adv

Visti i dati sensibili e l’importanza nel GDPR della sicurezza, le aziende dovranno rispettare le direttive del regolamento

All’interno del nuovo regolamento sulla privacy non potevano mancare quelli che sono i doveri e i diritti che le imprese, nel primo caso, e gli utenti, nel secondo,  dovranno e potranno tracciare dal maggio 2018 (data che ormai sappiamo vedrà l’efficacia del Gdpr). Per seguire una linea chiara ed esaustiva, ci soffermeremo prima sulla parte più corposa, dedicata ai doveri da seguire, per poi spostarci su quella più breve legata ai diritti che spettano a coloro che si troveranno di fronte al trattamento dei propri dati personali.

Grazie al sito del Garante per la protezione dei dati personali (garanteprivacy.it) si può avere una visione chiara di circa quelli che sono i doveri che spettano alle imprese che si troveranno a trattare dati sensibili; il sito specifica come quotidianamente possiamo trovarci di fronte all’utilizzo di dati personali altrui, che sia tra parenti, amici o in altre situazioni private, ma quando a trattare questi dati è un’azienda, per finalità legate al proprio business e quant’altro, è fondamentale seguire regole ben precise.

gdpr sicurezza e dati sensibili

Innanzitutto c’è un’informativa, molto chiara, che mette in chiaro come le imprese devono muoversi, circa la ricezione e il trattamento di dati della propria utenza. Il primo passo da seguire è l’informazione, ovvero comunicare all’utente circa quelli che sono i diritti che gli spettano in seguito all’utilizzo dei suoi dati da parte dell’impresa; queste informazioni, sempre secondo quanto riportato dal Garante, sono varie e possono essere riassunte così:

  1. L’azienda dovrà informare l’utente sulla procedura e sul fine di utilizzo del trattamento dei suoi dati personali;
  2. Se concedere i propri dati all’azienda sia obbligatorio o facoltativo;
  3. Se il rifiuto sulla disponibilità di lasciare i dati all’azienda comporti conseguenze o meno;
  4. Venire a conoscenza di chi recepirà i dati e se questi saranno diffusi;
  5. Quali sono i diritti, che l’articolo 7 del Codice prevede (come spiegato nei tre comma dell’articolo del titolo II);
  6. Infine conoscere chi è il titolare, nel momento in cui c’è una nomina, che tratterà i dati personali dell’utente.

Tutte queste informazioni servono per evitare che l’azienda cada in sanzioni, che sono previste dall’articolo 161 del Codice e che variano dai 6.000 ai 36.000 euro (secondo quelle è la prassi amministrativa); è giusto, inoltre, ricordare che l’azienda dovrà seguire l’informativa anche quando i dati sono raccolti indirettamente (basti pensare ad un familiare che fornisce i dati dell’utente) e non, appunto, dal diretto interessato nel momento in cui si verificano due condizioni: o ci sia stato un primo avviso sui dati a terzi o quando questi sono registrati.

Una volta seguito l’iter dell’informativa l’azienda si troverà nella fase di trattazione dei dati; questo è un altro passaggio delicato perché ci sono vari principi che devono essere seguiti, sempre per evitare le sanzioni di cui sopra citate. Trasparenza, legalità, correttezza, funzionalità, competenza, aggiornamento, scopo del trattamento, attinenza, non eccedenza e custodia dei dati (secondo un limite di tempo non superiore a quello della finalità), sono i principi, dettati dall’articolo 11 del regolamento, che non possono essere evitati; a questi va aggiunto un ultimo passaggio: il bisogno di ridurre al minimo l’uso dei dati trattati.

gdpr sicurezza e dati sensibili

Un altro punto, che differisce da soggetto a soggetto, è il consenso; questo è obbligatorio per i privati e gli enti pubblici (soltanto quelli economici) che dovranno ricevere il via libera dall’interessato (dopo aver letto tutta l’informativa) per iscritto, attraverso apposita documentazione. Per i soggetti pubblici, invece, il consenso non è obbligatorio, purché non si vada oltre quelle che sono le proprie funzioni istituzionali (in quel caso servirà il consenso dell’interessato).

Naturalmente esistono dei rischi legati al trattamento dei dati personali, in quel caso quali sono i doveri che l’impresa dovrà seguire? Innanzitutto se ritiene che il trattamento sia rischioso bisognerà informare il Garante per la protezione dei dati prima di iniziare la procedura, informandolo della pericolosità che ne può derivare. In secondo luogo, dovrà cercare di ridurre al minimo gli eventuali rischi, seguendo le misure di sicurezza previste dall’articolo 33 del Codice e dall’Allegato B, in modo da prevenire che possa esserci una perdita di dati, un accesso non consentito o una distruzione degli stessi. Anche in questo caso ci sono severe sanzioni per il mancato rispetto della norma; le sanzioni variano dal pagamento di 10.000 a 120.000 euro (per quanto riguarda l’aspetto amministrativo) all’arresto fino a 2 anni (per quanto concerne la parte penale).

Qualora i rischi del trattamento dati possano ritenersi pericolosi per la libertà e la rispettabilità delle persone interessate (sia per gli effetti che per le modalità o per la natura dei dati trattati) l’azienda può richiedere l’intervento del Garante che provvederà ad una verifica preliminare; sostanzialmente si tratta di un controllo che possa portare all’indicazione di misure specifiche volte alla tutela dell’interessato.

Al temine del trattamento dei dati, infine, dovere dell’azienda è quello di eliminare i dati; di consegnarli a terzi se questi possono seguire gli scopi per i quali i dati sono stati raccolti; ceduti ad un altro titolare, se questo abbia scopi statistici, scientifici o storici; mantenuti per intenti strettamente personali senza la possibilità di divulgazione.

Spiegata tutta la parte legata ai doveri delle aziende, possiamo trattare quella che ci spiega quali sono i diritti degli interessati, quando i propri dati personali sono trattati da un’impresa, per i motivi più disparati. Partiamo subito da due precisazioni, seguendo sempre la normativa del Gdpr, che ci spiegano chi è l’interessato e quali sono ritenuti dati personali; l’interessato è colui che, nel trattamento dati, fornirà i dati anagrafici (es. la residenza, ecc.); i dati personali, invece, sono “le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”.

I diritti degli interessati sono ritenuti fondamentali dal regolamento e si differenziano nei vari aspetti; la prima categoria riguarda il diritto di accesso; questo diritto riguarda la possibilità di richiedere, a titolo gratuito e senza alcuna precisazione specifica, la messa a disposizione di tutti i dati personali utilizzati dal trattamento da parte dell’azienda (su origine, finalità, modalità di trattamento, le categorie di soggetti che potrebbero entrare in possesso dei dati nonché gli estremi di chi tratta i dati).

Un altro diritto, ancora, è quello all’aggiornamento, alla rettificazione e alla cancellazione dei dati personali; in questo caso l’interessato può richiedere una delle tre opzioni qualora ritenga che il trattamento non rispecchia quelle che sono le regole previste dalla legge oppure non ritiene che i dati debbano essere custoditi nel tempo, una volta raggiunto lo scopo del trattamento. Ultimo diritto, è quello definito di “opposizione”; possono esistere casi, infatti, nei quali l’interessato voglia opporsi appunto, al trattamento dei dati. Secondo questo diritto, potrà opporsi per motivi ragionevoli o quando il trattamento dati abbia finalità di marketing (e in questo caso non sarà nemmeno necessaria la motivazione).

Prima di chiudere vogliamo ricordare che gli utenti potranno presentare richiesta formale al titolare dell’azienda che avrà in carico i dati personali per legittimarsi dei propri diritti e che sul sito www.garanteprivacy.it è presente un modello che si potrà utilizzare proprio per tutti i diritti che sono stati spiegati in questo articolo.

Giornalista napoletano freelance. Laureato in Progettazione e gestione dei sistemi turistici. Passione per il giornalismo messa in pratica prima con una breve collaborazione con la testata Napolitan (maggio-giugno 2015) e poi con quella da giugno 2015 a gennaio 2016 con la testata Corretta Informazione .Tra le altre passioni c'è quella per il calcio in generale, la McLaren e per tutto il circus della Formula 1 e i Funko Pop