Dal 25 maggio 2018 per le imprese, enti e cittadini è stato applicato il general data protection regulation - GDPR (o RGPD in italiano, regolamento generale sulla protezione dei dati). La tua informativa è adeguata?
Trattamento dei dati: cosa cambia nell’informativa sulla privacy
Il regolamento intende restituire ai cittadini il controllo dei dati personali e semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti UE.
L’informativa sulla privacy dovrà essere concisa, trasparente, comprensibile e utilizzare un linguaggio chiaro.
È proposto l’utilizzo di icone per rendere il messaggio leggibile anche a chi non conosce la lingua. Gli interessati devono sapere se i loro dati sono trasmessi al di fuori dell’UE, con quali garanzie, e che possono esercitare molteplici diritti.
I 12 elementi di un’informativa adeguata
L’informativa sulla privacy è adeguata al nuovo regolamento se:
- esplicita l’identità e i dati di contatto del titolare del trattamento
- indica i dati di contatto del DPO, il DPO – Data Protection Officer – è una nuova figura introdotta dal GDPR, obbligatoria in enti pubblici e imprese, che avrà mansioni di consulenza e supervisione e sarà un interlocutore privilegiato per gli interessati e le autorità di controllo
- rende note la finalità del trattamento e la base giuridica
- specifica di chi sia il legittimo interesse perseguito dal trattamento (del titolare o di terzi) e da chi sia perseguito (dal titolare o da terzi)
- contiene eventuali destinatari o categorie di destinatari dei dati personali. Se indica, cioè, a chi vadano i dati
- esplicita un eventuale trasferimento dei dati personali a Paesi Terzi e, in caso affermativo, con quali strumenti; ad esempio, se si tratta di un paese adeguato secondo la commissione europea
- rivela per quanto tempo i dati verranno conservati e i criteri per indicare quel periodo
- indica i diritti fondamentali dell’interessato: quello di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi (il diritto all’oblio, cioè essere completamente “dimenticato” da chi ha raccolto i dati), la limitazione del trattamento, l’opposizione allo stesso e il diritto alla portabilità (l’interessato può chiedere la restituzione dei dati forniti in un formato strutturato, di uso comune e leggibile dal dispositivo automatico, e trasmetterli ad un diverso titolare)
- esplicita il diritto di revoca al consenso, in qualsiasi momento
- contiene il diritto di presentare un reclamo all’autorità di controllo
- rende noto che tipo di comunicazione dei dati personali sia: un obbligo legale, contrattuale o un requisito necessario per la conclusione di un contratto.
Se l’interessato sia obbligato a fornire i dati e quali siano le conseguenze in caso di mancata comunicazione - rivela quali processi automatizzati comporti il trattamento (compresa la profilazione) ed eventualmente le informazioni sulla logica di tali processi e le conseguenze per l’interessato.
