Privacy; cambia tutto, ma cosa è cambiato veramente ?

È tempo di cambiamenti da più parti si elevano gli inni alla riservatezza tutto grazie al nuovo Regolamento Europeo 679/2016 per la Protezione dei Dati Personali, il quale nella versione inglese nota come GDPR – General Data Protection Regulation oppure Regolamento (UE) 2016/679) ci impone quella presa di coscienza per obblighi già derivanti dalla normativa nazionale (Codice Privacy L 196/2003) non tutto quanto ci prospettano come nuovo e complicato; Effettivamente lo è.
Nonostante il gran fragore sulla scadenza del 25 maggio e le tante nuove regole introdotte, con una seria presa di coscienza, ed altrettanto seria Autovalutazione dei rischi secondo il Garante per la Protezione dei Dati Personali, risolviamo l’arcano privacy.
Quindi se fino ad oggi si poteva tollerare una diffusa disinformazione, da oggi in poi sarà difficile evitare multe se qualche nostro cliente dovesse lamentarsi sulle modalità di gestione dei suoi dati da parte nostra.
Perciò meglio informare le persone gli utenti ed i clienti dei quali a qualsiasi titolo deteniamo i loro dati personali.
Se non avete mai istituito l’informativa di cui all’art 13 vecchio TU privacy Legge 196/2003, avete l’occasione per redimervi, con l’adozione della Informativa ex artt. 13 e 14 GDPR. Di cui proponiamo un confronto per semplificare l’aggiornamento.
Per qualsiasi difficoltà sulla redazione dell’autovalutazione o per l’aggiornamento della informativa non dimenticate di contattarci via internet, non possiamo prendere coscienza al posto vostro, ma insieme possiamo semplificare le operazioni da seguire in relazione al rischio oggettivo al quale sono esposti i dati dei terzi che detenete e gestite.
Seguendo il link un esempio di informativa predisposta per il corporate site del nostro sponsor Incista SpA.
In conclusione il regime sanzionatorio, il quale prevede quelle amministrative minime da € 3,000,00 in caso non possiamo dimostrare di aver informato sul trattamento un cliente, ma che possono raggiungere la insana somma di 20Mil. di Euro in caso di cessione di dati all’estero senza autorizzazione. In ambito penale c’è stato l’inasprimento di quanto già censurato.
Informativa ex art. 13 Codice della Privacy Decreto legislativo, testo coordinato, 30/06/2003 n° 196, G.U. 29/07/2003 |
Informativa ex artt. 13 e 14 GDPR Regolamento ue 2016/679 |
|
1 | Nelle attività da iniziare è previsto il trattamento di dati personali?
L’informativa è un obbligo generale che va adempiuto prima o al massimo al momento di dare avvio alla raccolta per il trattamento di dati personali. Occorre ricordare che l’obbligo non scatta:
|
Nella attività da iniziare è previsto il trattamento di dati personali?
Vale integralmente quanto detto sull’argomento nell’omologo riquadro del TU. |
2 | Nella attività da iniziare è previsto l’obbligo dell’informativa?
Non deve prestare l’informativa:
|
Nella attività da iniziare è previsto l’obbligo dell’informativa?
Non è tenuta a prestare l’informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico. |
3 | Il titolare ha reso in precedenza una informativa per attività similare?
Per stabilire se si è di fronte ad una attività similare se non identica, bisogna fare precipuo riferimento alla finalità del trattamento. In ogni caso, l’eventuale nuova informativa potrà non comprendere gli elementi già noti all’interessato. |
L’interessato dispone già delle informazioni? In questo caso l’informativa non è dovuta. |
4 | I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:
L’informativa deve comprendere, oltre alle informazioni richieste in generale, anche l’indicazione delle categorie di dati trattati (solo dati personali comuni o anche dati sensibili e/o giudiziari). |
I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:
L’informativa deve essere completa dei contenuti prescritti in via generale, con le seguenti novità:
|
5 | (Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il TU individua tre fattispecie nelle quali il titolare non è tenuto a informare l’interessato, quando:
|
(Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il GDPR individua le fattispecie in cui il titolare non è tenuto a informare l’interessato, quando:
|
6 |
L’informativa è da rendere in forma scritta o orale?
Sono forme parimenti ammesse dalla legge ma è chiaro che una informativa scritta (riportata su supporto cartaceo/digitale e inviata/consegnata al destinatario con evidenza della ricezione da parte del medesimo) costituisce prova obiettiva dell’assolvimento dell’obbligo da parte del titolare. |
Quali requisiti di forma sono stabiliti per l’informativa?
L’informativa deve essere resa in forma:
L’informativa deve essere resa per iscritto in maniera tradizionale o con altri mezzi anche elettronici, come per es., la posta elettronica. Ove richiesto dall’interessato, l’informativa è da rendere oralmente purché sia comprovata l’identità dell’interessato informato, anche qui può essere opportuno che il titolare si procuri e conservi una attestazione di aver ricevuto l’informazione. |
7 |
Quale è, quali sono la oppure le finalità del trattamento?
La domanda offre lo spunto per una attenta riflessione. Può riscontrarsi in tal modo come all’interno di una presunta unica finalità ve ne siano, in realtà, di più. Occorre pertanto che:
|
Quale è, quali sono la oppure le finalità del trattamento?
Vale integralmente quanto scritto nell’omologo riquadro per il TU. Viene aggiunta una presa di coscienza da parte del titolare dei dati il quale solo con una meticolosa valutazione preventiva dimostrabile potrà sottrarsi all’applicazione indiscriminata di sanzioni. |
8 |
Quali sono le modalità del trattamento?
La domanda è riferita soprattutto alle cautele/misure di sicurezza adottate al fine di eseguire il trattamento nel rispetto dei principi di riservatezza, integrità e disponibilità dei dati. E’ sufficiente che l’informativa rechi una descrizione di sintesi, senza cioè entrare in dettagli che potrebbero renderla oltremodo lunga, faticosa e incomprensibile. |
L’informativa ai sensi del GDPR non è chiamata a informare specificamente sull’argomento. |
9 |
La base giuridica del trattamento è richiesta dal GDPR mentre non è direttamente richiamata dal TU. La ricognizione di cui al successivo punto 11 fornisce in ogni caso una informazione al riguardo. |
Qual è la base giuridica del trattamento?
Per base giuridica del trattamento si può intendere la necessità di indicare la font ovvero l’origine ma anche la giustificazione del trattamento ad esempio:
*Nel caso di sussistenza di un obblighi contrattuali o di risposta alle richieste dell’utenza, è opportuno fornire indicazioni precise. |
10 |
Nel TU non si fa riferimento al legittimo interesse del titolare o di terzi di cui al GDPR. Dal punto di vista sostanziale, l’informazione può dirsi compresa nell’ambito delle finalità del trattamento. | Il trattamento è necessario per perseguire un legittimo interesse del titolare o di terzi?
Quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (es., trattamento finalizzato a prevenire delitti, ecc.) – a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore, è necessario che il titolare espliciti detto interesse. |
11 |
Il conferimento dei dati è obbligatorio o facoltativo?
Il conferimento dei dati può essere dovuto:
Da ciò si desume la natura obbligatoria o facoltativa del conferimento. |
L’interessato è obbligato a fornire i dati?
L’informativa deve precisare se l’interessato possa o meno rifiutare la fornitura dei dati e quali siano le conseguenze dell’eventuale rifiuto. Come in precedenza. |
12 |
Quali sono le conseguenze del rifiuto di fornire i dati da parte dell’interessato?
Questa informazione consegue logicamente al contenuto di quella di cui al precedente punto. Ciò comporta la distinzione tra i casi in cui, essendo implicato/a:
|
Quali sono le conseguenze del rifiuto di fornire i dati da parte dell’interessato?
Dal punto di vista logico-giuridico valgono le considerazioni svolte bel riquadro per il TU. |
13 |
A quali soggetti saranno comunicati i dati raccolti?
Anche questo è un quesito che impone di prefigurare a priori il flusso delle informazioni dal titolare verso l’esterno. Si presti attenzione al fatto che:
Oltre alla comunicazione di dati a terzi, l’interessato deve altresì essere informato dell’eventuale diffusione di detti dati, ove prevista e coerente con le finalità del trattamento, ad ogni buon conto la diffusione non potrà mai concernere dati idonei a rivelare lo stato di salute se conosciuto. Lo scopo di questo requisito particolarmente importante dell’informativa è:
|
Chi sono i destinatari (o le eventuali categorie di destinatari) dei dati
E’ requisito analogo a quello già previsto nell’informativa ex art. 13 TU. Anche qui la finalità della norma è rendere consapevole l’interessato della destinazione dei dati a sé riferiti e permettergli l’esercizio dei vari diritti connessi al trattamento. Valgono dunque tutte le ulteriori considerazioni svolte nel riquadro per il TU. |
14 |
L’informazione sull’eventuale trasferimento dei dati extra-UE verso organizzazioni internazionali specificamente richiesta dal GDPR è da inserire, almeno come indicazione dei destinatari dei dati, all’interno di quanto previsto al punto precedente. Nel TU è del resto presente una disciplina del trasferimento dei dati in Paesi extra-UE, in adempimento della quale può essere necessario il consenso stesso dell’interessato (che ovviamente presuppone una idonea informativa). |
E’ previsto il trasferimento dei dati extra-UE o ad organizzazioni internazionali?
In caso affermativo, l’informativa deve chiarire all’interessato:
|
15 |
Non è richiesta dal TU una informazione concernente il tempo o periodo di conservazione dei dati. |
Qual è il periodo di conservazione dei dati?
Si tratta di una informazione non sempre agevole. Implica una capillare autoanalisi dell’organizzazione del titolare, che deve preventivamente definire il tempo di conservazione dei dati, ovviamente, in relazione alla finalità del trattamento. E’ evidente che un trattamento di dati che si protragga oltre la scadenza temporale connessa, deve quanto meno essere preceduto da una nuova informativa ed essere sottoposto, ove richiesto, al consenso dell’interessato. Se l’indicazione di tale periodo non è possibile, si debbono perlomeno esplicitare i criteri per determinarlo. |
16 |
L’interessato è informato dei diritti di cui all’art. 7?
L’informativa deve contenere una anche se succinta informazione dove si riepilogano i diritti dell’interessato:
|
L’interessato è informato dei suoi diritti?
L’interessato ha diritto:
|
17 |
L’informazione su un eventuale processo automatizzato ivi inclusa la profilazione per quanto non specificamente richiesta dal TU può ritenersi compresa nelle finalità e modalità del trattamento. |
Il trattamento contempla un processo decisionale automatizzato, compresa la profilazione? Il titolare è tenuto a informare l’interessato dell’eventuale esistenza di un processo decisionale automatizzato, ivi inclusa la profilazione, intesa dal GDPR come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. |
18 |
Chi è titolare del trattamento?
È immediata o agevole l’identificazione del titolare del trattamento: in tal caso occorre senz’altro comprendere a chi siano riconducibili le scelte fondamentali concernenti il trattamento e, segnatamente, quelle attinenti alle finalità e alle modalità del trattamento. L’informativa deve contenere il nome e cognome o la ragione sociale la denominazione del titolare, con i necessari riferimenti per i contatti quali la sede legale, il numero di telefono, l’indirizzo mail, ecc.. |
Chi è titolare del trattamento?
Valgono qui considerazioni analoghe a quelle per il TU. L’art. 13 GDPR impone la esplicitazione:
|
19 |
E’ nominato un responsabile del trattamento?
La nomina di un responsabile del trattamento è facoltativa. Il titolare vi ricorre, al fine di indicarla nell’informativa, quando vuole procurare agli interessati un interlocutore dedicato, presso cui essi possano esercitare i diritti di cui all’art. 7 ed ottenere il c.d ‘riscontro’. Il responsabile può essere:
Per conseguenza, i dati identificativi del responsabile e quelli di contatto con il medesimo – ove nominato – debbono figurare nell’informativa. |
E’ nominato un responsabile della protezione dei dati?
Facoltativo ma se nominato, l’informativa deve contenere in tal caso anche i dati di contatto del responsabile. |
Disclaimer
Il blog precisa; Che il materiale pubblicato è di sua esclusiva proprietà e che le risposte ai quesiti, ovvero gli articoli pubblicati seppur elaborati con estrema attenzione e diligenza da parte dei Professionisti suoi collaboratori, non costituiscono erogazione di consulenza professionale né tecnica o legale, ma solo attività di informazione.
il Richiedente del quesito ovvero l’utente di Internet è quindi espressamente ed esplicitamente tenuto a non basare le proprie azioni sulle consulenze e risposte ai quesiti posti ovvero dalle informazioni estemporanee attinte dal blog, ed é invitato ad approfondire le questioni trattate con professionisti di Sua esclusiva fiducia.
Casomai potete stampare le informazioni reperite sul blog per sottoporle al Professionista conosciuto e di fiducia.
Il Blog espressosud.it non si assume alcuna responsabilità per eventuali problemi o danni causati dalle risposte ai quesiti e dalle informazioni rilasciate o pubblicate o comunque fornite e neppure per le conseguenze negative che possa eventualmente subire il Richiedente che riferisca di essersi uniformato dalle risposte e/o notizie ricevute, se non ha dato modo di conoscere prima della risposta, la sua personale ed individuale condizione civile e fiscale.
Per qualsiasi necessità non esitate a contattare la redazione del blog. espressosud.it; Redazione 80013- Cava dei Tirreni- (SA) Piazza Duomo,2 – Tel. 089 465746- Fax 089 444444 – eurobusiness@tin.it – P.IVA 0056761 065 4.
cerca nel sito
#ItalExit
Multiverso
Metaverso
Pagare F24
Contact 莱奥波尔多
Contatta il Blogger
+39089465746 / +393356541999
Fax. +39089444444
eMail: leopoldo@dimaio.it
WhatsUp. +393356541999
Skype ibn21
Indirizzo
P.zza Vittorio Emanuele III, 3
84013 Cava de’ Tirreni (SA)
Orari
via web, H24;
in presenza dal: lunedì—venerdì: 9:00–17:00
sabato e domenica: 11:00–15:00