Nonostante sia vigore dallo scorso maggio, non tutti sono ancora in regola. Eppure il regolamento generale sulla protezione dei dati (General Data Protection Regulation), interessa tutti. Dalla piccola azienda, alla multinazionale, fino al libero professionista.
La fonte normativa è il regolamento (UE) n. 2016/679, testo, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016: entrato in vigore il 25 maggio dello stesso anno, operativo a partire dal 25 maggio 2018.
Per verificare se la vostra organizzazione è in linea con gli obblighi di legge, abbiamo stilato alcuni punti su cui prestare attenzione.
– Chi è il titolare del trattamento?
– Come e dove contattare per eventuali segnalazioni. È possibile, per esempio, creare una mail.
– Nominato il data Protection Officer (DPO)?
– Come vengono usati i dati che vengono chiesti? Invio newaletter, contatti sms o telefonici. Ho intenzione di cedere a terzi queste informazioni?
– Indicare chiaramente il motivo della richiesta dati: invio preventivo, operazioni di marketing, obbligo di legge, ecc.
– Sono utilizzati fornitori cui trasmetto i dati che tratto? Questi fornitori dove hanno sede? Fuori dall’UE?
– Indicare i tempi di conservazione dei dati.
– All’interessato sono stati comunicati i suoi diritti?
– Segnalata la possibilità di adire il Garante, se pensa che l’organizzazione abbia leso i suoi diritti?
– Se sono stati ottenuti dati da terzi, l’interessato è informato della provenienza di quei dati? Il tipico caso è l’invio di mail usando data base a cui si è avuto accesso.
- C’è un rappresentante dell’aziendain Italia? Chi è? Dove si può contattare?
- C’è un DPO, un responsabile della protezione dei dati? Qual è il suo contatto?
- Come uso i dati che sto chiedendo?
Per inviare una newsletter? Per inviare pubblicità? Con che cadenza la invierò? Cederò questi dati a terzi? Vi voglio contattare via mail, sms, telefono o tutte queste opzioni insieme.
- Qual è la base giuridica in base alla quale chiedo questi dati?
Il consenso? O forse sto chiedendo dei dati per mandare un preventivo? O forse perché devo rispettare un obbligo imposto dalla legge? Oppure ho un legittimo interesse? In questo caso devo comunicare qual è il fondamento della mia richiesta. - Mi avvalgo difornitori cui trasmetto i datiche tratto? Posso identificarli? Sono affidabili? Trattano in maniera sicura i dati che trasmetto loro? Cosa è previsto nel loro contratto di fornitura?
- Questi fornitori dove hanno sede?Fuori dall’UE?
La novità è che devo verificare in questo caso che lo Stato dove hanno sede questi fornitori di servizi (molto spesso parliamo di software) abbia un accordo con la Commissione Europea che garantisca una protezione di pari livello. Se non ce l’hanno, la garanzia deve essere prevista nelle condizioni contrattuali.
Posso ottenere facilmente i dati che ho trasferito al fornitore? - Per quanto tempo conserverò questi dati?Lo posso prevedere in anticipo? Se non lo posso prevedere, quali sono i criteri che adopero per stabilirlo?
- Ho informato l’ “interessato” di tutti i suoi diritti?Gli ho detto che può cancellarsi dalla newsletter? Che può chiedermi quali dati ho su di lui? Che può scaricare i dati che ho su di lui (se possibile tecnicamente)?
- Ho informato l’ “interessato” che può revocare il consensoche mi ha dato senza che questo abbia effetto su quanto effettuato fino a quel momento?
- Ho indicato che può adire il Garante, mettendo almeno un link al suo sito, se pensa che io abbia leso i suoi diritti?
- Ho informato l’ “interessato” che in base ai dati che mi ha fornito verranno prese delle decisioni automatiche nei suoi confronti? Gli ho detto qual è la logica sottesa e le conseguenze?
Gli ho detto che può chiedere che la decisione può essere rivista da un intervento umano, e che può contestare la decisione ed esprimere la propria opinione? - Se voglio usare i dati in mio possesso per uno scopo ulteriore, non previsto quando li ho ottenuti, ho informato l’ “interessato” di questo nuovo scopo? Gli ho ricordato che può opporsi?
- Se ho ottenuto dati da terzi, ho informato l’interessato della provenienza di quei dati?
Ad esempio devo comunicare che la mail che sto inviando proviene dal database di email marketing cui ho accesso (sperando che la persona in questione abbia dato il consenso alla cessione dei dati a terzi per finalità di marketing).