Cosa deve contenere un’informativa?
Ci troviamo davanti a informative GDPR con una frequenza media di 3-4 volte al giorno.
Se sei in modalità navigazione anche molto di più. Quell’infinita pappardella di “cose scritte” ha l’obbligo di informare l’utente prima che il sito cominci a raccogliere i suoi dati personali. Questa informativa può essere resa verbalmente o per iscritto, ma deve trovarsi sempre nel rispetto delle normative GDPR.
Come le varie aziende si approcciano a questa informativa dice parecchio di loro, della loro capacità di rapportarsi al Regolamento europeo e alla loro capacità e al desiderio di investire tempo e risorse a riguardo. Essendo una cosa relativamente recente, in Italia il GDPR non è ancora stati applicato da tutti i siti web che avrebbero dovuto. Così ci troviamo con spazi che ne sono completamente sprovvisti. Ci sono poi altri webmaster che si sono fatti prendere dal panico e, pur di avere una normativa sui dati, hanno deciso di buttare lì tre o quattro parole scopiazzate da qualche parte e creare una mini finestra di approvazione per l’utente. Due o tre righe perché “tanto il sito è piccolo, non lo visita nessuno, non serve che ci passo le ore e spendo soldi dall’avvocato”. E poi ci sono gli eroi senza mantello, quelli che copiano le normative dalle grandi aziende e li spacciano per loro.
Tutti e tre questi approcci sono naturalmente sbagliati a modo loro. Che cosa deve contenere l’informativa sul trattamento dei dati personali?
Cosa contiene un’informativa per GDPR
Gli articoli 13 e 14 del Regolamento Europeo 16/679 forniscono con massima precisione tutti i contenuti da includere in via obbligatoria all’interno della propria informativa sui dati personali. Tra queste informazioni ricordiamo:
- Il soggetto interessato. La persona fisica in possesso dei dati personali che sta per fare click sul vostro sito e si ritrova davanti il vostro GDPR.
- Chi effettua il trattamento. Il soggetto che tratta i dati della persona fisica, il titolare del trattamento o il suo rappresentante in essere.
- Recapito del DPO. Il DPO (Data Protection Officer) è un responsabile della protezione dei dati personali, nuova figura introdotta dal GDPR. Si tratta di un consulente tecnico e legale con il compito di formare il titolare, il responsabile e gli addetti al fine di assicurare che si attengano alle regole della normativa. Il DPO non è obbligatorio per tutti, ma solo per coloro che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala. Per esempio, banche, assicurazioni, caf, ospedali…
- Quali sono i trattamenti effettuati e perché.
- Qual è la base giuridica del trattamento. Vuoi trattare i dati del soggetto interessato. Su quale base giuridica puoi farlo? Secondo il GDPR, ogni organizzazione deve identificare le basi su cui si fonda la raccolta dei dati – un passaggio fondamentale per il soggetto interessato. I diritti delle persone dipendono infatti dalla base normativa scelta per trattare i loro dati!
- Quali sono i dati raccolti? Con “dati personali” si intendono tutte quelle informazioni che riconducono a un singolo individuo per via delle sue relazioni, caratteristiche, abitudini o stile di vita. Di essi fanno parte le informazioni identificative (nome, cognome, indirizzo), i dati sensibili (orientamento religioso o sessuale), le informazioni giudiziarie (provvedimenti in corso o trascorsi), dati delle nuove tecnologie (email o indirizzo IP). Un buon GDPR indica sempre quali dati tra questi vengono raccolti!
- Il trattamento comporta la profilazione? Devi specificarlo. La profilazione è una procedura automatizzata di raccolta di dati che permette di analizzarli e inserirli in categorie o gruppi, così da poterne fare valutazioni o previsioni.
- I dati vengono comunicati a soggetti esterni? L’informativa deve indicare se ci sono responsabili esterni, diversi dal titolare del trattamento.
- Per quanto tempo vengono conservati i dati e in che modo. Vengono salvati in cloud? Su un foglio Excel? Per quanto tempo vengono conservati?
- I dati vengono trasferiti in un altro Paese? L’informativa deve comunicare se i dati personali vengono trasmessi a Paesi al di fuori dell’Unione Europea.
- Quali sono i diritti dell’interessato?
Il GDPR stabilisce che il soggetto interessato ha dei diritti:
- il diritto a essere informati su come e perché vengono trattati i suoi dati
- il diritto di accedere ai propri dati
- il diritto di poter correggere i propri dati
- il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
- il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
- il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
- il diritto a non essere oggetto di scelte automatizzate, come la profilazione
Potresti essere interessato anche a:
Corse di test in Svizzera per una locomotiva guidata da remoto
Senza interruzione dell’esercizio e in collaborazione con Alstom, le FFS hanno sperimentato un treno robot in avaria verso un’area di sicurezza
Spedizione alle Galápagos per proteggere le acque internazionali
La nave Arctic Sunrise di Greenpeace in missione scientifica nel noto Arcipelago dell'Ecuador per chiedere di estendere l’area marina protetta
Dialoghi sull’innovazione: Andreas Voigt e Diego De Maio
Articolata e sincera conversazione sul futuro dell’uomo, del pianeta e delle tecnologia fra il CEO di ART AG e l’editore di Innovando.News
Un innovativo aiuto finanziario per le giovani leve del motorsport
Da Talents’ Dream due metodi di raccolta fondi: un equity crowdfunding con Opstart e un sistema reward per investitori non professionisti
//