Informativa trattamento dati personali art. 13 del GDPR UE 2016/679

L’informativa trattamento dati personali art. 13 GDPR EU 2016/679, racchiude le informazioni necessarie da comunicare a chi ti “affida” i suoi dati, come vengono trattati secondo la propria condotta aziendale.

Articolo 14 EU RGPD completa l’informativa qualora i dati personali non siano stati ottenuti presso l’interessato pertanto vanno comunicati ulteriori dettagli.

Ho sfogliato un paio di informative di aziende molto importanti, per vedere cosa evidenziassero e cosa omettessero, una cosa che spesso molti non rinunciano ad avere, è la firma del consenso, in questo caso non era richiesta, non è sempre necessario firmare l’informativa del trattamento dei dati.

Sono obbligati a fornire l’informativa tutti i titolari di trattamento (sia imprese sia enti pubblici).

Informativa trattamento dati personali non firmata

Il conferimento dei dati è facoltativo, ma la mancata comunicazione comporta l’impossibilità di dare seguito alla richiesta.

Il consenso è la libera manifestazione di volontà dell’interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, trattamento del quale è stato preventivamente informato da chi ha un potere decisionale.

Il consenso deve essere dato liberamente, il ché significa che l’interessato deve essere in grado di operare una scelta effettiva né deve subire conseguenze negative a seguito del mancato conferimento del consenso.

Il consenso è invece esplicito al trattamento di tali dati personali per una o più finalità specifiche:

  • origine razziale o etnica
  • le opinioni politiche
  • le convinzioni religiose o filosofiche
  • l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Pertanto in questo caso è richiesta la firma di consenso/autorizzazione al trattamento dei dati.

Informativa trattamento dati personali – molti la chiamano ancora “informativa privacy” 

Nonostante il Gdpr riguardi il trattamento dei dati personali dei “viventi”, le persone considerano ancora il Regolamento, come “privacy”, il regolamento riguarda tutti i dati personali, sensibili o meno che naturalmente vanno trattati nel rispetto delle privacy e della loro protezione attraverso l’utilizzo di sistemi per combattere gli attacchi alla sicurezza dei sistemi informatici e non solo online, mantenendone l’integrità.

Ai sensi  del Regolamento (UE) 2016/679, nell’informativa di cui all’art. 13 vengono descritte le modalità di trattamento dei dati personali degli utenti.

Cosa deve evidenziare l’informativa trattamento dati personali art. 13

Non è corretto chiamarla informativa della privacy, anche se alla fine i dati personali sono comunque dati “riservati” che vanno custoditi gelosamente come fossero propri.

L’informativa deve contenere:

  • il titolare del trattamento, l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • i dati del responsabile della protezione dei dati e dati per eventuale contatto
  • base giuridica del trattamento
  • tipi di dati trattati e finalità del trattamento
  • eventuali dati di navigazione acquisiti attraverso il Web
  • lo scopo del trattamento dei dati
  • la durata dei trattamento dei dati se hanno una scadenza (periodo di conservazione)
  • come vengono trattati i dati comunicati volontariamente dall’utente
  • utilizzo di cookies e altri sistemi di tracciamento se sono previsti per la profilazione degli utenti o metodi di tracciamento per azioni marketing o cookies tecnici e come possono essere gestiti o disabilitati dall’utente
  • i destinatari dei dati (i soggetti designati del titolare del trattamento quali responsabili del trattamento) o eventuali categorie di destinatari
  • i diritti degli interessati tra cui la rettifica e cancellazione degli stessi o la limitazione del trattamento o di opposizione, oltre al diritto alla portabilità
  • il diritto di proporre reclamo a un’autorità di controllo
  • intenzione del titolare di trasferire i dati a un paese terzo o a un’organizzazione internazionale

L’adeguamento al regolamento è un argomento piuttosto articolato, soprattutto va conosciuto e letto con attenzione, ogni azienda, studio, impresa pubblica, privata è un mondo a sé.

I dati ormai sono il fulcro del commercio e sono sempre più, oggetto di strategie e azioni commerciali di marketing per aiutare le aziende a vendere.

Ogni azienda ha una propria realtà, ha la sua tipologia di dati, differente da altre, può essere necessario avere un maggiore occhio di riguardo nel caso di dati sensibili, dati di minori, salute, dati biometrici, dati sensibili pertanto il GDPR non è solo la compilazione di un’informativa, ma tutta una serie di adempimenti che vanno considerati per l’adeguamento al regolamento.

Per l’adeguamento non è importante la dimensione dell’azienda, ma il tipo e il volume dei dati trattati e del grado di rischio a cui sono sottoposti.

Il ruolo del DPO nel trattamento dati aziendali

In alcuni casi è necessaria la presenza di un Data Protection Officer DPO, per la particolarità del dato “sensibile e riservato” che va maggiormente tutelato e protetto, soggetto quindi ad un maggiore grado di rischio ad essere “attaccato” da parte di crackers informatici.

La figura del Data Protection Officer e’ una figura rilevante all’interno del GDPR.

Quanto piu’ il DPO sara’ un soggetto qualificato tanto più risulterà efficace il suo ruolo diciamo di “garante” dell’applicazione della normativa.

Oltre alle funzioni di protezione e coordinamento dell’intero sistema di sicurezza, svolge funzioni di informazione, consulenza, sorveglianza ed è un punto di collegamento tra il Garante e gli interessati.

E’ in grado di dimostrare di aver implementato un modello organizzativo e di sicurezza. Gli articoli di riferimento sono gli artt. 37 – 38 -39 RGPD.

E’ necessario fare un’analisi dell’azienda per capire di cosa ha bisogno.

Certo è che GDPR non è solo PRIVACY, né la comunicazione della sola informativa aziendale, cosa che spesso le piccole e medie aziende fanno, ridurre tutto il regolamento alla sola compilazione di un modulo iniziale con una firma di restituzione a volte nemmeno obbligatoria per il proseguimento dell’attività!

Essere “approssimativi” quando le realtà aziendali sono grandi e sono esposte a molti rischi ed attacchi, non è la cosa migliore soprattutto quando dovrai pagare le sanzioni perché non vengono fatte le cose come si devono oppure saranno avanzate richieste di risarcimento per diffusioni non autorizzate o risarcimento danni alle persone.

Serve un controllo che coinvolge l’azienda a 360° (internamente e all’esterno), che non si limita solo all’aspetto burocratico e agli incartamenti, ma riguarda l’operatività, l’impostazione di sistemi di sicurezza richiesti per la protezione dei dati.

Quando leggo nei Social i dibattiti tra professionisti di settore che si chiedono se è meglio un DPO avvocato o un DPO informatico, io risponderei è meglio un DPO legale perchè deve conoscere la materia e il regolamento come le proprie tasche, chi meglio di un avvocato conosce le regole, i regolamenti e i codici, le sanzioni e i cavilli burocratici, il regolamento è articolato e allo stesso aggiungiamo il decreto 101 del 10.08.2018 di adeguamento alla normativa nazionale.

Il DPO però non può lavorare da solo e soprattutto ha bisogno di un team di esperti in Cyber security, esperti nella protezione dei dati a cui saranno affidati compiti per la loro competenza che attueranno quanto necessario per mettere tutti i sistemi aziendali in sicurezza specialmente quando parliamo di strutture pubbliche e grosse aziende in cui circolano grandi quantità di dati.

Non possiamo ridurre il concetto di GDPR alla sola informativa trattamento dati personali, l’unica preoccupazione delle aziende non deve essere quella di avere una firma di ritorno sul modulo “privacy” che a volte non è neanche obbligatoria.

Il problema sostanziale è quello della sicurezza dei dati, non il modulo firmato e basta.

Sei hai bisogno di un’analisi approfondita della tua realtà aziendale non esitare a contattarmi.

Leggi anche:

Quanto costa DPO, quanto costa il GDPR adeguamento?

Dpo obbligatorio, chi è e di cosa si occupa?

Adeguamento GDPR 2018 informazioni complete GDPR

Indici di bilancio ,analisi di bilancio per indici

https://www.consiglioweb.com/wp-content/uploads/2018/12/Informativa-trattamento-dati-personali-art.-13-del-GDPR-UE-2016-679.pnghttps://www.consiglioweb.com/wp-content/uploads/2018/12/Informativa-trattamento-dati-personali-art.-13-del-GDPR-UE-2016-679-100x100.pngMilena Martinatoconsulenza aziendaleconsulenza aziendale,DPO GDPR RPD RGPD privacy sicurezza dati - protezione dati,gestione trasmissione datiInformativa trattamento dati personali art. 13 del GDPR UE 2016/679 L'informativa trattamento dati personali art. 13 GDPR EU 2016/679, racchiude le informazioni necessarie da comunicare a chi ti 'affida' i suoi dati, come vengono trattati secondo la propria condotta aziendale. Articolo 14 EU RGPD completa l'informativa qualora i dati personali non siano...Consiglio Web - consigli web - consulenza aziendale - analisi e strategia per crescere con controllo  - strategia web marketing
Se ti e' piaciuto ti invito a condividere. Grazie