L’informativa
Con l’entrata in vigore del GDPR, l’informativa al trattamento dei dati già prevista dal D.Lgs 196/2003, subirà alcune integrazioni.
Fra le informazioni da fornire all’utente dovranno essere specificate:
- Le finalità del trattamento: perché stiamo chiedendo all’utente di fornirci dei dati?
- Le modalità di trattamento: in che modo verranno trattati i dati? Con o senza strumenti informatici?
- Il titolare del trattamento: chi tratterà i nostri dati?
- Trasferimento di dati all’estero/a terzi: I dati raccolti saranno trasferiti a soggetti terzi? Inoltre, è previsto che i dati vengano trasferiti in paesi extra UE?
- Diritti degli interessati: sarà necessario informare l’utente circa i propri diritti (di accesso, cancellazione, rettifica, portabilità dei dati…)
- Contatti utili del titolare del trattamento in modo da avvalersi di uno dei sopraccitati diritti.
Inoltre, in caso in cui le finalità siano più di una, dovrà essere specificato un consenso specifico per ciascuna finalità.
Facciamo un esempio:
Compet-e offre la possibilità di richiedere un preventivo online per i suoi servizi per il GDPR e richiede agli interessati di compilare un form in cui sono richiesti i dati necessari alla formulazione del preventivo.
Fra i campi del form è presente l’indirizzo mail dell’interessato, necessario all’azienda per ricontattare l’utente una volta redatto il preventivo.
Compet-e vorrebbe anche aggiungere la mail dell’utente nella sua mailing list per potergli inviare newsletter mensili contenenti news e offerte.
In questo caso, le finalità del trattamento sono due: l’invio del preventivo e l’iscrizione alla newsletter.
Compet-e dovrà quindi aggiungere nel form di contatto due diversi consensi: il primo sarà vincolante (cioè se non viene accettato non si potrà far fronte alla finalità principale, cioè l’invio del preventivo) e quindi obbligatorio, il secondo, in cui si chiede all’utente di iscriversi alla newsletter, sarà facoltativo poiché la non iscrizione alla newsletter non può pregiudicare la formulazione del preventivo.
E i consensi già raccolti precedentemente?
In linea generale, i consensi raccolti prima dell’introduzione del GDPR rimarranno validi a condizione che questi abbiano tutte le caratteristiche previste dal Nuovo Regolamento Europeo.
In caso contrario sarà necessario richiedere nuovamente il consenso.
Tale procedura può essere condotta, per esempio, fornendo un supplemento all’informativa che specifichi le modifiche rispetto alla vecchia informativa, indicando le nuove informazioni richieste in base alle norme e alla piena trasparenza sopra elencate (vedi art. 5, comma 1, lett. a), e dando la possibilità agli interessati di revocare il consenso precedentemente fornito.
La verifica del consenso è solo uno degli step consigliati a tutte le organizzazioni per prepararsi all’entrata in vigore del nuovo Regolamento Europeo.
