Sei in regola con la GDPR? Come cambia la regolamentazione sulla Privacy

“Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation) è ufficialmente attivo. A partire dal 25 maggio 2018 tutte le aziende dovranno adeguarsi ai nuovi adempimenti e obblighi sulla privacy”.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea. Frutto di diversi anni di lavoro da parte della Commissione Europea, il regolamento è costituito da norme sulla protezione dei dati personali che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati.

 

Ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali

In qualità di titolare del trattamento dei dati, ogni organizzazione deve custodire un registro e monitorare le attività di elaborazione dei dati personali. In questa categoria rientrano i dati personali gestiti all’interno dell’organizzazione, ma anche da terze parti, ovvero i cosiddetti responsabili del trattamento. I responsabili del trattamento dei dati possono includere fornitori di servizi a livello di software (SaaS) fino a servizi di terzi integrati di tracciamento e profilatura dei visitatori sul sito dell’organizzazione. Sia i titolari che i responsabili del trattamento dei dati devono essere in grado di dimostrare quali dati vengono elaborati, lo scopo dell’elaborazione e a quali paesi e terze parti i dati vengono trasmessi. I dati possono essere trasferiti solamente ad altre organizzazioni conformi alla normativa GDPR, o all’interno di giurisdizioni ritenute adeguate”.

Tutti i consensi devono essere registrati come prova che il consenso è stato prestato

L’elaborazione dei dati personali non è consentita senza un consenso preventivo. Questo significa che il consenso deve essere prestato prima che avvenga qualsivoglia elaborazione, sulla base di informazioni chiare e specifiche in merito al tipo di dati e agli scopi per i quali sono stati raccolti. Per i dati personali sensibili, il consenso deve essere esplicito, il che sottolinea l’importanza del consenso durante l’elaborazione di dati personali sensibili. Per chiarezza gli strumenti da tenere in considerazione possono essere ad esempio:

  • Un CRM
  • ERP
  • Un servizio per la creazione di newsletter
  • Un portale o un software per la fatturazione

Per quanto riguarda la raccolta di dati tramite moduli, form di iscrizione, moduli cartacei o box di newsletter, una piccola realtà come un blog o un piccolo ecommerce dovrà:

  • Prevedere un consenso informato sul trattamento dei dati personali, quindi un checkbox per il consenso.
  • Prevedere un consenso informato ed esplicito se si intende raccogliere i dati a fini commerciali. (Diviso da quello sul trattamento semplice).
  • Prevedere un checkbox che identifica il consenso esplicito al trattamento di dati sensibili (se esistono) in qualsiasi area si raccolga tali dati.
  • Prevedere un meccanismo che accetti il consenso dei dati personali da parte di un genitore se l’interessato è un minore di anni 16.

In tutti questi casi non sono valide caselle pre-spuntate.

Cosa dice il Garante della Privacy

Per quanto riguarda l’informativa sulla privacy, negli articoli 13 e 14 del regolamento sono elencati i requisiti, in particolare sarà necessario:

  • Assicurarsi di scrivere in forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Si predilige una struttura “stratificata” con inserimento di eventuali icone e sezioni.
  • Uso di informative sintetiche che rimandano a quella estesa. (informativa breve accanto alle checkbox di consenso)
  • Inserire i dati del titolare del trattamento e i suoi contatti.
  • Inserire i dati di eventuale Responsabile dei dati personali (nella maggior parte delle pmi non è richiesto)
  • Informare di eventuali destinatari dei dati (chi li utilizzerà es: Reparto Marketing, oppure responsabili del trattamento esterni, come il servizio di Hosting, Google per i dati di raccolti con analytics e quant’altro)
  • Indicare la motivazione per la quale sono raccolti questi dati.
  • Qual è l’interesse del titolare su questi dati e quale uso ne farà (il marketing è un requisito valido e meritevole).
  • Periodo di conservazione dei dati.
  • Indicare se questi dati vengono trasferiti all’estero, quali strumenti di utilizza e assicurarsi che il trasferimento sia in un paese considerato adeguato dalla comunità europea. Il privacy shield, l’accordo approvato tra CE e USA, garantisce l’adeguatezza del paese al trasferimento di questi dati.

 

Altri paesi considerati adeguati sono disponibili sul sito www.garanteprivacy.it