2018-05-18

GDPR - Informativa e consenso

Questo articolo è una sintesi, assolutamente non esaustiva, di importanti adempimenti (Regolamento UE 679/2016) riguardanti le piccole aziende che NON trattano dati sensibili.

INFORMATIVA


L'informativa preventiva è un adempimento già previsto dal Codice per la protezione dei dati personali. L'interessato deve essere sempre informato dell'esistenza del trattamento e delle sue finalità anche quando il trattamento dei suoi dati può essere effettuato senza necessità di raccogliere il suo consenso.

Il Regolamento UE ne modifica parzialmente il contenuto, distinguendo le informazioni da rendere a seconda che i dati siano raccolti presso l'interessato o presso terzi (artt. 13 e 14 Reg.Ue.679/2016).

Quando deve essere resa l'informativa?

L'informativa deve essere resa prima della raccolta dei dati nel caso che i dati siano raccolti direttamente dall'interessato e entro un mese dalla registrazione dei dati stessi nel caso non siano stati raccolti presso l'interessato.

A chi deve essere fornita l'informativa?

A tutti quei soggetti di cui si trattano dati personali: clienti, fornitori, dipendenti, visitatori del sito web, potenziali clienti.

È possibile utilizzare un'unica informativa per tutte le categorie di soggetti interessati?

No, le informazioni da fornire devono essere precise. Le finalità del trattamento dei dati di un cliente saranno diverse da quelle per un dipendente, anche i dati richiesti saranno diversi, così come l'ambito di comunicazione dei dati ed il tempo di conservazione degli stessi.

L'informativa deve essere consegnata all'interessato?

È sufficiente renderla disponibile. Può essere inserita in una pagina del sito web il cui link può essere indicato in calce alle email, oppure può essere affissa nei locali dell'azienda. Nel caso l'interessato lo richieda può esserne rilasciata una copia.

Cosa deve contenere l'informativa?

  • indicazioni sull'identità e sui dati di contatto del titolare;
  • tipi di dati personali trattati (dati identificativi, dati di contatto, immagini, dati relativi allo stato di salute…);
  • finalità del trattamento e base giuridica dello stesso (ad esempio: per adempiere ad un contratto o ad un obbligo di legge, per adempiere a richieste precontrattuali, per l'invio di materiale pubblicitario…);
  • se l'interessato ha l'obbligo di fornire i dati o meno (e le possibili conseguenze della mancata comunicazione dei dati);
  • indicazione di chi può conoscere i dati personali (ad esempio dipendenti e collaboratori, soggetti esterni designati quali responsabili…);
  • modalità di trattamento e periodo di conservazione dei dati;
  • se i dati saranno trasferiti in un paese extra UE e le garanzie per tale trasferimento;
  • l'esistenza del diritto, per l'interessato, di chiedere al titolare l'accesso ai dati, la rettifica, la cancellazione, la limitazione del trattamento, nonché di opporsi al loro trattamento e di proporre reclamo all'autorità di controllo.

IL CONSENSO

Il trattamento dei dati personali è lecito se ricorrono alcune condizioni. Salvo quanto indicato dall'art.6 del Regolamento UE, il consenso è condizione per la liceità del trattamento.

È necessario chiedere il consenso all'interessato per le attività essenziali relative alla missione aziendale?

No, l'art. 6 ritiene lecito il trattamento dei dati personali svolto per adempiere ad un contratto o fornire un servizio, o per adempiere a richieste precontrattuali.

È necessario chiedere il consenso all'interessato per raccogliere i dati, le informazioni e i documenti ai fini dell'esecuzione degli adempimenti antiriciclaggio o di quelli fiscali?

No, l'art. 6 ritiene lecito il trattamento dei dati personali svolto per adempiere ad obblighi di legge cui è soggetto il titolare.

Quando si deve chiedere il consenso all'interessato?

Il consenso è necessariamente richiesto quando si vogliono trattare i dati personali ed i recapiti forniti per l'invio di comunicazioni commerciali (marketing), iscrizioni a newsletter, o si intendono diffondere informazioni dell'interessato. Il consenso deve essere richiesto anche nel caso in cui il sito web aziendale utilizzi cookie di profilazione.

Il consenso deve essere scritto?

No, il Regolamento UE non prevede che il consenso debba essere necessariamente documentato per iscritto, né è richiesta la forma scritta, anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. Questo può avvenire, ad esempio, utilizzando un flag di spunta nel relativo spazio del sito web.

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido?

Si, il consenso raccolto precedentemente all'entrata in vigore del Regolamento Europeo resta valido se ha tutte le caratteristiche richieste: deve essere libero, specifico, informato e inequivocabile. In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2).