×

E’ online il Modello per Informazione e Consenso dati personali.

30 luglio 2018

E’ online il Modello per Informazione e Consenso dati personali.

In base alle disposizioni del GDPR propongo nel blog un modello aggiornato di informativa da rendere ai clienti (che siano persone fisiche, uniche protette dalla normativa “privacy”) sul trattamento dei loro dati personali (ossia di qualsiasi informazione relativa a un individuo: dai dati anagrafici a quelli bancari, all’indirizzo mail…)

Il modello (che comprende anche l’espressione del consenso al trattamento dei dati) può essere scaricato dalla sezione modelli del blog..

Il testo segue i principi del Regolamento Europeo (articoli 13 e 14) e le indicazioni del Gruppo di Lavoro “Articolo 29”, per cui le informazioni rese sono più ampie e dettagliate di quella contenute nella modulistica normalmente oggi in uso presso le PMI italiane.

Il testo che propongo:

  • è redatto in linguaggio semplice e chiaro (o, almeno, così spero), senza ricorrere a complessi richiami a norme di legge che nessun cliente conosce ed è disponibile a verificare (articolo 7 GDPR).
  • precisa in maniera separata e ben evidente le diverse finalità per le quali è richiesta la trasmissione di dati personali (“considerando” 32 della premessa del GDPR);
  • chiarisce bene che all’utente non sono imposti dei condizionamenti indebiti (art. 7), nel senso che l’esecuzione del contratto non è subordinata al consenso al trattamento dei dati per finalità diverse dall’esecuzione del contratto;
  • indica la durata del trattamento dei dati personali;
  • chiarisce anche che sulla base dei dati personali dell’utente non saranno adottate delle decisioni secondo procedure automatiche;
  • richiede l’espressione di un consenso esplicito e specifico al trattamento dei dati;

Il modello che propongo è a uso libero e gratuito di chi lo scarica.

In cambio chiedo solo suggerimenti e critiche su come migliorarlo a chi me li vorrà dare.

Ricordo che tutte le imprese che siano obbligate ad adeguarsi al GDPR e in passato non hanno utilizzato una modulistica conforme alle prescrizioni della nuova normativa sono tenute e rendere di nuovo le informazioni agli interessati e a rinnovare la raccolta del consenso.

Qualche considerazione di commento deve essere fatta.

L’informativa alla clientela non è sufficiente per il rispetto del GDPR.

Se si informano i clienti e poi non si tutelano adeguatamente i loro dati o li si usano per una finalità diversa da quella per la quale sono stati raccolti non si sono assolutamente rispettate le regole.

Il GDPR impone di configurare i sistemi aziendali secondo il modello della privacy by design (ossia l’indirizzo generale alla tutela dei dati) e della privacy by default (ossia l’uso delle migliori soluzioni tecnologiche per la protezione dei dati) e in generale di verificare attentamente i rischi connessi al trattamento dei dati.

Per l’analisi di questi rischi il GDPR indica la predisposizione del DPIA, Data Protection Impact Assesment ossia un’analisi preventiva del trattamento dei dati da compiere, che ne valuti la necessità e la proporzionalità, ipotizzi i rischi possibili e indichi delle soluzioni per gestirli (sul sito del Garante Privacy è presente un apposito applicativo).

La formazione di un DPIA intesa come documento fisico è obbligatoria solo quando il trattamento dei dati possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (per esempio perché sono interessati moltissimi soggetti: ampi chiarimenti sul punto sono dati dal Garante Privacy http://www.garanteprivacy.it/regolamentoue/DPIA).

Credo però che qualsiasi impresa (anche di piccolissime dimensioni) e qualsiasi studio professionale potrebbe valutare di predisporre comunque un DPIA, sia per cautelarsi contro contestazioni del proprio operato, sia per prepararsi a sviluppi futuri della propria attività, sia per acquisire  una cognizione precisa di quanti dati si trattano, di come si trattano e di come si proteggono (penso all’ipotesi di un albergo o di una discoteca, che potrebbero trovarsi a gestire una mole di dati veramente importante).

È necessario o opportuno nominare un Data Protection Officer e tenere un Registro dei trattamenti

L’articolo 37 del GDPR impone di nominare un responsabile aziendale della protezione dei dati (o DPO, cioè “data Protection Officer”) dotato di specifica professionalità quando:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 del GDPR o di dati relativi a condanne penali e a reati di cui all’articolo.

I compiti principali del DPO sono quelli di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e sorvegliare l’osservanza del GDPR medesimo.

L’articolo 30 del GDPR impone poi di tenere un “registro dei trattamenti” che contiene particolari informazioni tra le quali: la finalità del trattamento; la descrizione delle categorie di interessati e delle categorie di dati personali; i termini ultimi previsti per la cancellazione delle diverse categorie di dati e le misure di sicurezza adottate.

Il Registro deve essere tenuto solo dalle imprese con più di 250 dipendenti e da quelle che abbiano meno dipendenti ma effettuino trattamenti a rischio come definiti dal GDPR.

La nomina del DPO e la tenuta del Registro, quindi, non sono sempre obbligatorie (di fatto per le PMI a mio parere non lo sono quasi mai o lo sono molto raramente).

Credo però sarebbe opportuno considerare la possibilità di nominare comunque un DPO e di tenere comunque un registro dei trattamenti anche quando questi adempimenti non sono obbligatori.

Questo, ancora una volta, per avere un controllo effettivo delle banche dati aziendali e delle modalità di relazione con la clientela.

Le sanzioni per la violazione della normativa privacy esistono e sono effettivamente applicate. 

Spesso nelle piccole imprese l’attenzione alla privacy si esaurisce nella raccolta del consenso dei clienti (più o meno informato) al trattamento dei dati.

Generalmente si è convinti che non ci sarà attenzione delle Autorità sulla materia e che nessuna sanzione sarà applicata in caso di violazione delle regole.

In realtà non è così: le verifiche e i controlli (in particolare del Comando Nucleo speciale funzione pubblica e privacy della Guardia di finanza) esistono e le sanzioni sono applicate

L’archivio dei provvedimenti dell’Autorità Garante lo dimostra con chiarezza.

Di recente, per esempio, è stata applicata una sanzione pecuniaria a un hotel che aveva raccolto curriculum di candidati all’assunzione come dipendenti senza rendere alcuna informazione sulle modalità di trattamento dei loro dati personali.

Sempre di recente una palestra milanese è stata sanzionata per 10.000,00 Euro per avere effettuato un trattamento irregolare di dati biometrici.

Attuare il GPDR in realtà non costa molto e i vantaggi superano di molto l’investimento di tempo e denaro necessario.

È quindi veramente sbagliato rischiare di incorrere in sanzioni per pigrizia o pregiudiziale insofferenza verso la “burocrazia”.

Questo anche perché non va dimenticato che le “multe” (tecnicamente “sanzioni amministrative pecuniarie”) previste dal GDPR sono molto elevate (sul punto si è però in attesa di un provvedimento del Governo).

Se poi si ha l’accortezza di documentare quanto è stato fatto per rispettare i principi di privacy by design e privacy by default si può arrivare ben preparati e “protetti” a eventuali ispezioni e contestazioni.

Lascia un commento

Your email address will not be published. Required fields are marked *

*

%d blogger hanno fatto clic su Mi Piace per questo: