Regolamento privacy trattamento dei dati

Regolamento sulla privacy: titolare del trattamento dei dati e sicurezza

Blogging

Oggi torno a parlare del Regolamento sul trattamento dei dati personali. Se leggi il mio blog probabilmente non ti sei persa il primo post nel quale ho fornito delle informazioni un po’ generali sull’applicazione del Regolamento e su cosa significa raccogliere i dati personali e quali sono i principi fondamentali del loro trattamento. Oggi vedremo più concretamente chi è responsabile del trattamento dei dati, cosa sono le procedure per il trattamento dei dati e la creazione dei registri.

Inizio dalla spiegazione chi è titolare del trattamento dei dati

L’articolo 4 del Regolamento prevede che il titolare del trattamento dei dati determina le finalità e i mezzi del trattamento di dati personali (quali dati, come e perché raccoglie). Quindi un blogger, proprietario del blog, è il titolare del trattamento dei dati e questo comporta degli obblighi sia all’interno (misure di sicurezza sui dati raccolti) sia all’esterno (informativa alle persone).

Informativa sul trattamento

Il titolare del trattamento deve informare le persone che i loro dati sono raccolti. Il Regolamento all’art. 13 prevede una serie di informazioni obbligatorie da dare:

  • I dati del titolare del trattamento dei dati e il contatto (quindi chi li raccoglie)
  • Le finalità del trattamento (perché sono raccolti)
  • L’intenzionalità di trasferire i dati ai paesi terzi fuori UE (esempio: la sede di alcuni provider per la newsletter dove sono?)
  • Il periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
  • L’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati (quest’ultimo vedremo prossimamente)
  • Il diritto di proporre reclamo a un’autorità di controllo (in Italia è il Garante per la protezione dei dati personali)
  • Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati (pena conclusione del contratto ad esempio.

Attenzione al diverso trattamento dei dati rispetto a quelli previsti originariamente!

Prima di trattare i dati in modo diverso rispetto a quelli previsti all’inizio bisogna acquisire il consenso per il nuovo trattamento. Esempio: le persone che ti lascino sul blog un commento ti lasciano anche l’email (non visibile sul sito, ma visibile nella tua bacheca della piattaforma, se vuoi iniziare a mandare a loro una newsletter devi prima acquisire il loro consenso).

L’informativa sul trattamento dei dati sarà davvero molto lunga questa volta e ciò indiscutibilmente andrà in conflitto con la cosiddetta User Experience! Da un lato le informazioni devono essere ben visibili, ma dall’altro non possono neanche risultare in primo piano e compromettere la navigabilità sul sito. La soluzione potrebbe essere quella di creare delle pagine apposite alle quali si accede dalla home, da un posto visibile oppure cliccando anche su un banner per presa visione.

Cosa bisogna fare per trattare i dati personali raccolti nel rispetto del Regolamento

Il nuovo Regolamento conferma quanto stabilito dal Decreto Legge 5/2012 ovvero non è obbligatorio predisporre un documento programmatico di sicurezza. Dal 25 maggio 2018 sarà il titolare del trattamento a valutare se, tenuto conto dei dati raccolti e dei rischi, è necessario avere questo documento. In ogni caso io consiglio di elaborarlo e di seguito spiego anche perché.

Come procedere all’elaborazione del documento sulla sicurezza?

Ogni titolare del trattamento che decide di dover elaborare la propria politica di sicurezza procede con la descrizione di procedure nei documenti che contengono una serie di informazioni circa la sicurezza dei dati raccolti. L’art. 32 del Regolamento evidenzia che tali misure tecniche e organizzative devono essere adeguate al fine di garantire un livello di sicurezza adeguato al rischio individuato.

Quindi prima bisogna individuare quali dati si raccolgono, come, per quale finalità, dove sono depositati, chi può avere l’accesso, a chi sono trasferiti (ad esempio provider della newsletter, un programma on-line per la fatturazione, un commercialista, eccetera), per successivamente definire come sono protetti (quali misure di protezione abbiamo adottato), ad esempio: aver scelto un provider della newsletter che dichiara di rispettare il nuovo Regolamento, aver protetto con una password sicura il file Excel sul pc dove teniamo i dati personali di chi ha ad esempio partecipato a qualche nostro corso di formazione on-line.

Il Regolamento non impone nessuna misura particolare perché come già scritto sopra esse dovrebbero essere proporzionali rispetto ai dati raccolti e alle modalità di trattamento. Sicuramente dopo il 25 maggio usciranno fuori le cosiddette buone pratiche per alcune situazioni particolari come ad esempio l’e-commerce classico (dove il processo è automatizzato) oppure meno classico (prenotazione di consulenze via e-mail), ma ad oggi non ci sono le indicazioni particolari, se non i principi generali: adeguatezza, proporzionalità ed efficacia.

Registro delle attività del trattamento dei dati

Inizio con dire che il registro delle attività del trattamento NON è richiesto per chi assume meno di 250 dipendenti, quindi per i blogger direi che non sarà obbligatorio (art. 30 del Regolamento).

Tuttavia anche se non è obbligatorio mi sentirei di dire che il registro aiuta a identificare tutti i tipi di raccolta dei dati che si fa e di conseguenza aiuta a organizzare le procedure anche per capire per ogni tipo di raccolta qual è la finalità.

Possiamo sostenere che una finalità equivale ad una raccolta e cosi su un blog possiamo individuare ad esempio questi tipi di raccolte:

  • Utenti del blog (intesi lettori che commentano)
  • Utenti che chiedono le informazioni personalizzate (utilizzano il formulario di contatto)
  • Utenti che hanno acquistato un prodotto digitale
  • Utenti che hanno acquistato un prodotto fisico che necessita la spedizione via posta
  • Utenti ai quali è stata mandata la fattura
  • Utenti ai quali si mandano le informazioni pubblicitarie

Una volta definita la finalità e i tipi di raccolta e più semplice, nell’ambito del registro, descrivere cosa succede con i dati e come sono protetti (e se necessitano di misure di sicurezza e di quali eventualmente). Tutti nello stesso modo oppure alcune misure sono più forti perché alcuni dati sono più importanti (l’indirizzo fisico è più importante dell’e-mail ad esempio e quindi le misure di sicurezza potrebbero essere diverse). Se tutti i dati sono sul pc portatile che spesso porti in giro il rischio di furto è più alto rispetto ad ad pc che sta sempre in casa, vero? Tutti questi elementi vanno considerati, valutati e descritti adeguatamente.

Spero che questo mio post ti abbia chiarito un po’ le idee riguardanti le procedure di trattamento dei dati e la politica di sicurezza. Prossimamente vedremo il trasferimento dei dati ai soggetti terzi, il ruolo del Garante per la protezione dei dati personali e le sanzioni per chi non rispetta le disposizioni del Regolamento.

A presto.
Agnieszka

P.S. Se ti sei persa il primo post riguardante il Regolamento lo puoi recuperare qui:

Il nuovo Regolamento UE sulla privacy che fa tremare (e guadagnare) la rete – parte I

  • come sempre nel tuo stile, l’articolo è stato molto chiaro e utile, grazie Agnieszka! sono curiosa di vedere come si evolve questo argomento, intanto aspetto il tuo prossimo articolo!

  • Grazie mille per i tuoi articoli. Scritto in maniera semplice in chiara come l’hai fatto tu il nuovo regolamento non fa più paura!

  • Priscilla X

    Ciao, scusa, io sono confusa: dal primo articolo avevo capito (forse erroneamente) che siccome non ho newsletter, non vendo nulla e non offro consulenze non avevo bisogno di adeguarmi alla nuova normativa. Però ora parli di dati raccolti attraverso i commenti lasciati dai lettori (per cui nome, e mail e/o sito web). Quindi non so più cosa devo fare…Mi aiuti a capire per cortesia?
    Grazie mille anticipatamente!