Immagine con persona che scrive al computer con bandiera unione europea nello schermo

GDPR E INFORMATIVA PRIVACY, COSA SCRIVERE

Per poter comprendere a pieno la tematica relativa all’informativa privacy abbiamo predisposto una panoramica completa su tutti i suoi elementi essenziali nel rispetto della normativa europea sulla protezione dati personali.

Il presente articolo analizzerà l’informativa privacy nello specifico, il suo inquadramento all’interno del regolamento europeo 679/2016 con particolare focus sugli elementi che deve necessariamente contenere. Saranno poi indicate le motivazioni per le quali è necessario redigere un’informativa privacy e i benefici per i titolari e gli interessati al trattamento dati.

 

E nello specifico:

    1. Informativa privacy, cosa è
    2. Informativa privacy, cosa scrivere per essere compliant
    3. Informativa privacy, perché redigerla
    4. Data breach, misure di protezione

     

    INTRODUZIONE

    In ottica GDPR, dal momento della sua implementazione, si continua a parlare della tematica relativa all’informativa privacy, ma c’è ancora molta confusione sull’argomento e, soprattutto, poche informazioni pratiche per redigerla al meglio.

    In questo articolo vedremo infatti cosa prevede il “nuovo” regolamento europeo sulla privacy e come creare una privacy policy in piena GDPR compliance

1. L’INFORMATIVA PRIVACY: COSA È

L’Informativa privacy, ai sensi dell’articolo 13 del GDPR 2016/679, è il documento necessario per la richiesta di consenso al trattamento dei dati personali dove sono indicati i dati che deve contenere e gli standard che deve rispettare.

Il GDPR infatti, ci indica non solo gli elementi essenziali, ma anche quali sono i pilastri che permettono la tutela dei dati personali nei confronti degli interessati, e questi nello specifico sono:

  • liceità;
  • correttezza e trasparenza nella gestione dei dati dell’interessato.

L’informativa privacy è lo strumento che ne offre la rappresentazione tangibile.

Il documento che viene prodotto e inviato ai soggetti interessati, è lo strumento che il titolare del trattamento dei dati personali utilizza per rispettare l’obbligo di informare l’interessato su finalità e modalità del trattamento.

A stabilirlo, come già anticipato, è l’articolo 13 del regolamento europeo 2016/679 che mette in luce anche gli elementi che devono essere comunicati al cliente\utente.

Attraverso l’informativa gli interessati vengono a conoscenza di tutti gli elementi necessari per poter esercitare i propri diritti sulle informazioni possedute dal titolare.

2. INFORMATIVA PRIVACY, COSA SCRIVERE PER ESSERE COMPLIANT

La domanda che ci si pone spesso di fronte al tema della privacy policy è come scrivere un’informativa privacy corretta e compliant al GDPR.

In questo articolo andremo ora a esplicare i riferimenti normativi e i contenuti da inserire in ottica compliance per quanto previsto dal GDPR.

Secondo le disposizioni del regolamento UE sulla privacy entrato in vigore il 25 maggio 2018 l’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile.

Un linguaggio chiaro e semplice, dunque, è un requisito fondamentale.

L’informativa privacy è consegnata, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi altri mezzi.

Gli elementi essenziali all’interno dell’informativa sul trattamento dei dati personali sono principalmente questi:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, nei casi in cui siamo nominato;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali nel caso in cui sia pertinente, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14 del GDPR e in parte sono più ampi rispetto al Codice della Privacy.

In particolare, il titolare dovrà sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento.

3. INFORMATIVA PRIVACY, PERCHÉ REDIGERLA

Secondo quanto analizzato in precedenza, l’informativa privacy è fondamentale per offrire un quadro completo agli interessati del trattamento dati sulle modalità, le finalità, i destinatari e le basi giuridiche del trattamento dei loro dati.

Per tale ragione e in aggiunta agli elementi di cui al punto 2 dell’articolo, dovrà essere indicato anche l’eventuale trasferimento dei dati personali in Paesi terzi e attraverso quali strumenti.

Infine, è obbligatorio redigere un’informativa privacy, per permettere agli interessati di comprendere in maniera chiara e trasparente in che modo essi possano esercitare i loro diritti.

I diritti più importanti da tenere in considerazione sono:

  • Diritti di accesso: gli interessati hanno il diritto di presentare richieste di accesso ai propri dati, le quali richiedono alle aziende di fornire una copia dei dati personali che li riguardano;
  • Diritto di rettifica: se le informazioni detenute dall’organizzazione non sono accurate o sono incomplete, gli interessati possono richiederne l’aggiornamento;
  • Diritto alla cancellazione (o all’oblio): in alcune circostanze, le persone possono richiedere che l’organizzazione elimini i propri dati personali;
  • Diritto di limitazione del trattamento: in alternativa alla cancellazione dei dati, ci sono momenti in cui gli interessati preferirebbero limitarne il trattamento. (vedi tu se aggiungere anche gli altri)

La comunicazione dell’informativa sul trattamento dei dati personali (ex. art. 13 del codice della privacy) dovrà essere fornita, nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), entro un massimo di un mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.

Chi non dovesse provvedere a rendere note tali informazioni all’utente commette un illecito amministrativo punibile con sanzioni di rilevante entità.

4. DATA BREACH, MISURE DI PROTEZIONE

Come specificato nell’introduzione al Data Breach, il GDPR ha introdotto il concetto di prevenzione richiedendo alle aziende di identificare e mettere in atto le misure, tecniche ed organizzative più idonee per prevenire le violazioni dei dati trattati e mitigarne al massimo il rischio.

Per affrontare al meglio un Data Breach è opportuno predisporre dunque ruoli e procedure all’interno dell’organizzazione aziendale.

Il regolamento non fornisce nessuna prescrizione specifica circa le misure preventive da adottare ma ne segnala alcune in maniera tale che le aziende possano pianificare una buona strategia.

Risulta fondamentale per le imprese effettuare una classificazione dei rischi legati ad un possibile Data Breach e adottare un sistema di sicurezza adeguato che sia in grado di fornire una privacy stabile, cifratura dei dati, integrità, resistenza e la possibilità di un veloce ripristino dei sistemi.

Inoltre è utile attuare test specifici per la verifica dell’effettiva efficacia delle azioni preventive di sicurezza messe in atto.