62 lines
6.2 KiB
Markdown
62 lines
6.2 KiB
Markdown
# Scheda n°12: Informa gli utenti
|
||
|
||
#### Il principio di trasparenza del GDPR richiede che ogni informazione relativa al trattamento di dati personali sia concisa, trasparente, comprensibile e facilmente accessibile in linguaggio chiaro e semplice.
|
||
|
||
## Chi informare, e quando?
|
||
|
||
* Gli interessati devono essere informati:
|
||
|
||
* sia **nel caso di raccolta diretta dei dati**, per esempio quando i dati sono raccolti direttamente dagli interessati (ad es. moduli, acquisti online, sottoscrizione di un contratto, apertura di un conto corrente bancario) oppure tramite strumenti o tecnologie che monitorano l’attività delle persone (ad es. analisi della navigazione Internet, geolocalizzazione e analytics o tracciamento Wi-Fi per la misura del pubblico, ecc.);
|
||
|
||
* che **nel caso di raccolta indiretta di dati personali**, quando i dati non sono raccolti dai diretti interessati (ad es.: dati ottenuti da partner commerciali, *data broker*, fonti pubblicamente disponibili, o altro).
|
||
|
||
* Le informazioni devono essere fornite:
|
||
* **prima dell’avvio della raccolta di dati**, nel caso di raccolta diretta;
|
||
* **il prima possibile nel caso di raccolta indiretta** (tutt’al più al primo contatto con la persona) e non oltre un mese dalla raccolta (con alcune [eccezioni](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-be-informed/#exceptions));
|
||
* **nel caso di modifiche sostanziali al trattamento o di eventi particolari**. Per esempio: nuova finalità, nuovi destinatari, modifiche al modo in cui si possono esercitare i diritti, [data breach](#Scheda_n°1:_Identifica_i_dati_personali).
|
||
|
||
## Quali informazioni devo fornire?
|
||
|
||
* In tutti i casi, devi specificare:
|
||
|
||
* **L’identità e i contatti dell’organizzazione** che tratta i dati (chi tratta i dati?) ;
|
||
* **Le finalità** (per cosa saranno usati i dati raccolti?);
|
||
* **La base giuridica** su cui si fonda il trattamento (vedi tutte le [**informazioni sulla base giuridica**](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/));
|
||
* **La natura obbligatoria o facoltativa della raccolta di dati** (la qual cosa richiede una riflessione a monte riguardo all’utilità della raccolta rispetto alla finalità perseguita – il principio di “minimizzazione” dei dati) e le **conseguenze per l’interessato** nel caso decida di non fornire i dati;
|
||
* **I destinatari o le categorie di destinatari dei dati** (chi, per le finalità dichiarate, ha bisogno di accedere ai dati, o di riceverli, inclusi eventuali responsabili esterni?) ;
|
||
* **Il periodo di conservazione dei dati** (o i criteri per determinarlo);
|
||
* **L’esistenza dei diritti dell’interessato e il modo in cui può esercitarli** (diritti di accesso, rettifica, cancellazione, opposizione sono applicabili a tutte le operazioni di trattamento) ;
|
||
* **I contatti del responsabile per la Protezione dei Dati/Data Protection Officer** dell’organizzazione, se nominato, o della persona che segue le problematiche relative alla protezione dati;
|
||
* **Il diritto di presentare reclamo all’Autorità Garante.**
|
||
|
||
* In certi casi particolare bisogna fornire informazioni ulteriori, come per esempio nel caso che i dati siano trasferiti al di fuori della UE, nel caso di profilazione o decisioni automatizzate, o quando la base giuridica del trattamento è il legittimo interesse di chi raccoglie i dati (Titolare); (v. le [linee guida sulla trasparenza](https://www.cnil.fr/sites/default/files/atoms/files/wp260_enpdf_transparency.pdf) per ulteriori informazioni).
|
||
|
||
* Nel caso di raccolta indiretta dei dati, occorre specificare anche:
|
||
|
||
* **Le categorie di dati** raccolti;
|
||
* **L’origine dei dati** (indicando in particolare se vengono da fonti pubblicamente disponibili).
|
||
|
||
## In quale forma devo fornire queste informazioni (informativa)?
|
||
|
||
* Le informazioni devono essere **di facile accesso**: l’utente deve essere in gradi di trovarle senza difficoltà.
|
||
|
||
* **Devono essere fornite in modo chiaro e comprensibile**, ad es. con un vocabolario ridotto (frasi brevi, niente termini tecnici o legali, niente ambiguità) e con informazioni adattate al tipo di pubblico (con particolare attenzione ai minori e alle persone vulnerabili).
|
||
|
||
* **Devono essere scritte in modo conciso**. Per evitare che troppe informazioni distolgano l’utente, è necessario **fornire le informazioni più rilevanti al momento giusto**.
|
||
|
||
* Le informazioni relative alla protezione dei dati devono essere **distinguibili da informazioni non specificamente relative alla privacy (come clausole contrattuali o termini generali e condizioni d’uso).**
|
||
|
||
## Cosa devo comunicare quando la sicurezza dei dati viene compromessa?
|
||
|
||
* **Un’organizzazione può, per errore o negligenza, accidentalmente o in seguito a un attacco, subire una violazione di dati personali, cioè la perdita, alterazione, distruzione o distribuzione non autorizzata di dati**. In questo caso, se l’evento può rappresentare un rischio per i diritti e le libertà fondamentali degli interessati, l’organizzazione deve comunicare l’evento alla propria Autorità Garante **entro 72 ore**.
|
||
|
||
* Se questi rischi sono elevati, l’organizzazione deve anche informare il prima possibile gli interessati, fornendo loro indicazioni su come proteggere i propri dati (ad es. cancellazione di carte di credito compromesse, modifica di password, modifica dei parametri di sicurezza, ecc.).
|
||
|
||
* La notifica della violazione all’Autorità Garante deve avvenire tramite il modulo [sul sito del Garante](https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9128501)
|
||
|
||
## Risorse utili
|
||
|
||
* Il sito [Data & Design](https://design.cnil.fr/en/) (in Inglese) sviluppato dal Digital Innovation Laboratory di CNIL sviluppa questi concetti e contiene [esempi di interfaccia](https://design.cnil.fr/en/concepts/information/).
|
||
* Il sito di CNIL e del Garante contengono anche [molti esempi in Francese](https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation) e in italiano.
|
||
* La [pagina sulle violazioni dei dati personali](https://www.cnil.fr/fr/les-violations-de-donnees-personnelles) sul sito di CNIL (in Francese) ) e del Garante (in Italiano).
|