Controlla la tua conformità normativa al GDPR

• Hai pensato quali informazioni entrano, attraversano oppure escono dalla tua attività?
• Queste informazioni includono dati personali sui tuoi clienti? Ciò potrebbe comprendere nomi e indirizzi delle persone a cui effettui consegne, contatti che utilizzi per il telemarketing, dettagli personali acquisiti in fase di iscrizione ai tuoi servizi.
• Sai perché raccogli e conservi dati personali?
• Hai preso nota dei dati personali in tuo possesso, cosa ne fai e perché li conservi?

Per essere lecito, il trattamento dei dati personali deve rientrare in uno dei sei criteri previsti dalla normativa. Questo strumento interattivo online può rappresentare una valida guida circa le condizioni su cui si fondano i trattamenti effettuati.
Le tue raccolte di dati personali includono le seguenti informazioni:

• Il tipo di dati di cui sei in possesso, come nomi e indirizzi email.
• Come hai ottenuto i dati, ad esempio su moduli cartacei o attraverso il tuo sito web.
• Perché sei in possesso dei dati.
• Quale durata ha il trattamento dei dati e per quanto tempo questi rimarranno in tuo possesso.
• Se condividi i dati personali con altri.
• Se i dati appartengono a categorie particolari o sensibili, come le informazioni mediche.

• Fornisci informazioni agli interessati sull'uso dei loro dati personali?
• Comunichi agli interessati se condividi i loro dati personali con altri soggetti o organizzazioni?
• Informi gli interessati di cosa intendi fare con i loro dati personali verbalmente o in forma scritta, mediante l'uso di volantini o poster oppure online tramite un avviso o un'informativa?

Se fornisci informazioni agli interessati, ricorda che per essere valida l'informativa sul trattamento dei dati personali deve contenere almeno le seguenti informazioni:

• Il nome dell'attività o dell'azienda e la persona responsabile della protezione dei dati.
• Perché detieni i dati personali (e su quale criterio di liceità si fonda il trattamento) e cosa ne fai.
• Dove hai ottenuto i dati.
• Con chi condividi i dati e come lo fai, inclusa qualsiasi condivisione al di fuori dell'Italia e dell'Unione Europea.
• Per quanto tempo conservi i dati.
• Come le persone possono richiedere l'accesso ai propri dati o la loro correzione o cancellazione.
• Come sporgere reclamo o denuncia all'Autorità Garante competente (Garante per la protezione dei dati personali).
• Se prendi decisioni automatizzate o esegui la profilazione in base ai dati in tuo possesso.

• Raccogli e utilizzi solo i dati personali di cui hai bisogno per lavorare?
• Ti assicuri che le persone conoscano la differenza tra le informazioni che devono fornire obbligatoriamente e quelle facoltative?

Esempio: per la sua attività di lavavetri, Eliot Ness raccoglie i nomi e gli indirizzi dei suoi clienti, di cui ha bisogno per pulire le loro finestre una volta a settimana. Vorrebbe anche raccogliere gli indirizzi e-mail dei suoi clienti in modo da inviare digitalmente alcune offerte speciali di pulizia delle gronde invece di inserire un volantino nelle loro cassette postali. Poiché ciò non è necessario per lo svolgimento dei suoi servizi, comunica ai suoi clienti che fornirgli queste informazioni è facoltativo.

• Hai deciso e documentato per quanto tempo manterrai i dati personali raccolti?
• Aggiorni o distruggi i dati personali dopo determinati periodi di tempo?
• Cancelli o distruggi in modo sicuro i dati personali non appena non sono più necessari?

Esempio: per la sua attività di giornalaio, George Stone raccoglie il nome, l'indirizzo e il numero di telefono dei suoi clienti, nonché i loro ordini di giornali settimanali e i dettagli dei loro pagamenti. Crea un documento che descrive in dettaglio quali dati personali raccoglie e per quanto tempo li conserva (stabilisce il periodo di conservazione). Alla fine del periodo di conservazione, elimina in modo sicuro i dati distruggendoli. Controlla inoltre annualmente i dati personali in suo possesso per assicurarsi che tutto sia stato cancellato al termine del periodo di conservazione.

• Controlli regolarmente che i dati personali in tuo possesso siano accurati e aggiornati?

Esempio: Rick Deckard è il manager di una squadra di calcio locale. Ogni mese invia una e-mail alla squadra riguardo alle prossime partite. Dovrebbe verificare regolarmente con i membri della squadra che gli indirizzi e-mail siano ancora precisi.

• Puoi aggiornare rapidamente le informazioni in tuo possesso se richiesto dal diretto interessato?

• Mantieni i dati personali al sicuro in ufficio, ad esempio utilizzando gli schedari con serratura e bloccando o disconnettendo i computer quando sei lontano dalla tua scrivania?
• Adotti misure per proteggere i dati personali prima di estrarli e di inviarli da qualche altra parte? Ad esempio, porti con te solo i dati di cui hai bisogno o li invii in anticipo con metodi sicuri?
• Proteggi i documenti cartacei, ad esempio utilizzando archivi con serratura ed effettuando il loro smaltimento in modo sicuro?
• Proteggi i dati elettronici, ad esempio crittografando i dispositivi mobili, utilizzando le password e eseguendo il backup dei dati?

• Conosci i diritti delle persone fisiche stabiliti dalla normativa?

In sintesi questi sono i seguenti:

• Il diritto di essere informato: di conoscere quali dati hai in tuo possesso e cosa ne fai.
• Il diritto di accesso: di essere in grado di richiedere una copia dei propri dati che tu possiedi.
• Il diritto di rettifica: di correggere i dati inesatti.
• Il diritto alla cancellazione: di chiederti di cancellare o distruggere i propri dati.
• Il diritto di limitare il trattamento: di limitare la quantità o il tipo di dati utilizzati.
• Il diritto alla portabilità dei dati: la possibilità di richiedere il trasferimento elettronico dei dati verso un'altra azienda.
• Il diritto di opposizione: poter richiedere di interrompere l'utilizzo dei propri dati.

• Hai programmi in atto in modo da poter gestire qualsiasi eventuale richiesta?
• Sai che una richiesta può essere fatta per iscritto o verbalmente, di persona o al telefono?

È possibile effettuare una richiesta per telefono, tramite e-mail o di persona e non deve essere per forza scritta formalmente. Se possibile, tratta le richieste che sono facilmente gestibili come questioni ordinarie, nel normale svolgimento della tua attività. Ecco due esempi:
Jack Driscoll, un manager della squadra di calcio locale, riceve una chiamata da un giocatore che richiede i dettagli di tutte le partite che ha giocato nell'ultimo anno. Questo può essere affrontato senza procedure particolari.
A Carl Denham, il giornalaio, viene chiesto da un cliente nell'edicola il saldo del suo conto. Questa richiesta può essere affrontata immediatamente senza formalità.
Per casi più complessi, probabilmente vorrai trattare le richieste in modo più formale. Di seguito due esempi:
Uno degli ex dipendenti di Ann Darrow richiede una copia delle referenze che ha fornito su di lui a un potenziale nuovo datore di lavoro.
Rick Blaine gestisce la squadra di calcio under 10 e riceve una richiesta da uno dei genitori dei bambini per una copia delle informazioni riguardanti il figlio.

• Sai in quanto tempo devi rispondere a una richiesta?

Le richieste degli interessati devono essere accolte nel più breve tempo possibile e al massimo entro un mese dalla loro ricezione. Il periodo decorre dal giorno successivo alla ricezione della richiesta. Questo periodo è prorogabile di due mesi tenendo conto di complessità e numero delle richieste; in tal caso è necessario inviare una comunicazione motivata all'interessato entro il imite iniziale previsto. Per esempio:
Ilsa Lund riceve una richiesta il 3 settembre. Il periodo decorre dal giorno successivo, pertanto la data ultima per completare la richiesta sarà il 4 ottobre.
Lynn Bracken invece riceve il 5 maggio una richiesta che necessita di operazioni complesse per essere esaudita. Decide di comunicare entro il 6 giugno all'interessato che ha bisogno di un altro mese per soddisfarla, così il termine cade il 6 luglio.

• Sei in grado di eliminare le informazioni di qualcuno se l'interessato te lo chiede?

Jack Vincennes elabora dati personali per inviare materiale di marketing diretto per posta. Poiché le persone hanno il diritto di cancellare i propri dati personali, si assicura di poterli cancellare entro un mese, se necessario.

• Hai formato adeguatamente gli individui alle tue dipendenze che trattano dati personali sulle loro responsabilità in materia di protezione dei dati?

Esempio: Bud White è un costruttore e impiega due persone nel suo ufficio amministrativo. Li ha informati su come mantenere le informazioni sicure e protette, ha spiegato loro quali informazioni sulla privacy ha fornito ai suoi clienti e ha detto loro cosa fare se qualcosa va storto o mancano dei dati. Ha appeso anche un poster in ufficio con regole e procedure e inoltre ha stabilito un controllo settimanale per verificare che i dati personali siano protetti in modo sicuro.

• Sai cosa fare se qualcosa va storto, inclusa una violazione dei dati personali?

Una violazione dei dati personali indica una violazione della sicurezza che porta alla accidentale o illegale distruzione, perdita, alterazione, divulgazione o accesso non autorizzati ai dati personali. Ciò include violazioni che sono il risultato di cause sia accidentali che intenzionali. Significa anche che una violazione non rappresenta semplicemente la perdita di dati personali.

• Sai quali violazioni segnalare al Garante per la protezione dei dati personali?

Una violazione può avere una serie di effetti avversi sugli individui, tra cui stress emotivo e danni fisici e materiali. Devi stabilire probabilità e gravità del rischio risultante per i diritti e le libertà delle persone. Se è probabile un rischio, è necessario informare il Garante.

• Sai di quali violazioni devi informare gli interessati?

Se è probabile che una violazione comporti un rischio elevato per i diritti e le libertà delle persone, il GDPR afferma che è necessario informare le persone interessate direttamente e senza indebito ritardo. In altre parole, il più presto possibile.