utenti sempre informati.

In che modo Odoo ti aiua ad adottare le migliori prassi per l'RGPD

Utilizzare Odoo per gestire la tua azienda non è sufficiente per essere conformi all'RGPD, perché il regolamento si applica all'intera organizzazione. Tuttavia, Odoo può essere di grande aiuto per raggiungere la conformità dato che centralizza i tuoi dati, ne riduce la ridondanza e adotta diritti di accesso e controlli di sicurezza dettagliati.

Di seguito trovi alcuni modi attraverso i quali pensiamo che Odoo possa aiutarti con l'RGPD, sia per i database locali che quelli ospitati su Odoo Cloud.

Avvertenza: come sempre, consulta il tuo consulente legale per determinare come potresti rispettare l'RGPD e le richieste delle persone interessate. Tieni sempre a mente che puoi trattare dati personali anche al di fuori di Odoo.

Diritto di accesso (Art. 15) e Diritto alla portabilità dei dati (Art. 20)

  • Odoo fornisce alcuni strumenti alle persone interessate per accedere e aggiornare le proprie informazioni personali in maniera autonoma:
    • Il portale clienti permette agli utenti di sfogliare documenti contrattuali: indirizzi e contatti, fatture, preventivi, ordini, attività, ticket di assistenza, acquisti, abbonamenti, ordini di consegna, pagamenti così come comunicazoni sui documenti citati.
    • La pagina relativa alle mailing list permette di rivedere e gestire gli abbonamenti (Esempio per odoo.com: https://www.odoo.com/groups)
    • Il profilo del forum permette agli utenti di rivedere tutte le attività in un batter d'occhio
  • Se hai bisogni di esportare tutti i dati o di comunicare dati privati che non sono accessibili attraverso il portale alcuni step manuali potrebbero essere necessari.
    Di solito puoi ottenere tutti i documenti rilevanti direttamente dalla barra superiore del modulo contrattuale degli utenti, dove sono collegati. In seguito, puoi esportare tutte le informazioni attraverso la funzione del browser "Stampa come PDF" o dal menu Azione>Esporta dalla lista di contatti o dalla lista dei documenti.
    Entrambe le opzioni fornisono formati elettronici conformi all'RGPD.
  • Oltre a questo, potresti avere delle informazioni non collegate al modulo di contatto che la persona interessata potrebbe aver inserito in un altro contesto. Dovresti rivedere anche quest'ultime, ad esempio eseguendo una ricerca attraverso il nome o l'indirizzo e-mail
    • Iscrizioni ad eventi
    • Contratti e opportunità nel tuo CRM

Avvertenza:oltre ad essere in grado di esportare i dati come PDF grazie al tuo browser, Odoo fornisce uno strumento per esportare qualsiasi documento o lista di documenti in un file CSV o Excel così come i documenti legati a quello principale. Per utilizzarlo, recati sulla vista elenco di qualsiasi schermata, seleziona il/i documento/i e fai clic su Azione > Esporta, scegli "Esporta tutti i dati". In seguito, lo strumento permetterà di scegliere i campi che vuoi esportare.

Diritto alla cancellazione ("diritto all'oblio" - Art. 17)

L'RGPD riconosce alle persone interessate il diritto di richiedere l'eliminazione dei propri dati personali sotto specifiche condizioni, come:

  • I dati personali non sono più necessari rispetto alle finalità;
  • Gli interessati revocano il consenso per un trattamento basato esclusivamente sul consenso stesso;
  • Il trattamento è illecito.

Se decidi che la richiesta è legittima e hai confermato l'identità dell'interessato, puoi provare a eliminare il contatto corrispondente in Odoo. È sicuro: il sistema bloccherà le operazioni se un documento aziendale farà ancora riferimento al contatto (fattura, contatto, ordine di consegna, post su forum, ecc.). In quel caso, dovresti capire se hai altri obblighi per i quali conservare questi documenti e quindi rifiutare la richiesta di eliminazione.

Se non hai nessuna ragione legale che ti porta a mantenera le informazioni personali ma non puoi o non vuoi eliminare un documento o contratto, considera come soluzione il renderlo anonimo. Puoi rinominare il contratto e cambiare i dati riconoscibili (e-mail, indirizzo, ecc.) o puoi riassegnare i documenti ad un contatto anonimo generico. Una volta reso anonimo nella maniera giusta, questi dati non saranno più personali.

Limitazione di trattamento (Art. 18) e Condizioni per il consenso (Art. 7)

Gli utenti chiederanno spesso di cancellare l'iscrizione alle e-mail commerciali. Se le e-mail sono inviate tramite Odoo, gli utenti possono farlo in autonomia utilizzando il link a piè di pagina. Tuttavia, puoi anche selezionare manualmente il campo "opt-out" su un contatto, potenziale o meno, od opportunità. I contatti contrassegnatI come "opt-out" sono automaticamente esclusI dalle campagne di mass mailing ma possono ancora ricevere messaggi diretti dagli utenti (ad esempio, preventivi, fatture).

Diritto di rettifica (Art. 16) ed Esattezza dei dati (Art. 5 (1) d)

Indirizzi e-mail non validi o modificati sono una fonte comune di errori. Quando l'integrazione delle e-mail è configurata adeguatamente (impostazione predefinita in Odoo Cloud), Odoo gestisce il rimbalzo delle e-mail per i tuoi invii di massa e incrementa un campo bounce con il numero di messaggi non recapitati. Puoi rivedere periodicamente i tuoi contatti o potenziali clienti con una ricerca personalizzata su "Bouncemaggiore di 0" ed eseguire operazioni di pulizia/eliminazione.

I seguaci dei canali di discussione di Odoo vengono automaticamente cancellati dopo 10 bounce.

In termini di rettifica, gli utenti e i clienti possono anche corregere i propri dati personali (nome, e-mail, indirizzo) attraverso il portale Odoo.

Consenso (Art. 7)

Quando collezioni dati personali attraverso i maccanismi di base di Odoo (ad esempio, modulo di contatto, abbonamento alla mailing list, iscrizioni agli eventi) devi stabilire una finalità e una base giuridica per il trattamento. Questo dipende molto da come utilizzerai i dati.

Se lo scopo è specifico ed evidente (ad esempio, conservare i dati dei partecipanti registrati ad un evento per informarli sullo svolgimento dello stesso; iscrivere una persona alla mailing list scelta) non hai bisogno di chiedere il consenso specifico (i dati personali sono necessari per un contratto - Art. 6 (1) b). Tuttavia, hai bisogno di chiarire lo scopo finale all'utente e fare riferimento alla pagina della tua Informativa sulla privacy dove sono presenti maggiori informazioni. Puoi utilizzare il configuratore di siti web per modificare i moduli e aggiungere i riferimenti richiesti.

Tuttavia, se il tuo piano è di utilizzare i dati archiviati per altri scopi hai bisogno di ottenere il consenso specifico dall'utente, per ogni finalità. Consigliamo di aggiungere delle caselle di controllo al tuo modulo per avere il consenso per ogni finalità specifica (ad esempio, "Per favore, inviami sconti e promozioni su prodotti simili tramite e-mail"). Con Odoo, puoi farlo in tre modi:

  1. Utilizzare Odoo Studio per aggiungere una casella di controllo (booleana) sul documento di raccolta dei dati personali (ad esempio, Contatti/Opportunità), per indicare il consenso a tale finalità
  2. Aggiungere la casella di controllo sul modulo di contatto del tuo sito web attraverso il configuratore di siti web di Odoo
  3. Utilizzare un determinato campo quando tratti i dati per uno scopo specifico, ad esempio nei filtri di segmentazione delle campagne di marketing.

Protezione per impostazione predefinita (Art. 25)

Al centro del lavoro di R&S di Odoo c'è la sicurezza come impostazone predefinita e applichiamo le migliori prassi per rendere il nostro software sicuro, resistente e flessibile per tutti.

Controllo dell'accesso - Il meccanismo predefinito di controllo degli accessi di Odoo basato su gruppi consente di limitare l'accesso ai dati personali secondo il ruolo e le esigenze di ogni utente (ad esempio: un project manager non ha bisogno di accedere alle candidature). Se revisioni le assegnazioni ai gruppi di utenti e li mantieni in maniera adeguata, quando nella tua organizzazione i ruoli cambiano, hai una solida base di privacy. Puoi facilmente aggiungere o modificare i gruppi di utenti per adattarli alla tua organizzazione.

Regole di conservazione - Per mettere a punto l'accesso ai dati personali puoi utilizzare le Regole di conservazione che ti permettono di limitare l'accesso ai documenti secondo qualsiasi criterio basato su valori del campo. Tali regole possono bloccare le operazioni di lettura e/o scrittura e lavorano in base al singolo documento. Per maggiori informazioni, consulta la la nostra documentazione..

Password - Odoo conserva le password degli utenti attraverso hashing sicuro basato sugli standard del settore. È anche possibile utilizzare sistemi di autenticazione esterni come OAuth 2.0 o LDAP per evitare la conservazione delle password degli utenti.

Dati dipendente - Un'area in cui i database di Odoo possono includere dati sensibili è la scheda Informazioni private presente nel modulo dipendenti e i relativi contratti. Questa parte della directory dei dipendenti è visibile esclusivamente al personale delle risorse umane (gruppo "HR Officer"), per svolgere il proprio lavoro. La protezione si estende all'indirizzo personale dei dipendenti: per Odoo 12 e fino a Odoo 17, questa sezione comparirà nei contatti di tipo "privato", visibili solo al personale delle risorse umane. A partire da Odoo 17.0, apparirà direttamente nel profilo del Dipendente.

Sicurezza del trattamento (Art. 25 e 32)

Se utilizzi i servizi di Odoo Online o Odoo.sh mettiamo in atto le migliori prassi in materia di sicurezza e privacy su tutti i livelli. Puoi scoprire di più consultando la nostra Politica di sicurezza.
Se utilizzi Odoo on-premise, sei responsabile di seguire le migliori prassi in materia di sicurezza. Puoi iniziare con le raccomandazioni presenti nella nostra documentazione di implementazione.