Come scrivere un modello di informazione GDPR

PUBBLICATO IL: 03/06/2019 DA: melissa.mercuri

Il GDPR (regolamento generale sulla protezione dei dati) è spesso considerato come un insieme di regole per prevenire le violazioni dei dati ma intende anche fornire agli individui una migliore comprensione e un maggiore controllo su come questi possano venire utilizzati. Le organizzazioni sono pertanto tenute a fornire agli individui determinate informazioni, che di solito avvengono tramite una informativa sulla privacy. Questo articolo spiega quindi come un modello prestabilito possa aiutarti a soddisfare i tuoi requisiti di conformità.

Cos'è un avviso sulla privacy?

Un avviso sulla privacy è un documento che le organizzazioni danno agli individui e che descrivono il modo in cui i loro dati personali vengono raccolti e utilizzati. Ha due obiettivi: promuovere la trasparenza e dare agli individui un maggiore controllo sul modo in cui i loro dati vengono utilizzati. La trasparenza è un principio chiave del GDPR, in quanto garantisce che i dati personali non vengano utilizzati contro la conoscenza o la volontà di una persona. Le organizzazioni devono quindi spiegare in termini semplici quali dati stanno raccogliendo, perché ne hanno bisogno, a cosa serve e se terze parti avranno accesso ai dati. Il GDPR incorpora otto diritti per i soggetti dei dati (che approfondiremo di seguito) che gli individui possono esercitare per conoscere meglio e contestare il modo in cui i loro dati personali vengono elaborati.

L'informativa sulla privacy è la stessa della privacy policy?

Sebbene coprano molti degli stessi argomenti, le informative sulla privacy non devono essere confuse con le politiche sulla privacy. Mentre un avviso sulla privacy è un documento pubblicamente accessibile, prodotto per gli interessati, una politica sulla privacy è un documento interno che spiega gli obblighi e le pratiche dell'organizzazione per soddisfare i requisiti del GDPR.

Quando si dovrebbe fornire un avviso sul GDPR?

Il GDPR spiega che i responsabili del trattamento dei dati (organizzazioni che determinano quali dati vengono raccolti e come) devono fornire un avviso sulla privacy ogni volta che ottengono le informazioni personali di tali soggetti. Le uniche volte in cui non è necessario sono quando:

L'interessato ha già le informazioni fornite nell'informativa sulla privacy;
Sarebbe impossibile o comporterebbe uno sforzo sproporzionato per fornire tali informazioni;
L'organizzazione è legalmente obbligata a ottenere le informazioni;
I dati personali devono rimanere riservati, soggetti all'obbligo del segreto professionale.

Quando un'organizzazione ottiene informazioni personali da terzi, deve fornire un avviso sulla privacy entro un mese. Questo dovrebbe essere reso disponibile la prima volta che l'organizzazione comunica con l'interessato o quando i dati personali vengono prima condivisi con un altro destinatario. Il modo più semplice per fornire un avviso sulla privacy è di pubblicarlo sul tuo sito Web e proporlo ogni volta che ti viene richiesto di raccogliere dati personali. Se non si dispone di un sito Web, è necessario effettuare una copia fisica della privacy policy disponibile. Le notifiche sulla privacy possono essere emesse in più fasi, ma è spesso più semplice indirizzare gli interessati a una pagina del tuo sito web contenente le informazioni pertinenti. Tuttavia, è necessario essere consapevoli che la politica deve essere specifica per il tipo di elaborazione che si sta verificando, poiché ogni attività sarà soggetta a requisiti discreti.

Cosa dovrebbe includere un avviso sulla privacy?

Dettagli del contatto

La prima cosa da includere nella tua informativa sulla privacy è il nome, l'indirizzo, l'indirizzo email, l'indirizzo fisico e il numero di telefono della tua organizzazione. Se hai nominato un responsabile della protezione dei dati (DPO) o un rappresentante dell'UE, dovresti includere anche i loro dettagli di contatto.

I tipi di dati personali elaborati

La definizione di dati personali è molto più ampia di quanto si possa pensare. Assicurati di includere tutto ciò che stai raccogliendo e fallo nel modo più specifico possibile. Ad esempio, invece di dire semplicemente "informazioni finanziarie", indica se si tratta di numeri di conto, numeri di carta di credito, ecc. Dovresti anche delineare dove hai ottenuto le informazioni se non è stato fornito direttamente dall'interessato.

Base legale per il trattamento dei dati personali

Al fine di elaborare i dati personali, il GDPR afferma che è necessario soddisfare una di queste sei basi legali ; la tua politica sulla privacy dovrebbe specificare a quale ti stai affidando per ogni scopo di elaborazione. Inoltre, se fai affidamento su interessi legittimi, devi descrivere questi interessi. Se ci si basa sul consenso, affermare che può essere ritirato in qualsiasi momento.

Come trattate i dati personali

Devi spiegare se condividerai i dati personali raccolti con terze parti. Ti suggeriamo inoltre di specificare come proteggere i dati condivisi, in particolare quando la terza parte si trova al di fuori dell'UE.

Per quanto tempo manterrai i loro dati

Il GDPR afferma che è possibile conservare i dati solo per il tempo necessario, ovvero fino a quando è applicabile la base legale per l'elaborazione. Nella maggior parte dei casi, sarà facile risolverlo; i dati elaborati per soddisfare i contratti, gli obblighi legali, le attività pubbliche e gli interessi vitali hanno tutti tempi precisi. Tuttavia, le cose sono più complicate con il consenso e gli interessi legittimi, in quanto non esiste un chiaro punto in cui non siano più valide. Pertanto, consigliamo di rivedere qualsiasi elaborazione che coinvolga queste basi legali almeno ogni due anni.

Diritti dell'interessato

Il GDPR offre agli individui otto diritti che è necessario elencare e spiegare nella propria informativa sulla privacy:

Diritto di essere informati: le organizzazioni devono comunicare agli individui quali dati vengono raccolti, come vengono utilizzati, quanto tempo sarà conservato e se sarà condiviso con terze parti.
Diritto di accesso: gli individui hanno il diritto di richiedere una copia delle informazioni che un'organizzazione detiene su di loro.
Diritto di rettifica: gli individui hanno il diritto di correggere dati che sono inaccurati o incompleti.
Il diritto all'oblio: in determinate circostanze, le persone possono chiedere i dati che un'organizzazione detiene su di loro per essere cancellati dai loro registri.
Diritto di portabilità: le persone fisiche possono richiedere che l'organizzazione trasferisca a un'altra società tutti i dati che detiene su di loro.
Diritto di limitare il trattamento: i singoli possono richiedere che un'organizzazione limiti il modo in cui utilizza i dati personali.
Diritto di opporsi: gli individui hanno il diritto di contestare determinati tipi di elaborazione, come il marketing diretto.
Attenzione al processo decisionale automatizzato, inclusa la profilazione: le persone sono libere di richiedere una revisione dell'elaborazione automatizzata se ritengono che le regole non vengano seguite.

Dovresti anche ricordare alle persone che sono libere di esercitare i loro diritti e spiegare come possono farlo. Scrivi la tua informativa sulla privacy La tua informativa sulla privacy deve essere scritta in un linguaggio chiaro e semplice che le persone interessate possano facilmente comprendere. Ciò è particolarmente importante quando si elaborano dati personali dei bambini, poiché sarà necessario adattare la lingua in modo appropriato per la fascia di età interessata. È fondamentale evitare terminologie tecniche e legali non necessarie ed evitare qualificatori come "potrebbe", "alcuni" e "spesso", poiché sono volutamente vaghi. Infine, la policy dovrebbe essere gratuita e facilmente accessibile; non nasconderla in un link nella parte inferiore di un modulo che richiede agli utenti i loro dettagli. Vuoi approfondire le tematiche di Privacy e diventare un DPO (Data Protection Officer)? Scopri il corso di Privacy Specialist DPO targato Musa Formazione.