Dal 25 maggio tutti, dal libero professionista, al blogger alla multinazionale, devono adeguarsi al nuovo GDPR.

C’è chi si affida ai consulenti che stanno cercando di affrontare in autonomia la nuova normativa. Una cosa è certa, uno degli elementi che devono essere a norma è l’informativa sul trattamento dei dati.

Gli articoli dedicati del GDPR sono piuttosto chiari e le prescrizioni abbastanza semplici. Ecco allora una lista di domande da porsi per redigere o aggiustare la vecchia informativa.

1. Chi è il titolare del trattamento, ovvero colui che decide come vengono trattati i dati? Dobbiamo indicare il nome dell’azienda (o del professionista), p.iva, sede, etc.

2. Dove si può contattare? In questo caso suggerisco di creare una mail del tipo privacy@nomeazienda.it.

3. C’è un rappresentante dell’azienda in Italia? Chi è? Dove si può contattare?

4. C’è un DPO, un responsabile della protezione dei dati? Qual è il suo contatto?

5. Come uso i dati che sto chiedendo? Per inviare una newsletter? Per inviare pubblicità? Con che cadenza la invierò? Cederò questi dati a terzi? Vi voglio contattare via mail, sms, telefono o tutte queste opzioni insieme.

6. Qual è la base giuridica in base alla quale chiedo questi dati? Il consenso? O forse sto chiedendo dei dati per mandare un preventivo? O forse perché devo rispettare un obbligo imposto dalla legge? Oppure ho un legittimo interesse? In questo caso devo comunicare qual è il fondamento della mia richiesta.

7. Mi avvalgo di fornitori cui trasmetto i dati che tratto? Posso identificarli? Sono affidabili? Trattano in maniera sicura i dati che trasmetto loro? Cosa è previsto nel loro contratto di fornitura?

8. Questi fornitori dove hanno sede? Fuori dall’UE? La novità è che devo verificare in questo caso che lo Stato dove hanno sede questi fornitori di servizi (molto spesso parliamo di software) abbia un accordo con la Commissione Europea che garantisca una protezione di pari livello. Se non ce l’hanno, la garanzia deve essere prevista nelle condizioni contrattuali. Posso ottenere facilmente i dati che ho trasferito al fornitore?

9. Per quanto tempo conserverò questi dati? Lo posso prevedere in anticipo? Se non lo posso prevedere, quali sono i criteri che adopero per stabilirlo?

10. Ho informato l’ “interessato” di tutti i suoi diritti? Gli ho detto che può cancellarsi dalla newsletter? Che può chiedermi quali dati ho su di lui? Che può scaricare i dati che ho su di lui (se possibile tecnicamente)?

11. Ho informato l’ “interessato” che può revocare il consenso che mi ha dato senza che questo abbia effetto su quanto effettuato fino a quel momento?

12. Ho indicato che può adire il Garante, mettendo almeno un link al suo sito, se pensa che io abbia leso i suoi diritti?

13. Ho informato l’ “interessato” che in base ai dati che mi ha fornito verranno prese delle decisioni automatiche nei suoi confronti? Gli ho detto qual è la logica sottesa e le conseguenze? Gli ho detto che può chiedere che la decisione può essere rivista da un intervento umano, e che può contestare la decisione ed esprimere la propria opinione?

14. Se voglio usare i dati in mio possesso per uno scopo ulteriore, non previsto quando li ho ottenuti, ho informato l’ “interessato” di questo nuovo scopo? Gli ho ricordato che può opporsi?

15. Se ho ottenuto dati da terzi, ho informato l’interessato della provenienza di quei dati? Ad esempio devo comunicare che la mail che sto inviando proviene dal database di email marketing cui ho accesso (sperando che la persona in questione abbia dato il consenso alla cessione dei dati a terzi per finalità di marketing).

(fonte: BUSINESS ADVISOR – powered by WIND TRE BUSINESS)