Parte seconda (la prima la trovate qua) del nostro articolo sulla GDPR e sulle conseguenze che il Regolamento Generale sulla Protezione dei Dati, che entrerà in vigore il prossimo 25 maggio, avrà su piccole e medie imprese.
DISCLAIMER: come nella prima parte, ripeto anche qua che la lettura di qualche articolo sul tema non equivale ad una consulenza da parte di un esperto legale. Malgrado faccia solo bene informarsi e farsi un’idea del regolamento, per evitare spiacevoli sorprese dovute al “fai-da-te”, meglio chiedere la consulenza a professionisti qualificati.
Riservatezza e Consenso
Entrando nel particolare sulla riservatezza dei dati e l’acquisizione del consenso, il GDPR richiede che venga dato il consenso o che ci sia una buona ragione per elaborare o archiviare informazioni personali. A parte ciò, il soggetto della raccolta dei dati conserva il diritto di sapere quali informazioni vengono collezionate, di richiedere l’eliminazione sicura (cioè non recuperabile da parte dell’azienda) dei propri dati — a cui l’azienda può opporsi nel caso non vi sia un motivo giustificato per non farlo. Inoltre i sistemi su cui sono conservati i dati devono implementare misure di sicurezza ben definite, seguendo i principi di “privacy by design” (che incorpora la privacy fin dalla progettazione del processo di gestione aziendale) e di “privacy by default” (per cui l’accesso ai dati è strettamente controllato e viene fornito solo quando richiesto dagli scopi aziendali).
Nel caso avvenga una violazione delle procedure menzionate sopra, o i dati vengano persi o rubati, devono essere avvisate le autorità e, eventualmente, va notificato l’accaduto ai possessori dei dati. Conseguenze del principio di “privacy by default”: i dati non possono essere utilizzati per scopi diversi dalla motivazione fornita al momento della raccolta e, una volta venuta meno la necessità legata alla raccolta, i dati devono essere cancellati in modo sicuro.
La descrizione delle misure elencate sopra dovrà poi entrare a far parte dell’informativa sulla privacy presentata ai possessori dei dati da raccogliere, esplicitando quali dati vengono richiesti, per cosa vengono usati e chi è autorizzato ad accedervi. È inoltre necessario indicare in che modo vengono protetti i dati e quale procedura verrà attuata in caso di violazioni.
Diritto alla portabilità e all’oblio dei dati
Infine, chi raccoglie i dati deve predisporre anche procedure per supportare l’esercizio dei diritto all’oblio (cancellazione) e alla portabilità (esportazione) da parte dei proprietari dei dati. Per entrambe le richieste, tutti i dati personali devono essere cancellati o resi facilmente accessibili entro 30 giorni dal ricevimento della richiesta.