La preoccupazione per l’entrata in vigore del GDPR cresce e con essa il numero di domande che è naturale porsi.
Nel precedente articolo abbiamo fatto una rapida ricognizione su questi temi:
- scopi del GDPR
- dati personali
- trattamento dati personali
Ed abbiamo concluso con tre semplici consigli per impostare una strategia d’azione.
Ma qual è il criterio fondamentale a cui bisogna attenersi per essere sicuri di trattare un dato personale in nostro possesso in modo legittimo?
I criteri fondamentali per il trattamento dei dati personali
I dati personali devono essere trattati per finalità determinate ed esplicite.
Per semplificare al massimo: il trattamento di un dato personale è lecito, se si è ottenuta esplicita autorizzazione dal diretto interessato al trattamento del dato per un determinato scopo.
Solo così si risponde ai fondamentali criteri di liceità, correttezza e trasparenza previsti nel GDPR.
Cosa occorre per legittimare il trattamento dei dati
Il trattamento dei dati è legittimo principalmente in presenza di una di queste condizioni:
- Consenso (per una o più finalità)
- Contratto (necessità di esecuzione dello stesso)
- Obbligo di legge (secondo la legislazione nazionale)
Soffermiamoci un attimo sul consenso.
Il consenso è una manifestazione di volontà esplicita, e come tale può in qualunque momento essere revocato.
Il consenso inoltre NON può essere espresso con silenzio o con l’inattività (le caselle precompilate positivamente nei web form non esprimono un consenso).
Il consenso conforme al GDPR raccolto in modo valido precedentemente alla sua entrata in vigore resterà valido anche successivamente. Il consenso non esplicito e in qualunque modo non conforme, dovrà essere nuovamente chiesto all’interessato.
Considerato ciò, di quale strumento ci si può munire per affrontare tutte le suddette questioni?
Il registro dei trattamenti
Per affrontare la gestione di queste informazioni è consigliabile tenere un registro dei trattamenti.
L’obbligo di predisporre il registro è previsto dal GDPR solo per le aziende con più di 250 dipendenti. Tuttavia la predisposizione di questo documento è di grande aiuto per questi motivi:
- Tiene traccia delle operazioni di trattamento
- È uno strumento operativo di lavoro (quindi deve essere periodicamente rivisto ed aggiornato)
- È un documento probatorio e dunque comprova la cosiddetta accountability, ossia la conformità alla normativa
Ed è per questo che, sebbene non obbligatorio, il registro delle attività di trattamento è consigliabile anche per le aziende con meno di 250 dipendenti. Effettivamente anche il nostro Garante per la tutela dei dati personali raccomanda la predisposizione di questo documento.
Cosa deve contenere il registro dei trattamenti?
- Dati del titolare e di eventuali figure responsabili
- Finalità del trattamento
- Descrizione delle categorie di interessati e di dati raccolti
- Destinatari
- Eventuali trasferimenti di dati in paesi terzi
- Termini di cancellazione
- Misure di sicurezza tecniche ed organizzative
I registri possono essere in formato elettronico e devono essere a disposizione per eventuali controlli, dunque non devono essere trasmessi a nessuna autorità.
È importante notare che non esiste una regola generale per la redazione di un registro trattamento dati valido per tutti: ogni realtà organizzativa dovrà elaborare il formato adatto a gestire le sue particolari esigenze.
Sanzioni
Il nuovo regolamento potrà causare sanzioni molto pesanti per le aziende che non lo rispetteranno. Le sanzioni amministrative che possono colpire titolari e responsabili per importi fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo. Dunque occorre prestare massima attenzione.
Per un trattamento esauriente dell’argomento consigliamo nuovamente la visione dei webinar realizzati dalla nostra azienda capogruppo SMC tenuti da esperti in materia legale.
