I doveri dell'azienda per il GDPR

L’azienda ha numerosi doveri per proteggere i dati e per permettere agli utenti di esercitare in maniera semplice e veloce i loro diritti.

Nel Digital Marketing la maggiore criticità sta nel fatto che i dati sono molto più numerosi e vengono utilizzati per contattare direttamente gli utenti che potrebbero non sempre gradire o considerare lecita l’iniziativa dell’azienda.

Raccolta dei dati

La raccolta dei dati deve sottostare al consenso che deve tutelare sia l’utente che l’azienda. Deve essere espresso mediante un’azione positiva inequivocabile, libera, specifica, informata ed inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento. L’azienda ha l’obbligo di fornire all’utente tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Valutazione di impatto e rischio del trattamento

Obbligatorio per i trattamenti che prevedono l’utilizzo delle “nuove tecnologie”, il titolare del Trattamento ha l’obbligo di individuare misure specifiche per attenuare o eliminare il rischio di compromettere le libertà ed i diritti degli interessati, di distruzione accidentale o illegale, di perdita dei dati, di modifica non voluta, di comunicazione e diffusione non consentita.

Principi sulla protezione dei dati

L’azienda deve rispettare i principi generali di protezione dei dati in particolare la limitazione alla finalità, la minimizzazione, la limitazione del periodo di conservazione, la qualità dei dati, la correttezza, la protezione, la liceità. Queste attenzioni devono essere oggetto di verifica periodica, da documentare con cadenza almeno annuale.

Trattamenti

Il garante individua 16 diversi trattamenti tra i quali la conservazione del dato anche se non usato e la semplice visualizzazione.
I trattamenti devono essere effettuati da incaricati autorizzati dal Titolare del trattamento e debitamente formati. Sui trattamenti esterni all’azienda il Titolare ha l’obbligo di stabilire le responsabilità e verificarne sicurezza e correttezza.

Onere della prova

Per i trattamenti basati sul consenso, l’azienda deve essere in grado di dimostrare che l’Interessato ha concesso il proprio benestare ed ha l’obbligo di definire i tempi di conservazione dei dati e di indicare la loro provenienza. Per essere esonerata dalla responsabilità di un evento dannoso, l’azienda deve essere in grado di dimostrare di non avere alcuna responsabilità a riguardo.

Accountability

Il Titolare del trattamento debba mettere in atto, riesaminare ed aggiornare adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

Data breach

Secondo il Garante la «violazione dei dati personali» è la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. In questi casi è obbligatoria la notifica all’autorità di controllo entro 72 ore dalla scoperta oltre alla segnalazione al diretto interessato.

Diritti degli utenti

Il nuovo regolamento sulla protezione dei dati verranno rafforzati alcuni diritti a favore degli utenti di internet residenti nell’UE.
Gli utenti hanno diritto di cancellare, trasferire, sospendere e correggere i propri dati, ad avere una copia dei propri dati personali.
Le aziende devono avere adeguati strumenti per espletare tali richieste.
L’azienda deve agevolare l’esercizio dei diritti degli utenti per accesso, rettifica, integrazione, oblio e portabilità dei propri dati e soddisfarlo entro il termine di un mese.

Newsletter