A-TEC
AEA Airguns
AKAH
ASG
Aimpoint
Alpen Optics
Alpha Industries
Anschütz
Antonio Zoli
Ares
B&T Schalldämpfer
Baikal
Ballistol
Balzer
Barbour
Barnes
Barnett
Benelli
Beretta
Bergara
Blaser
Brandit
Bremer Tresor
Brenneke
Se durante una mediazione su un mercato online i dati vengono trattati in modo errato, non solo ci sono conflitti, ma anche problemi legati al GDPR. Per me, il nocciolo della questione è molto semplice: I dati di mediazione possono essere utilizzati solo per il caso di conflitto, l'accesso deve essere strettamente limitato e i dati devono essere cancellati o conservati dopo scadenze fisse.
Da questo contributo, porto via soprattutto questi punti:
- GDPR, BDSG e legge sulla mediazione si intrecciano
- Riservatezza e protezione dei dati non sono la stessa cosa
- Piattaforma, mediatore e fornitori di servizi IT hanno ruoli diversi
- Ogni fase ha bisogno di una propria base giuridica
- I diritti di accesso e cancellazione si applicano, ma non senza limiti
- Errori tipici sono troppi accessi, mancanza di scadenze di cancellazione e trasmissione non sicura
In breve: se voglio impostare una mediazione su una piattaforma come Gunfinder in modo conforme alla legge, ho bisogno di responsabilità chiare, pochi dati, fascicoli separati, comunicazione crittografata e un piano di cancellazione con scadenze di 6 o 10 anni, a seconda del documento.
La mia conclusione breve: la protezione dei dati nella mediazione non è un punto aggiuntivo. Deve essere presente fin dall'inizio in moduli, processi, contratti e sistemi.
GDPR: Le 5 domande più importanti per gli utenti riguardo al Regolamento generale sulla protezione dei dati
sbb-itb-1cfd233
Quadro giuridico: GDPR, BDSG e legge sulla mediazione
Dopo aver considerato separatamente riservatezza e protezione dei dati, ora si tratta delle regole giuridiche sottostanti. Per i procedimenti di mediazione in Germania, sono importanti soprattutto tre fonti giuridiche. Si intrecciano, ma ognuna copre una parte diversa.
| Legge | Ambito di applicazione | Obblighi principali | Rilevanza per la mediazione |
|---|---|---|---|
| GDPR | Tutti i responsabili nell'UE | Principi ai sensi dell'art. 5, base giuridica (art. 6), sanzioni (art. 83) | Base per il trattamento dei dati nel procedimento |
| BDSG | Enti pubblici e privati in Germania | Obbligo di DSB (§ 38), dati dei dipendenti (§ 26), limitazione dell'accesso (§ 29) | Può limitare i diritti degli interessati in caso di interessi di riservatezza |
| Legge sulla mediazione | Mediatori e loro collaboratori | Riservatezza (§ 4) | Protegge il contenuto del procedimento oltre il semplice trattamento dei dati |
Per i casi di mediazione, ci sono soprattutto tre punti importanti: vincolo di scopo, una chiara base giuridica e ruoli ben definiti. Per Gunfinder, questo riguarda soprattutto i dati degli utenti, le transazioni e i dati di comunicazione relativi al caso di conflitto.
Principi del DSGVO per il trattamento dei dati di mediazione
Art. 5 DSGVO menziona le regole fondamentali che si applicano a ogni trattamento di dati personali – quindi anche nei procedimenti di mediazione [2]. Qui, queste regole sono più che semplici formalità. Decidono in modo pratico cosa può essere fatto con i dati del caso e cosa no.
Vincolo di scopo significa: i dati raccolti per la risoluzione delle controversie non possono essere utilizzati improvvisamente per altri scopi. Un esempio tipico sarebbe l'analisi per scopi di marketing. Non è possibile farlo così [2].
Minimizzazione dei dati significa che i moduli possono chiedere solo ciò che è necessario per il caso specifico. Non tutto ciò che "potrebbe essere utile in futuro" appartiene automaticamente alla raccolta dei dati. È proprio qui che si distingue una pratica corretta da una raccolta di dati non necessaria.
A questo si aggiunge il limite di conservazione. I dati del caso devono essere cancellati non appena lo scopo è stato raggiunto, a meno che non si applichino termini di conservazione fiscali [2]. Inoltre, per la comunicazione nel procedimento vale il principio di integrità e riservatezza. In altre parole: la trasmissione dovrebbe essere tecnicamente sicura, ad esempio tramite TLS/SSL o crittografia end-to-end [2][8].
Il trattamento si basa di solito su Art. 6 par. 1 lett. b DSGVO. Per singoli canali di comunicazione potrebbe essere necessaria un'ulteriore autorizzazione [2].
Come queste regole vengono applicate nelle singole fasi del procedimento sarà mostrato nella parte successiva.
Come il BDSG e la legge sulla mediazione aggiungono peculiarità tedesche
Il DSGVO è il quadro a livello UE. Il BDSG lo integra per la Germania. Per la pratica, è soprattutto importante il § 38 BDSG: chi occupa in genere almeno 20 persone con trattamento automatizzato dei dati deve nominare un responsabile della protezione dei dati [2][7]. Non appena viene raggiunta questa soglia, sussiste l'obbligo.
Anche il § 29 BDSG gioca un ruolo importante nel contesto della mediazione. La norma può limitare il diritto di accesso ai sensi dell'art. 15 GDPR, se la divulgazione violerebbe gli interessi di riservatezza di altre parti coinvolte. In parole semplici: una parte non può richiedere senza ulteriori indugi tutte le informazioni sull'altra parte, se queste sono protette dalla riservatezza [2][4].
A questo si aggiunge il § 4 MediationsG. Esso obbliga i mediatori e le parti alla riservatezza su tutto ciò che viene loro reso noto durante la mediazione [5]. Questo va oltre la semplice elaborazione dei dati. Non sono protetti solo i dati memorizzati, ma anche le parole pronunciate, le impressioni e la comunicazione non verbale [8][4].
È inoltre importante un punto che nella pratica viene facilmente trascurato: il mediatore ha un obbligo di riservatezza, ma non un proprio diritto di riservatezza. Se le parti lo esonerano dalla riservatezza, potrebbe essere obbligato a testimoniare [4].
Chi è responsabile dei dati: piattaforma, mediatore e fornitori di servizi
Chi è responsabile dal punto di vista della protezione dei dati non rimane sempre nella stessa posizione durante il procedimento di mediazione. A seconda della fase, questo può spostarsi.
Gunfinder è inizialmente responsabile per i dati dell'account utente e delle transazioni, nonché per la ricezione dei casi di controversia [2]. Il mediatore elabora i dati del caso per la conduzione del procedimento come proprio responsabile [2].
La situazione è diversa per i fornitori di servizi IT, come i fornitori di cloud o di videoconferenze. Essi sono responsabili del trattamento ai sensi dell'art. 28 GDPR. Ciò significa: possono elaborare i dati solo su istruzione del responsabile. Per questo è necessario un contratto di trattamento dei dati scritto [2][8].
Il rispetto di queste regole è monitorato dalle autorità tedesche per la protezione dei dati. Anche i mediatori sono soggetti a questo controllo [2].
Riservatezza e protezione dei dati nella mediazione
Obblighi di riservatezza per mediatori e parti
Chiunque accompagni un procedimento come mediatore o come persona coinvolta è soggetto alla riservatezza. Questo vale anche per i dipendenti di una piattaforma, se hanno accesso a un caso. In tali casi, la riservatezza deve essere stabilita contrattualmente.
Per le parti stesse, questo obbligo non è automatico. Deve essere espressamente concordato, ad esempio in un accordo di mediazione o in un accordo di riservatezza separato [4][3]. Proprio per questo motivo, dovrebbe esserci una clausola adeguata in ogni accordo di mediazione.
Le dichiarazioni fatte durante la mediazione non possono essere utilizzate in un procedimento successivo senza ulteriori formalità [3]. La protezione dei dati e la riservatezza si intrecciano qui, ma non significano la stessa cosa.
Da ciò derivano chiare indicazioni per l'accesso, la divulgazione e la conservazione. Quindi non basta parlare di riservatezza. Anche la protezione dei dati del caso deve essere regolata in modo chiaro.
Misure di protezione tecniche e organizzative per i dati digitali del caso
Affinché la riservatezza non rimanga solo sulla carta, sono necessarie misure di protezione tecniche e organizzative.
I documenti del caso dovrebbero essere accessibili solo al mediatore responsabile e alle parti direttamente coinvolte [2]. Nella pratica, ciò avviene principalmente attraverso diritti di accesso basati sui ruoli: ogni ruolo vede solo i dati necessari per il rispettivo caso. A questo si aggiunge il principio di separazione. I dati del caso devono essere memorizzati separatamente dai dati generali del marketplace, in modo che i dipendenti non coinvolti nel caso non possano accedervi [2].
Per contenuti particolarmente sensibili, è utile la crittografia end-to-end, ad esempio con S/MIME o PGP [2].
Anche dal punto di vista organizzativo sono necessarie regole chiare. Queste includono soprattutto:
- un registro delle attività ai sensi dell'art. 30 GDPR
- scadenze di cancellazione fisse
- rispetto dei termini di conservazione legali, ad esempio 10 anni ai sensi del § 147 AO nel diritto tributario o 6 anni per i mediatori legali ai sensi del § 50 BRAO [1][2]
Così la riservatezza diventa più di una semplice promessa nel contratto. Viene anche garantita praticamente nella gestione quotidiana dei dati dei casi digitali.
Trattamento dei dati conforme alla legge su Gunfinder: dall'ingresso della controversia alla chiusura del caso
Mediazione conforme al GDPR: fasi dei dati & basi legali in sintesi
Raccolta dei dati e basi legali in ogni fase della mediazione
Dopo le misure di protezione, ora si tratta del processo pratico di gestione dei casi su Gunfinder.
È importante: Non ogni fase elabora gli stessi dati. E proprio per questo ogni passo ha bisogno della propria base legale.
| Fase di mediazione | Dati elaborati | Base legale (Art. 6 GDPR) | Misure di protezione raccomandate |
|---|---|---|---|
| Ingresso della controversia | Nome, dati di contatto, Gunfinder-ID, Transaktions-ID | Art. 6 par. 1 lett. b GDPR (precontrattuale) | Moduli di ingresso crittografati; accesso solo per il team di ingresso; cancellazione dopo breve periodo, se non segue un procedimento [2] |
| Verifica dell'identità | copia del documento d'identità oscurata, prova di proprietà | Art. 6 par. 1 lett. c GDPR | Cancellazione della copia del documento d'identità dopo verifica; accesso solo per persone autorizzate |
| Esame delle prove | Conversazioni chat, foto degli articoli, ricevute di pagamento, perizie | Art. 6 par. 1 lett. b GDPR | Oscuramento dei dati personali non rilevanti; cartella digitale del caso protetta |
| Sessioni | Dichiarazioni, registrazioni video/audio, note del mediatore | Art. 6 par. 1 lett. b GDPR; per le registrazioni, inoltre Art. 6 par. 1 lett. a GDPR | Consenso prima delle registrazioni; archiviazione separata delle note del mediatore |
| Accordo e conclusione | Testo dell'accordo, dati bancari per rimborsi, firme | Art. 6 par. 1 lett. b GDPR | Firme digitali; accesso limitato all'accordo finale |
| Conservazione/archiviazione | Fatture, accordi di conclusione, comunicazioni fiscali | Art. 6 par. 1 lett. c GDPR | Conservazione di 10 anni per documenti fiscali [1][2]; scadenze di cancellazione automatizzate |
La logica dietro è piuttosto chiara: all'ingresso della controversia, di solito sono sufficienti i dati di base per l'assegnazione del caso. Più tardi, durante la verifica dell'identità o l'esame delle prove, diventa molto più sensibile. Al più tardi durante le sessioni, le registrazioni e i documenti di conclusione, dovresti quindi separare esattamente chi può vedere cosa e per quanto tempo sono necessari i dati.
Diritti degli interessati e riservatezza della mediazione
I diritti degli interessati si applicano anche nel procedimento di mediazione. Quindi non rimangono semplicemente fermi solo perché è in corso una controversia.
Tuttavia, ci sono dei limiti. Se una richiesta di informazione o cancellazione metterebbe a rischio la riservatezza della mediazione o la protezione del procedimento, questi diritti possono essere limitati caso per caso. L'art. 29 BDSG può ulteriormente limitare il diritto all'informazione. Le note del mediatore dovrebbero quindi essere conservate separatamente nell'area documentale; di solito non sono soggette a obbligo di informazione.
Proprio qui si dimostra quanto sia importante una struttura documentale chiara. Se tutto finisce in un'unica cartella, diventa rapidamente confuso in caso di richieste di informazione o domande di cancellazione.
Casi transfrontalieri e tempi di conservazione
Dopo la conclusione e l'archiviazione, spesso ci sono ancora alcuni punti delicati, soprattutto nei casi con riferimento all'estero.
All'interno dell'UE e dello Spazio Economico Europeo, il GDPR si applica direttamente. Per la Svizzera si applica la decisione di adeguatezza. Per altri paesi terzi, hai bisogno di clausole contrattuali standard ai sensi dell'art. 46 GDPR [1][2].
Per quanto riguarda i termini, la situazione è anche più chiara di quanto sembri a prima vista: la MediationsG stessa non menziona termini fissi. Per i documenti rilevanti ai fini fiscali si applicano 10 anni, per i mediatori legali ulteriori 6 anni [1][2]. Un calendario di cancellazione automatizzato è quasi obbligatorio. Aiuta a documentare i termini in modo chiaro e a avviare le cancellazioni in tempo.
I maggiori rischi spesso non si trovano all'inizio di un caso, ma più tardi nella vita quotidiana:
- diritti di accesso troppo ampi
- cancellazione tardiva
- documentazione incompleta
È proprio qui che si decide se il trattamento dei dati su Gunfinder avviene in modo pulito nella vita quotidiana o se un piccolo errore diventa in seguito un serio problema di protezione dei dati.
Gestione del rischio e conclusione: mantenere il procedimento di mediazione conforme alla legge e affidabile
Quando i passaggi del processo sono definiti, nella vita quotidiana si vede rapidamente su cosa si deve puntare: la gestione del rischio fa la differenza nella qualità.
Tipici rischi di compliance nei documenti di mediazione e nella comunicazione
Secondo la logica del processo del paragrafo precedente, ora arriva il lato delicato della pratica. In altre parole: Dove spesso si sbaglia nella vita quotidiana?
| Scenario di rischio | Possibile impatto | Contromisura |
|---|---|---|
| Trasmissione non crittografata | I dati sensibili possono essere intercettati | Trasmissione e archiviazione crittografate |
| Conservazione dei dati troppo lunga | Violazione del limite di conservazione | Concetto di cancellazione documentato con termini fissi |
| Diritti di accesso interni troppo ampi | Violazione della riservatezza ai sensi dell'art. 4 MediationsG | Controlli di accesso basati sui ruoli; separazione fisica e digitale dei dati |
| Utilizzo di servizi di intelligenza artificiale cloud pubblici | I dati riservati dei casi non devono fluire in strumenti di intelligenza artificiale pubblici | Sistemi di intelligenza artificiale operati localmente o protetti; consenso esplicito delle parti [6] |
| Violazione dei dati (ad es. dispositivo smarrito) | Obbligo di segnalazione; multe ai sensi dell'art. 83 GDPR; danno reputazionale | Crittografia completa del disco; cancellazione remota (Remote Wipe); workflow di segnalazione di 72 ore [2] |
| Divulgazione dei contenuti di mediazione in tribunale | Il contenuto della mediazione viene utilizzato come prova | Limitazione contrattuale dell'utilizzo nell'accordo di mediazione [4] |
Un punto viene spesso trascurato: § 4 MediationsG vincola il mediatore e le persone di supporto. Per le parti stesse, però, questo non è automaticamente sufficiente. È necessaria una clausola di riservatezza specifica.
Documentazione, formazione e Privacy by Design
Da questi rischi derivano tre leve: Documentazione, formazione e limitazione tecnica.
Il registro delle attività di trattamento ai sensi dell'art. 30 GDPR registra lo scopo, la fase e il termine di cancellazione. In questo modo, non tutto rimane nella mente o in singole e-mail, ma è documentato in modo chiaro. Questo è particolarmente importante nei procedimenti di mediazione, poiché altrimenti i flussi di dati possono rapidamente autonomizzarsi.
A questo si aggiungono formazioni regolari per i dipendenti e i mediatori. Questo può sembrare inizialmente noioso, ma nella vita quotidiana è spesso il punto in cui si evitano errori. Infatti, molti problemi non sorgono per cattiva intenzione, ma per routine, pressione temporale o un clic avventato.
Per gli strumenti di intelligenza artificiale vale una linea chiara: funzionano solo localmente o in sistemi protetti. I dati riservati dei casi non appartengono a servizi pubblici. E se si verifica un incidente di protezione dei dati, la segnalazione avviene entro 72 ore.
Messaggi chiave
Una mediazione conforme alla legge richiede responsabilità chiare, il minor numero possibile di dati e termini di cancellazione chiari. Per Gunfinder come piattaforma, ciò significa: fondamenti giuridici chiari per ogni fase di trattamento, diritti di accesso rigorosamente limitati e un concetto di cancellazione documentato.
FAQ
Quando ho bisogno di un consenso per i dati di mediazione?
Hai bisogno di un consenso quando il trattamento dei dati personali nella mediazione non si basa già su un'altra base giuridica.
Questo è particolarmente vero per i dati sensibili, ad esempio per informazioni sulla salute o sulle opinioni politiche. Anche quando desideri utilizzare i dati per scopi che non sono stati menzionati nelle informazioni sulla protezione dei dati originali, è necessario un consenso.
Chi è responsabile dal punto di vista della protezione dei dati nella mediazione?
È responsabile dal punto di vista della protezione dei dati ai sensi del GDPR la persona o l'ente che decide sulle finalità e sui mezzi del trattamento dei dati. Nella mediazione, questi sono i mediatori.
Questo significa in pratica: sei responsabile della gestione dei dati. Devi rispettare i principi della protezione dei dati, informare sulla loro elaborazione, tutelare i diritti delle persone interessate e attuare misure tecniche e organizzative adeguate per proteggere i dati.
Quali dati di mediazione devo conservare e per quanto tempo?
I dati personali possono essere conservati solo finché esiste una base giuridica o i dati sono ancora necessari per lo scopo specifico. Non esiste un termine standard fisso.
Per avvocati e avvocate, per i fascicoli secondo il § 50 comma 2 BRAO, è previsto un termine di conservazione di cinque anni. Termini più lunghi possono derivare, ad esempio, dal § 147 AO, da controversie legali pendenti o dal § 3 comma 3 della legge sulla mediazione.
Non appena lo scopo viene meno, i dati devono essere cancellati.
Asta
