Diritto e Fisco | Editoriale

Informativa sulla privacy dopo il Gdpr: cosa deve contenere?

27 Mag 2018


Informativa sulla privacy dopo il Gdpr: cosa deve contenere?

> Diritto e Fisco Pubblicato il 27 Mag 2018



Come adeguarsi alla nuova legge sulla privacy e come aggiornare la modulistica da far firmare agli utenti.

Il 14 maggio 2016 è stato pubblicato, sulla Gazzetta Ufficiale dell’Unione Europea, il famoso GDPR, ossia il General Data Protection Regulation, meglio conosciuto come il regolamento sulla privacy (Regolamento UE n. 2016/679). In materia di trattamento dei dati personali, la nuova normativa ricalca il vecchio codice della privacy, salvo prevedere obblighi più stringenti e informative più chiare. Proprio per mettersi in regola con il mutato quadro normativo, le aziende hanno provveduto ad aggiornare l’informativa sulla privacy, quel lungo modulo che viene puntualmente fatto firmare alla clientela la momento della firma di un contratto e che sintetizza le misure adottate dall’azienda o dal professionista nella conservazione e utilizzazione dei dati altrui. Se hai deciso di costituire una nuova attività o ne hai già una e vuoi solo metterti in regola con la nuova legge, ecco cosa deve contenere l’informativa sulla privacy dopo il Gdpr.

Cosa deve contenere l’informativa sulla privacy?

C’è un contenuto minimo che ogni informativa sulla privacy deve necessariamente contenere. L’elenco, che troverai qui di seguito e che dovrai rispettare “alla lettera” se non vuoi incorrere nelle sanzioni amministrative, potrà sembrarti eccessivamente generico, ma non può essere diversamente visto che la legge non poteva diversificare le multiformi ipotesi imprenditoriali che esistono. Non per questo, però, tu puoi essere altrettanto generico. Difatti le informative devono essere date con linguaggio chiaro, facilmente comprensibile da tutti e devono fornire un’informazione leale e completa.

Per cui, se hai deciso di scrivere la nuova informativa sulla privacy da far firmare ai tuoi clienti, ecco gli elementi che non puoi assolutamente dimenticare di inserire:

  • l’identità e i dati di contatto del titolare del trattamento: si tratta della ragione sociale della tua azienda (se persona giuridica) o dell’imprenditore (se persona fisica o ditta individuale);
  • i dati di contatto del Dpo (Data protection officer), se nominato;
  • i dati di contatto del responsabile della protezione dati, ove applicabile;
  • la finalità del trattamento: devi spiegare perché ti servono i dati dei tuoi clienti e per quali ragioni hai la necessità di conservarli;
  • la base giuridica su cui si fonda il trattamento e l’interesse legittimo nel caso in cui questo costituisca la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’eventuale trasferimento dei dati personali in Paesi terzi e, in caso affermativo attraverso quali strumenti.

Quando possono essere trattati i dati altrui?

Per poter trattare i dati altrui, è necessario che l’utente abbia dato il proprio consenso. Il consenso non si può più presumere come un tempo. Per cui non puoi inviare informazioni commerciali solo perché il destinatario non ha mai espresso il diniego al trattamento dei propri dati. In più l’utente deve essere messo dinanzi alla possibilità di scegliere se fornire o meno il proprio consenso, senza possibilità di prevedere solo la prima ipotesi.

In alternativa il trattamento è consentito solo se necessario all’esecuzione di un contratto che l’interessato ha accettato e firmato o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Il trattamento può essere ammesso anche:

  • per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento;
  • perché necessario per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
  • perché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
  • ecc.

Cos’è il principio di accountability?

  • Il titolare, in base al principio di accountability, deve dimostrare in qualunque momento di rispettare il Gdpr e in particolare di aver applicato i principi fondamentali relativi al trattamento, tra i quali, oltre quello di liceità e correttezza, anche e soprattutto il principio di trasparenza.

Chi deve nominare il Dpo?

La nomina del Dpo (il Data protection officer) non è obbligatoria nella generalità dei casi. Diventa invece necessaria nelle seguenti ipotesi:

  • il trattamento dei dati è effettuato da un’autorità e/o un ente pubblico;
  • le attività core del titolare o del responsabile del trattamento si identificano in trattamenti che richiedono un monitoraggio continuo e sistematico, su larga scala, di interessati;
  • le attività core del titolare o del responsabile del trattamento si identificano in trattamenti su larga scala di categorie speciali di dati o di dati relativi alle condanne penali e ai reati o connesse misure di sicurezza.

Quali sono i dati personali?

Per dato personale s’intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Quali sono i dati sensibili?

Sono dati sensibili quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Rientrano tra queste categorie:

  • i dati relativi alla salute: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  • i dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  • i dati biometrici: dati personali ottenuti da un trattamento tecnico specifico, relativi al- le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

1 Commento

  1. Gentile,
    ho pubblicato due miei siti personali: in uno, a parte una breve nota biografica, ho segnalato i link ai profili social e un indirizzo di posta elettronica per potermi contattare; nell’altro, che è una pagina di cortesia, con un riferimento ai contenuti che pubblicherò eventualmente in futuro, soltanto l’indirizzo di posta elettronica. Devo inserire anche l’informativa sulla privacy? A giudicare dalla maggior parte dei siti personali di personaggi famosi, compresi molti politici, parrebbe di no. Condizionale d’obbligo, perché alcuni l’hanno inclusa. Nel caso fosse obbligatoria, dove posso trovare un testo essenziale da copiare? Grazie.

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI