Importanza della protezione dei dati personali

La privacy dei dati è essenziale per proteggere i dati personali e mantenere la libertà in un mondo digitale sempre più interconnesso.

Di seguito alcuni buoni motivi per proteggere i dati:

• Garantire i tuoi diritti: Hai un diritto fondamentale alla privacy, come discuteremo di seguito. Le leggi sulla privacy dei dati esistono per tutelare i tuoi diritti.
• Proteggi le tue informazioni personali: La privacy dei dati è essenziale per mantenere la riservatezza delle tue informazioni sensibili, come nome, indirizzo, dettagli finanziari, cartelle cliniche, ecc.
• Contrasta le violazioni dei dati: Poiché le violazioni dei dati sono in aumento(nuova finestra), i tuoi dati sono sempre più vulnerabili. Le misure per la privacy dei dati possono proteggere le tue informazioni personali dal rischio di fughe di notizie.
• Prevenire gli attacchi informatici: Hacker malintenzionati e criminali informatici prendono di mira i dati personali per frodi, furti d’identità(nuova finestra) e altri reati. Dando priorità alla privacy dei dati, le organizzazioni possono impedire che tu diventi vittima di questi atti.
• Blocca la sorveglianza dei Big Tech surveillance: Giganti tecnologici come Google e Facebook raccolgono quante più informazioni personali possibili su di te per targetizzarti con pubblicità(nuova finestra). Le misure per la privacy dei dati possono fermare i Big Tech dall’invadere la tua privacy.
• Ferma le molestie: Se i tuoi dettagli personali vengono rivelati, puoi diventare un bersaglio per abusi. La privacy dei dati può proteggerti dal cyberbullismo, cyberstalking e altre forme di molestie.
• Garantire la conformità: Le misure per la privacy dei dati sono essenziali per rispettare le leggi e i regolamenti sulla protezione dei dati in diversi paesi.
• Mantenere la fiducia: Aziende e altre organizzazioni si basano sulla fiducia per funzionare. Se gestiscono i nostri dati in modo trasparente, possiamo fidarci di loro e utilizzare i loro servizi.
• Difendi le tue libertà civili: Nell’era della sorveglianza di massa governativa(nuova finestra), le misure per la privacy dei dati possono proteggerti da un monitoraggio ingiustificato da parte delle agenzie governative.
• Proteggi la libertà: Poter esprimere la propria opinione in privato e avere un proprio spazio privato senza essere monitorati o censurati è vitale in una società libera. La privacy dei dati è fondamentale per mantenere la verità e potenziare i cittadini(nuova finestra) in una democrazia.

Panoramica sul principio di minimizzazione dei dati

Cosa significa il principio di minimizzazione nel GDPR? Ciò comporta che i titolari del trattamento dati non possono raccogliere più dati di quanti ne siano effettivamente necessari per la finalità del trattamento stesso e che questi dati devono essere mantenuti solo per il tempo necessario per raggiungere tale scopo.

Definizione del Principio di Minimizzazione dei Dati

Significato e obiettivi

l principio di minimizzazione richiede che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”

Riferimenti normativi nel GDPR

L’art. 5 del Regolamento Europeo 679/2016 (G.D.P.R.) enuncia il principio della “minimizzazione dei dati”, e nello specifico la lettera c) testualmente riporta:

“1. I dati personali sono: … c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (minimizzazione dei dati)”.

Cosa si intende, quindi, per “minimizzazione”? Il principio in argomento era già stato sviluppato dal D. L.gs 196/2003 (Codice Privacy), negli articoli 3, dove si illustrava il “principio di necessità del trattamento dei dati”, e 11 lett. d), che imponeva il rispetto del principio di pertinenza, completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati.

Fondamenti Normativi

Articolo 5 del GDPR: Principi relativi al trattamento dei dati personali

Principi applicabili al trattamento di dati personali

1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

Articolo 6 del GDPR: Liceità del trattamento

1 – Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

1. l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
2. il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
3. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
4. il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
5. il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
6. il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2 – Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

Linee guida del Garante per la protezione dei dati personali

Le linee guida del Garante mirano a fornire indicazioni di carattere generale in relazione al trattamento di dati personali in vari ambiti, al fine di garantire la corretta applicazione dei princìpi stabiliti dal Codice.

La Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento: dai diritti dell’interessato ai doveri dei titolari; dalla trasparenza sull’uso dei dati personali alla liceità del loro trattamento.

Specifica attenzione viene rivolta ai contenuti, ai tempi e modalità con cui il titolare deve: fornire l’informativa all’interessato; valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali; provvedere alla designazione del Responsabile della protezione dei dati. Proprio il RPD è una delle novità introdotte dal Regolamento, una figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.

Nella Guida, il Garante ricorda che con il GDPR la privacy da obbligo avvertito solo in maniera formale diventa parte integrante delle attività di un’organizzazione, che è tenuta al rispetto del principio di responsabilizzazione (“accountability”), in base al quale il titolare deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.

Applicazione Pratica del Principio di Minimizzazione

Raccolta dei dati: determinare quali informazioni sono realmente necessarie

Le classiche domande CHI, A CHI, DA CHI, COSA, COME, QUANDO, DOVE possono sicuramente aiutare a raccogliere tutti gli elementi utili.

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

• liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
• limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
• minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
• esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
• limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
• integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento

Il Regolamento, come già previsto dal Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

• consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Trattamento dei dati: limitare l’uso ai fini specifici dichiarati

Il diritto di limitazione del trattamento non costituisce una novità sul piano legislativo europeo, in quanto trova il suo “antenato” nel c.d. “congelamento dei dati”, anche definito “blocco”,  disciplinato dall’art. 12 lett. b) della Direttiva 95/46/CE, attuato nell’ordinamento italiano con l’art. 7 comma 3 d.lgs. 196/2003, e nell’art. 15 del Regolamento CE 45/2001 sulla tutela delle persone fisiche con riferimento al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

L’art.18 del Regolamento è stato introdotto nel Codice della privacy dal d.lgs.101/2018, aggiungendo nella Parte I (Disposizioni generali), Titolo I (Principi e disposizioni generali) il Capo III (Disposizioni in materia di diritti dell’interessato), composto dagli art. 2-undecies (Limitazione ai diritti dell’interessato), art. 2-duodecies (Limitazioni per ragioni di giustizia) ed infine art. 2-terdecies (Diritti riguardanti le persone decedute).

Dal punto di vista tecnico, la limitazione è definita dall’art. 4 par. 1 n. 3 come «il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro», cioè consiste nel marcare i dati oggetto della richiesta dell’interessato per distinguerli dagli altri dati personali, non oggetto di limitazione. Non appena il titolare del trattamento riceve la richiesta dell’interessato, deve apporre il contrassegno, con modalità che rendano evidente la marcatura, e, successivamente, escluderle dal trattamento. Con la limitazione non viene meno il contrassegno, ma lo si trasforma, al fine di rendere visibile l’esistenza della limitazione.

Conservazione dei dati: mantenere le informazioni solo per il tempo necessario

Il GDPR non definisce un termine per il trattamento dei dati, ma stabilisce il principio di limitazione del trattamento: i dati possono essere conservati solo per il tempo necessario al raggiungimento delle finalità per cui sono stati acquisiti. Salvo poi casi specifici definiti dalla stessa normativa europea.

Il periodo di conservazione dei dati personali – cosiddetta “data retention” – è uno degli elementi basilari della protezione dei dati. È pertanto di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali, e le conseguenti criticità.

Criteri volti a stabilire in modo uniforme modalità e tempi di conservazione secondo parametri ufficiali la cui definizione spetta all’Autorità garante che dovrebbe inoltre sollecitare i vari portatori di interesse (associazioni di categoria, ordini professionali) a fornire indicazioni che possano fungere da base comune per la definizioni di prassi condivise e che riducano il libero arbitrio.

Precisiamo anzitutto che cosa si intenda per “data retention”, e come nasca l’esigenza di stabilire un periodo di conservazione oltre il quale i dati personali debbono essere cancellati.

Per “data retention” si deve intendere, appunto, il “periodo di conservazione dei dati”. Il Regolamento UE n. 679/2016 (GDPR), non ha previsto sostanzialmente nulla di nuovo rispetto al Codice Privacy (D.lgs. 196/2003) il quale già contemplava, all’art. 11, che i dati personali dovessero essere: “conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”, per quanto non ne richiedesse la comunicazione esplicita all’interessato.

La esigenza di stabilire un periodo di conservazione dei dati, invero, nasce in materia normativa sui sistemi di gestione, che trova una declinazione specifica nell’ambito della sicurezza delle informazioni (cfr. ISO/IEC 27001). Si tratta, infatti, di un tempo conservativo, come lo è richiesto ad esempio per i dati di backup.

Benefici della Minimizzazione dei Dati

Riduzione del rischio di violazioni dei dati

La raccolta illimitata di dati personali ha avuto troppe ripercussioni, come pubblicità mirata e modelli invasivi di comportamento ai danni del consumatore. L’eliminazione di dati personali al termine del loro legittimo utilizzo ne garantisce la privacy.

Aumento della fiducia da parte degli utenti

E’ risaputo che i consumatori sono più inclini ad acquistare da aziende trasparenti sulle loro politiche di dati. La trasparenza non è solo una questione etica, ma anche un’opportunità di business.

Conformità alle normative sulla protezione dei dati

I vari organismi normativi, come GDPR, HIPAA, CCPA, ecc. incaricano le organizzazioni affinché raccolgano e mantengano solo i dati necessari a fornire prodotti e servizi pertinenti. La pratica della minimizzazione dei dati aiuta le organizzazioni a soddisfare queste norme di conformità

Sfide Comuni nell’Implementazione

Tendenza a raccogliere dati eccessivi

La raccolta dei dati è un aspetto cruciale delle operazioni di qualsiasi azienda, poiché fornisce le basi per prendere decisioni informate e acquisire informazioni preziose. Nell’era digitale di oggi, dove i dati sono abbondanti e facilmente accessibili, le organizzazioni hanno numerosi metodi a disposizione per raccogliere informazioni rilevanti. Tuttavia, è essenziale affrontare la raccolta dei dati con cautela e dare priorità alla privacy dei dati aziendali per mantenere la fiducia dei clienti e rispettare le normative.

Strategie per Garantire la Minimizzazione dei Dati

Formazione e sensibilizzazione del personale

La formazione privacy del personale è spesso trascurata e imprese ed enti, ritenendola talvolta superflua, decidono di non svolgerla o di limitarla a un breve video o a poche slide in cui non si affrontano adeguatamente le questioni relative al trattamento dei dati personali.

In assenza di un’adeguata formazione, però, i dipendenti che, nello svolgimento delle loro attività, trattano dati personali, non possono comprendere il ruolo che rivestono nella gestione dei dati personali, non riescono ad avere gli strumenti per capire come trattarli nel rispetto della normativa di settore e delle istruzioni ricevute e rischiano di commettere errori che possono ricadere sull’organizzazione di appartenenza.

L’obbligo di istruire chiunque tratti dati personali sotto l’autorità del titolare o del responsabile del trattamento è previsto dagli articoli 29 e 32 del Regolamento UE 2016/679 (noto anche come GDPR).

È vero che le istruzioni potrebbero essere fornite attraverso le modalità più varie, ma occorre che il personale comprenda quanto viene indicato e ciò è possibile solo attraverso la partecipazione a corsi di formazione sviluppati in modo da fornire ai partecipanti gli strumenti necessari per trattare i dati con consapevolezza ed evitare gli errori che potrebbero essere commessi nello svolgimento delle attività di competenza.

La formazione consente di sensibilizzare il personale, responsabilizzarlo, prepararlo a svolgere le operazioni di trattamento e, di conseguenza, permette di limitare i rischi derivanti dalla perdita di riservatezza, integrità e disponibilità dei dati, rientrando, di fatto, tra le misure la cui adozione si rende necessaria, anche ai fini dell’accountability.

Implementazione di politiche aziendali chiare

Il Modello Organizzativo Privacy (MOP) è un documento strategico e operativo adottato dalle organizzazioni per gestire e proteggere i dati personali, in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR) e le normative nazionali correlate.

Il MOP serve a organizzare le politiche interne in materia di protezione dei dati, garantendo che i dati personali trattati siano sicuri e gestiti in modo conforme alle leggi. Il GDPR introduce il principio di “accountability”, o responsabilizzazione, secondo cui i titolari del trattamento dei dati non devono solo rispettare la legge, ma anche dimostrare attivamente la loro conformità.

Lo scopo del MOP è quello di fornire un quadro chiaro che disciplini tutte le attività di trattamento dei dati personali, includendo l’implementazione di politiche, misure di sicurezza e procedure operative per mitigare i rischi.

Inoltre, il MOP facilita la gestione del ciclo di vita dei dati personali, dall’acquisizione alla conservazione, fino alla loro eliminazione, con particolare attenzione alla protezione contro gli accessi non autorizzati e le violazioni. La sua adozione è particolarmente rilevante in settori che trattano dati sensibili, come quello sanitario, finanziario o legale, dove la gestione e la protezione delle informazioni è una priorità.

Il ruolo del MOP nella compliance al GDPR è quello di agire come strumento di governance, dimostrando che l’organizzazione ha messo in atto tutte le misure necessarie per prevenire illeciti e violazioni. Oltre a essere un documento gestionale, esso funge da prova tangibile che l’organizzazione rispetta i diritti degli interessati, come il diritto di accesso, rettifica e cancellazione dei dati, fornendo un mezzo efficace per gestire eventuali audit e ispezioni da parte delle autorità di vigilanza, come il Garante della Privacy.

Utilizzo di tecnologie che supportano la minimizzazione

È importante, per le aziende, puntare sulla minimizzazione dei dati in quanto non è il numero delle informazioni personali possedute a fare diventare il dato strategico per l’azienda, piuttosto la qualità e l’esattezza dei dati.

L’art. 5 del GDPR prevede che i dati debbano essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati“. Quindi non devono essere trattati (cioé nemmeno raccolti) dati non necessari rispetto alla finalità per la quale vengono raccolti e trattati. Nel caso in cui sia possibile utilizzare  dati anonimizzati o pseudonimizzati per il raggiungimento dell’obiettivo, si dovrebbe evitare del tutto l’utilizzo dei dati personali. La minimizzazione dei dati deve essere prevista fin dalla progettazione del trattamento (privacy by design e by default).

Esempi Pratici di Minimizzazione dei Dati

Form di registrazione online: richiedere solo le informazioni essenziali

I moduli di registrazione vengono utilizzati dalle aziende per iscrivere i clienti ad abbonamenti, servizi o altri programmi o piani. Un modulo di registrazione è un documento composto da una serie di campi che una persona compila e consegna a un’azienda o a un individuo per registrarsi a un evento, programma, iscrizione, elenco e così via.

In base ai principi di necessità e pertinenza di cui all’art. 11 del Codice privacy, il titolare deve trattare i soli dati che abbiano una stretta correlazione con la finalità che si intende perseguire.

Non è cioè possibile richiedere qualsiasi dato all’utente attraverso i campi inseriti in un form online, ma occorre limitare la richiesta a quelle informazioni che siano funzionali alla finalità perseguita.

Prestare attenzione nella fase di scelta dei dati da richiedere, tenendo conto, a tal fine, della funzione del form inserito sul sito e delle finalità per cui si intendono utilizzare i dati richiesti.

Programmi di fidelizzazione: limitare la raccolta di dati personali

Quello delle carte e dei programmi di fidelizzazione è un fenomeno sempre più diffuso che coinvolge un´ampia fascia della popolazione: interessa il settore della grande distribuzione (supermercati), ma anche la prestazione di servizi nei trasporti, nel credito, nella telefonia, nell´editoria, nel noleggio. Tramite le carte di fidelizzazione vengono attribuiti vantaggi di varia natura (sconti per l´acquisto di prodotti, premi o bonus correlati, priorità, servizi accessori, facilitazioni di pagamento), di regola in base al volume di spesa complessivo realizzato. Il rilascio delle carte (spesso mediante compilazione di questionari) e la loro utilizzazione (con la registrazione di beni e servizi effettuati) comportano un trattamento di dati personali dei clienti e, a volte, dei loro familiari. Accanto a dati anagrafici sono spesso raccolte ulteriore informazioni, quali ad esempio titolo di studio, professione, interessi, abitudini di consumo, modalità di acquisto etc.

Tali informazioni, tuttavia, vengono spesso utilizzate, senza che gli interessati ne abbiano piena conoscenza e possano acconsentire al loro uso, anche per monitorare in dettaglio i loro comportamenti o le loro propensioni al consumo, per creare cioè “profili” individuali o di gruppo o per confrontare le loro abitudini di consumatori con altri clienti. In alcuni casi vengono trattati anche dati sensibili (salute, adesioni a partiti o religioni, scelte di vita etc.) il cui trattamento, di regola, non è lecito per gli scopi legati al rilascio delle carte o per il direct marketing.

Il primo obbligo per chi rilascia carte di fedeltà è quello di informare in maniera chiara e completa i clienti sull´uso che verrà fatto dei dati che li riguardano, tenendo conto delle diverse finalità perseguite. L´informativa al cliente deve essere chiaramente evidenziata all´interno dei moduli di sottoscrizione ed essere agevolmente individuabile rispetto alle altre clausole del regolamento. In particolare, deve essere posta in evidenza l´eventuale attività di profilazione o di marketing evidenziando che, per questi ultimi due usi, il conferimento dei dati e il consenso sono liberi e facoltativi. Non è lecito condizionare l´adesione al programma di fidelizzazione all´espressione del consenso anche per l´uso di dati a scopi di profilazione e marketing.

Le aziende, ha poi stabilito il Garante, devono ridurre al minimo l´uso delle informazioni personali e devono comunque utilizzare solo informazioni pertinenti e non eccedenti.

In particolare per quanto riguarda poi la fidelizzazione, viene stabilito che possono essere trattati, senza che sia necessario acquisire il consenso dell´interessato, solo dati necessari per attribuire i vantaggi connessi all´utilizzo della carta, cioè dati per consentire l´identificazione dell´intestatario e, di regola, i dati relativi al volume di spesa globale realizzato, senza riferimento al dettaglio dei singoli prodotti acquistati.

Per l´attività di profilazione, invece, occorre il consenso dell´interessato per il trattamento delle informazioni relative agli acquisti effettuati. Non è lecito utilizzare a fini di profilazione dati sensibili, con particolare riguardo a quelli riguardanti lo stato di salute.

Riguardo all´attività di marketing possono essere raccolti, sempre con il consenso dell´interessato, i dati necessari all´invio di materiale pubblicitario o di comunicazioni commerciali.

Per quanto riguarda il tempo di conservazione dei dati personali dei clienti, relativi al dettaglio degli acquisti, l´Autorità ha stabilito che per quelli raccolti a fini di profilazione non può superare un anno, mentre per quelli raccolti a fini di marketing non può superare i due anni.

É obbligatorio, infine, adottare le necessarie misure di sicurezza per evitare rischi di manomissione, furto o perdita dei dati. Nel caso di uso dei dati a fini di profilazione è obbligatorio comunicare l´avvio del trattamento al Garante.

Newsletter: raccogliere solo l’indirizzo email necessario

La newsletter è uno strumento di email marketing incredibilmente potente. È un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma potrebbe anche costarti caro se non osservi gli obblighi di legge. Se stai pensando o stai già effettuando attività di invio di newsletter, hai l’obbligo legale di dotarti di una privacy policy completa, dal momento che raccogli dati personali dei tuoi utenti.

Quando si tratta di conformità, è sempre consigliabile approcciare le proprie attività di trattamento dei dati tenendo conto delle più severe normative applicabili. Per quanto riguarda le newsletter e l’email marketing, la conformità dovrebbe includere almeno i seguenti passaggi:

Definisci:

• i tuoi servizi;
• i dati che raccogli;
• le finalità del trattamento;
• le tipologie di comunicazioni che puoi inviare;
• il tuo metodo di consegna.

Informa gli utenti:

• di eventuali fornitori di terza parte coinvolti nel processo di gestione della newsletter e includi i link ai relativi documenti sulla privacy;
• dei diritti sui loro dati (incluso il diritto a revocare il consenso).

Ottieni un consenso preventivo (in base alla normativa locale) che sia:

• basato su una chiara azione affermativa;
• informato;
• specifico

Offri la possibilità di revocare il consenso. Questa opzione dev’essere:

• disponibile nella newsletter stessa;
• chiaramente visibile;
• semplice da capire.

Tieni un registro dei consensi raccolti.

Se rientri nell’ambito di applicazione del GDPR (cosa molto probabile), devi registrare in modo chiaro tutti i consensi acquisiti. Senza registro, i consensi raccolti non sono validi. Il registro dei consensi deve includere queste informazioni:

• quando e come il consenso è stato prestato;
• da chi;
• il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
• le informative legali o privacy in vigore quando il consenso è stato raccolto.

Ruolo del Responsabile della Protezione dei Dati (DPO)

Monitoraggio della conformità al principio di minimizzazione

l Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:

• eventi a seguito di data breach;
• situazioni di non conformità emerse nel corso di un audit – non necessariamente condotte dal DPO ma anche su suo mandato come previsto dall’Art. 39 1b – per avviare i necessari trattamenti e le eventuali azioni correttive;
• segnalazioni e reclami degli interessati, non necessariamente riconducibili ad eventi che minano la sicurezza delle informazioni;
• richiesta da parte di un autorizzato o del Titolare del trattamento che potrebbero avere la necessità di comprendere qual è la posizione migliore da assumere in una specifica condizione.

In ogni caso, il DPO deve effettuare le sue analisi considerando il bilanciamento tra due aspetti:

• il livello di approfondimento delle indagini, che deve permettere di avere tutti gli elementi per poter valutare la specifica situazione, sia essa di data breach od una richiesta da parte di un altro soggetto;
• la necessità di applicare, nella raccolta dei dati, il principio di minimizzazione, ovvero trattare solo le informazioni strettamente necessarie al completamento delle indagini, per poi formulare la relazione o fornire il parere richiesto.

Trovare il giusto equilibrio tra tali posizioni è uno dei motivi per cui al DPO si richiedono preparazione specifica ed esperienza.

Consulenza su pratiche di raccolta e trattamento dei dati

La protezione dei dati personali è centrale per qualsiasi organizzazione. Una gestione efficace del GDPR previene sanzioni, consolida la fiducia dei clienti e valorizza la reputazione. La Data Protection rappresenta più di un semplice adempimento normativo: è un asset strategico che ottimizza i processi e genera valore concreto. I nostri servizi di consulenza GDPR ti accompagneranno in questo percorso trasformativo, lungo il quale gli obblighi legali si trasformeranno in reali opportunità di sviluppo e innovazione, la conformità GDPR in un vantaggio competitivo.

Se hai incontrato difficoltà nel redigere e implementare un efficace Modello Organizzativo Privacy, affidati ai nostri esperti, che ti affiancheranno con le nostre attività di Consulenza Privacy GDPR e Data Protection.

Formazione continua del personale

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle aziende e di tutte le altre organizzazioni. Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti che compiono quotidianamente operazioni di trattamento di dati personali.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.
È opportuno che la formazione sia erogata da società di consulenza e professionisti esperti del settore. Qualora presente in azienda, l’incarico della formazione può essere anche conferito al DPO.