OpenCloud
/
GDPR-Developer-Guide
mirror of https://github.com/LINCnil/GDPR-Developer-Guide
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
GDPR-Developer-Guide/12-Informa gli utenti.md

62 lines
6.2 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

# Scheda n°12: Informa gli utenti
#### Il principio di trasparenza del GDPR richiede che ogni informazione relativa al trattamento di dati personali sia concisa, trasparente, comprensibile e facilmente accessibile in linguaggio chiaro e semplice.
## Chi informare, e quando?
* Gli interessati devono essere informati:
* sia **nel caso di raccolta diretta dei dati**, per esempio quando i dati sono raccolti direttamente dagli interessati (ad es. moduli, acquisti online, sottoscrizione di un contratto, apertura di un conto corrente bancario) oppure tramite strumenti o tecnologie che monitorano lattività delle persone (ad es. analisi della navigazione Internet, geolocalizzazione e analytics o tracciamento Wi-Fi per la misura del pubblico, ecc.);
* che **nel caso di raccolta indiretta di dati personali**, quando i dati non sono raccolti dai diretti interessati (ad es.: dati ottenuti da partner commerciali, *data broker*, fonti pubblicamente disponibili, o altro).
* Le informazioni devono essere fornite:
* **prima dellavvio della raccolta di dati**, nel caso di raccolta diretta;
* **il prima possibile nel caso di raccolta indiretta** (tuttal più al primo contatto con la persona) e non oltre un mese dalla raccolta (con alcune [eccezioni](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-be-informed/#exceptions));
* **nel caso di modifiche sostanziali al trattamento o di eventi particolari**. Per esempio: nuova finalità, nuovi destinatari, modifiche al modo in cui si possono esercitare i diritti, [data breach](#Scheda_n°1:_Identifica_i_dati_personali).
## Quali informazioni devo fornire?
* In tutti i casi, devi specificare:
* **Lidentità e i contatti dellorganizzazione** che tratta i dati (chi tratta i dati?) ;
* **Le finalità** (per cosa saranno usati i dati raccolti?);
* **La base giuridica** su cui si fonda il trattamento (vedi tutte le [**informazioni sulla base giuridica**](https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/));
* **La natura obbligatoria o facoltativa della raccolta di dati** (la qual cosa richiede una riflessione a monte riguardo allutilità della raccolta rispetto alla finalità perseguita il principio di “minimizzazione” dei dati) e le **conseguenze per linteressato** nel caso decida di non fornire i dati;
* **I destinatari o le categorie di destinatari dei dati** (chi, per le finalità dichiarate, ha bisogno di accedere ai dati, o di riceverli, inclusi eventuali responsabili esterni?) ;
* **Il periodo di conservazione dei dati** (o i criteri per determinarlo);
* **Lesistenza dei diritti dellinteressato e il modo in cui può esercitarli** (diritti di accesso, rettifica, cancellazione, opposizione sono applicabili a tutte le operazioni di trattamento) ;
* **I contatti del responsabile per la Protezione dei Dati/Data Protection Officer** dellorganizzazione, se nominato, o della persona che segue le problematiche relative alla protezione dati;
* **Il diritto di presentare reclamo allAutorità Garante.**
* In certi casi particolare bisogna fornire informazioni ulteriori, come per esempio nel caso che i dati siano trasferiti al di fuori della UE, nel caso di profilazione o decisioni automatizzate, o quando la base giuridica del trattamento è il legittimo interesse di chi raccoglie i dati (Titolare); (v. le [linee guida sulla trasparenza](https://www.cnil.fr/sites/default/files/atoms/files/wp260_enpdf_transparency.pdf) per ulteriori informazioni).
* Nel caso di raccolta indiretta dei dati, occorre specificare anche:
* **Le categorie di dati** raccolti;
* **Lorigine dei dati** (indicando in particolare se vengono da fonti pubblicamente disponibili).
## In quale forma devo fornire queste informazioni (informativa)?
* Le informazioni devono essere **di facile accesso**: lutente deve essere in gradi di trovarle senza difficoltà.
* **Devono essere fornite in modo chiaro e comprensibile**, ad es. con un vocabolario ridotto (frasi brevi, niente termini tecnici o legali, niente ambiguità) e con informazioni adattate al tipo di pubblico (con particolare attenzione ai minori e alle persone vulnerabili).
* **Devono essere scritte in modo conciso**. Per evitare che troppe informazioni distolgano lutente, è necessario **fornire le informazioni più rilevanti al momento giusto**.
* Le informazioni relative alla protezione dei dati devono essere **distinguibili da informazioni non specificamente relative alla privacy (come clausole contrattuali o termini generali e condizioni duso).**
## Cosa devo comunicare quando la sicurezza dei dati viene compromessa?
* **Unorganizzazione può, per errore o negligenza, accidentalmente o in seguito a un attacco, subire una violazione di dati personali, cioè la perdita, alterazione, distruzione o distribuzione non autorizzata di dati**. In questo caso, se levento può rappresentare un rischio per i diritti e le libertà fondamentali degli interessati, lorganizzazione deve comunicare levento alla propria Autorità Garante **entro 72 ore**.
* Se questi rischi sono elevati, lorganizzazione deve anche informare il prima possibile gli interessati, fornendo loro indicazioni su come proteggere i propri dati (ad es. cancellazione di carte di credito compromesse, modifica di password, modifica dei parametri di sicurezza, ecc.).
* La notifica della violazione allAutorità Garante deve avvenire tramite il modulo [sul sito del Garante](https://gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9128501)
## Risorse utili
* Il sito [Data & Design](https://design.cnil.fr/en/) (in Inglese) sviluppato dal Digital Innovation Laboratory di CNIL sviluppa questi concetti e contiene [esempi di interfaccia](https://design.cnil.fr/en/concepts/information/).
* Il sito di CNIL e del Garante contengono anche [molti esempi in Francese](https://www.cnil.fr/fr/rgpd-exemples-de-mentions-dinformation) e in italiano.
* La [pagina sulle violazioni dei dati personali](https://www.cnil.fr/fr/les-violations-de-donnees-personnelles) sul sito di CNIL (in Francese) ) e del Garante (in Italiano).
Reference in New Issue View Git Blame Copy Permalink