Posso acquistare o vendere dati personali raccolti da elenchi pubblici, siti web e social media?
La raccolta e il trattamento di dati personali recuperati su siti pubblici e social media deve essere effettuata sulla base di consenso libero, informato e granulare, cioè specifico per ognuna delle finalità che si intendono perseguire e acquisito in via preventiva, cioè preliminarmente a che il trattamento stesso abbia a compiersi; ove questi parametri non fossero soddisfatti, il trattamento non potrebbe dirsi legittimo. I dati illegittimamente trattati non sono cedibili e vanno cancellati immediatamente. La violazione di questi chiari principi, espone chi disattendesse la norma a sanzioni amministrative. Nessuno è proprietario degli altrui dati personali, che, al più, può solo trattare in ottemperanza alla normativa vigente.
Che cos’è il GDPR?
Il GDPR (General Data Protection Regulation) è il Regolamento Europeo 679/2016 in materia di protezione dei dati personali, applicato in tutti i Paesi dell’Unione Europea dal 25 maggio 2018.
Esempi di dati personali?
Codice fiscale, nominativo, indirizzo, numero di telefono, IP, indirizzo email, fotografia ecc. Sinteticamente un dato personale è qualunque informazione riconducibile ad un individuo, è, cioè, ciò che consente, direttamente o indirettamente, l’identificazione specifica di una persona fisica. Alcune categorie di dati (come ad esempio dati genetici, stato di salute, orientamento sessuale politico) sono considerati particolari e richiedono misure aggiuntive di protezione.
Esempi di trattamento di dati personali?
Raccolta, registrazione, cancellazione, modifica, raffronto, diffusione, consultazione, estrazione, selezione, utilizzo, ecc.
Sanzioni Gdpr?
Il Gdpr prevede sanzioni in caso di violazione, con multe fino a 20 milioni di Euro o fino al 4% del fatturato annuo globale dell’esercizio precedente, se superiore.
Il Gdpr non si applica a dati personali presenti su archivi cartacei?
Falso. Si applica anche anche a dati presenti su supporto cartaceo.
Il GDPR si applica alla mia attività?
Se hai un’impresa o studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei obbligato ad adeguarti al GDPR.
Quali sono le mie responsabilità come impresa o professionista?
E’ necessario adottare tutte le misure di protezione dei dati previste dal Gdpr. Seguono alcuni degli adempimenti per adeguarsi al GDPR:
informa in modo chiaro e semplice i tuoi clienti, i tuoi dipendenti e gli altri interessati circa le modalità di trattamento dei loro dati: chi è il titolare del trattamento, perché i dati vengono trattati, per quanto tempo verranno conservati e a chi devono essere comunicati;
chiedi in modo esplicito il consenso delle persone di cui raccogli i dati; in caso di minori, verifica il limite di età per chiedere il consenso dei genitori;
rispondi alle richieste degli interessati: il GDPR conferisce a tutte gli interessati dei diritti per conoscere chi tratta i loro dati e perché, per richiedere aggiornamenti o cancellazione (oblio), per opporsi al marketing diretto e alla profilazione, oltre che il diritto di trasferire i propri dati ad un’altra azienda (cosiddetta portabilità);
in caso di violazioni di dati personali (noto come data breach) dovrai tempestivamente comunicarlo (e comunque non olte 72 ore) al Garante per la protezione dei dati;
nel caso in cui tu intenda affidare operazioni di trattamento a fornitori o altri soggetti esterni (ricorso a responsabili del trattamento) sarà opportuno verificare che diano sufficienti garanzie circa la loro Gdpr compliance.
Utile la lettura della sintesi messa a disposizione dal Garante: https://www.garanteprivacy.it/home/doveri
La gestione di un sito web deve rispettare il Gdpr?
Sì. E’ necessario acqisire opportuni consensi e mettere su ogni pagina il link ad una policy privacy. Per esempio, se utilizzate Google maps o Google analytics, i cookies di terze parti potrebbero geolocalizzare e profilare l’utente del vostro sito. Di ciò l’utente dovrà esserne informato nell’informativa breve sui cookies e nell’informativa dettagliata sulla privacy policy e un banner dovrà chiedere specifico consenso.
Invio newsletter, devo fare qualcosa?
E’ opportuno dare all’utente idonea informativa, chiedere il consenso specifico per l’invio e garantirne la revoca in qualsiasi momento.
Ho un sistema videosorveglianza nel negozio/ufficio/magazzino. Cosa devo fare?
Deve essere chiaramente indicata, con apposita cartellonistica prima del raggio di ripresa video, la presenza di telecamere. Se vi sono dipendenti, l’installazione delle telecamere è subordinata alla preventiva autorizzazione dall’Ispettorato del lavoro. I dipendenti devono ricevere idonea informativa.
La normativa è ampia e complessa, vi sono numerosi adempimenti che per esigenze di sintesi non sono stati elencati. L’adempimento comporta approfondite conoscenze informatiche e giuridiche.
Ci rappresentiamo disponibili per proporvi soluzioni efficaci e specifiche per la tua attività. Contattaci senza impegno.