Come spiegato nel precedente articolo sulle 5 cose da sapere sul GDPR, entro il prossimo 25 Maggio aziende e imprenditori dovranno attuare una serie di misure per garantire la sicurezza delle informazioni e dei dati in loro possesso su clienti, dipendenti e fornitori.
L’adeguamento è necessario e, in caso mancasse, le sanzioni sono elevate.
Trattamento dei dati: cosa cambia nell’informativa sulla privacy
Il regolamento intende restituire ai cittadini il controllo dei dati personali e semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti UE.
L’informativa sulla privacy dovrà essere concisa, trasparente, comprensibile e utilizzare un linguaggio chiaro.
È proposto l’utilizzo di icone per rendere il messaggio leggibile anche a chi non conosce la lingua. Gli interessati devono sapere se i loro dati sono trasmessi al di fuori dell’UE, con quali garanzie, e che possono esercitare molteplici diritti.
I 12 elementi di un’informativa adeguata
L’informativa sulla privacy è adeguata al nuovo regolamento se:
- esplicita l’identità e i dati di contatto del titolare del trattamento
- indica i dati di contatto del DPO, il DPO - Data Protection Officer - è una nuova figura introdotta dal GDPR, obbligatoria in enti pubblici e imprese, che avrà mansioni di consulenza e supervisione e sarà un interlocutore privilegiato per gli interessati e le autorità di controllo
- rende note la finalità del trattamento e la base giuridica
- specifica di chi sia il legittimo interesse perseguito dal trattamento (del titolare o di terzi) e da chi sia perseguito (dal titolare o da terzi)
- contiene eventuali destinatari o categorie di destinatari dei dati personali. Se indica, cioè, a chi vadano i dati
- esplicita un eventuale trasferimento dei dati personali a Paesi Terzi e, in caso affermativo, con quali strumenti; ad esempio, se si tratta di un paese adeguato secondo la commissione europea
- rivela per quanto tempo i dati verranno conservati e i criteri per indicare quel periodo
- indica i diritti fondamentali dell’interessato: quello di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi (il diritto all’oblio, cioè essere completamente “dimenticato” da chi ha raccolto i dati), la limitazione del trattamento, l’opposizione allo stesso e il diritto alla portabilità (l’interessato può chiedere la restituzione dei dati forniti in un formato strutturato, di uso comune e leggibile dal dispositivo automatico, e trasmetterli ad un diverso titolare)
- esplicita il diritto di revoca al consenso, in qualsiasi momento
- contiene il diritto di presentare un reclamo all’autorità di controllo
- rende noto che tipo di comunicazione dei dati personali sia: un obbligo legale, contrattuale o un requisito necessario per la conclusione di un contratto.
Se l’interessato sia obbligato a fornire i dati e quali siano le conseguenze in caso di mancata comunicazione - rivela quali processi automatizzati comporti il trattamento (compresa la profilazione) ed eventualmente le informazioni sulla logica di tali processi e le conseguenze per l’interessato.
Mancata compliance con la privacy europea: cosa comporta?
In caso di mancato adeguamento al GDPR, i titolari e i responsabili dei trattamenti possono essere colpiti da sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo.
E non ci sono solo conseguenze economiche o danni reputazionali: l’autorità di controllo può anche ordinare la cancellazione dei dati o la limitazione al trattamento degli stessi, determinando effetti negativi sul business aziendale.
È fondamentale per le aziende e i professionisti dedicare maggiore attenzione alla sicurezza delle informazioni e dei dati sensibili.
Verifica con la nostra checklist a che punto sei per l’adeguamento al nuovo regolamento GDPR.
