Codice Privacy. Iniziano i controlli

di 10/06/2019 Giugno 29th, 2019 Altro, Legale

Lo scorso 25 maggio 2019 ha compiuto un anno di vita il nuovo Regolamento, GDPR 679/2016, codice sulla Privacy.

Il 20 maggio, inoltre, è terminato il periodo di moratoria relativamente all’applicazione delle sanzioni per i soggetti che non hanno provveduto a conformarsi con la nuova disciplina.

Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;

  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;

  • minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;

  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;

  • limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;

  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Consenso

Il Trattamento dei dati deve basarsi sul consenso dell’interessato ed il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso che è valido se:

  • all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);

  • è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse.

  • Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

Per approfondimenti: Linee-guida del WP29 sul consenso

Si segnalano anche le linee-guida in materia di profilazione e decisioni automatizzate.

QUALI SONO I DOCUMENTI CHE POTREBBERO RICHIEDERE GLI ORGANI DI CONTROLLO:

Uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei Titolari nei confronti dei trattamenti che effettuano con i dati di cui sono in possesso, è rappresentato dalla valutazione e gestione dell’impatto della protezione dei dati e l’individuazione e gestione del rischio.

I Titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza.

Per fare questo ci sono due strumenti da poter utilizzare (a seconda della tipologia di trattamento effettuato), in alcuni casi obbligatori.

  • DPIA (Documento di valutazione del rischio a cui sono soggetti i dati)

  • Registro delle azioni effettuate per la protezione dei dati

Il Registro delle azioni effettuate per la protezione dei dati può essere realizzato in vari modi, autonomamente o con l’ausilio di software appositi che supportino il Titolare o colui che è identificato come Responsabile nella gestione delle azioni intraprese.

QUALI SONO I DOCUMENTI CHE OGNI ASSOCIAZIONE O ORGANISMO CHE LAVORA CON I DATI PERSONALI DEVE AGGIORNARE IN SEGUITO ALL’ENTRATA IN VIGORE DEL GDPR:

  • Privacy policy

  • Informativa sulla privacy

Entrambi questi documenti (privacy policy e informativa) devono essere personalizzati in base alla reale gestione che l’Associazione fa dei dati che tratta e deve essere realistica in merito ai metodi di gestione interna.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.