Questo articolo è una sintesi, assolutamente non esaustiva, di importanti adempimenti (Regolamento UE 679/2016) riguardanti le piccole aziende che NON trattano dati sensibili.
INFORMATIVA
L'informativa preventiva è un adempimento già previsto dal Codice per la protezione dei dati personali. L'interessato deve essere sempre informato dell'esistenza del trattamento e delle sue finalità anche quando il trattamento dei suoi dati può essere effettuato senza necessità di raccogliere il suo consenso.
Il Regolamento UE ne modifica parzialmente il contenuto, distinguendo le informazioni da rendere a seconda che i dati siano raccolti presso l'interessato o presso terzi (artt. 13 e 14 Reg.Ue.679/2016).
Quando deve essere resa l'informativa?
L'informativa deve essere resa prima della raccolta dei dati nel caso che i dati siano raccolti direttamente dall'interessato e entro un mese dalla registrazione dei dati stessi nel caso non siano stati raccolti presso l'interessato.A chi deve essere fornita l'informativa?
A tutti quei soggetti di cui si trattano dati personali: clienti, fornitori, dipendenti, visitatori del sito web, potenziali clienti.È possibile utilizzare un'unica informativa per tutte le categorie di soggetti interessati?
No, le informazioni da fornire devono essere precise. Le finalità del trattamento dei dati di un cliente saranno diverse da quelle per un dipendente, anche i dati richiesti saranno diversi, così come l'ambito di comunicazione dei dati ed il tempo di conservazione degli stessi.L'informativa deve essere consegnata all'interessato?
È sufficiente renderla disponibile. Può essere inserita in una pagina del sito web il cui link può essere indicato in calce alle email, oppure può essere affissa nei locali dell'azienda. Nel caso l'interessato lo richieda può esserne rilasciata una copia.Cosa deve contenere l'informativa?
- indicazioni sull'identità e sui dati di contatto del titolare;
- tipi di dati personali trattati (dati identificativi, dati di contatto, immagini, dati relativi allo stato di salute…);
- finalità del trattamento e base giuridica dello stesso (ad esempio: per adempiere ad un contratto o ad un obbligo di legge, per adempiere a richieste precontrattuali, per l'invio di materiale pubblicitario…);
- se l'interessato ha l'obbligo di fornire i dati o meno (e le possibili conseguenze della mancata comunicazione dei dati);
- indicazione di chi può conoscere i dati personali (ad esempio dipendenti e collaboratori, soggetti esterni designati quali responsabili…);
- modalità di trattamento e periodo di conservazione dei dati;
- se i dati saranno trasferiti in un paese extra UE e le garanzie per tale trasferimento;
- l'esistenza del diritto, per l'interessato, di chiedere al titolare l'accesso ai dati, la rettifica, la cancellazione, la limitazione del trattamento, nonché di opporsi al loro trattamento e di proporre reclamo all'autorità di controllo.