Come fare gli adempimenti privacy: check-list
Per adeguarsi alla normativa privacy è necessario seguire alcuni passaggi iniziali. Vediamoli in dettaglio:
- Creare una privacy policy: per informare le persone sulle finalità e sulle modalità di trattamento dei loro dati personali
- Gestire i cookie: per informare gli utenti di un sito o di un’app su quali cookie vengono memorizzati
- Creare un registro dei trattamenti: per tracciare la raccolta dei dati personali di clienti, collaboratori, fornitori e partner
- Nominare un responsabile del trattamento: per incaricare un soggetto esterno all’attività per trattare i dati per conto del titolare
- Verificare gli altri adempimenti: per rispettare ogni altro obbligo sulla privacy (es. fare una valutazione di impatto)
1. Creare una privacy policy
La privacy policy sul trattamento dei dati (Informativa Privacy) è il documento di partenza per essere a norma. Questa policy informa le persone sulle finalità e sulle modalità di trattamento dei loro dati. Il dato personale è ogni informazione che identifica una persona direttamente o indirettamente (es. il nome e il cognome o il codice fiscale). L’informativa va creata ogni volta in cui si effettua un trattamento dei dati. Vale a dire qualunque operazione effettuata (es. raccolta, cancellazione e invio a terzi dei dati personali).
Bisogna creare l’informativa anche quando il dato è trattato online. Ad esempio, quando vengono raccolti l’indirizzo IP, le pagine visitate e le coordinate GPS di un utente sul web. In questi casi, si parla di privacy policy di un sito web o di un’app.
2. Gestire i cookie
Quando il trattamento dei dati avviene online, vengono spesso usati dei cookie. Si tratta di file di navigazione che vengono memorizzati sul dispositivo di un utente che visita un sito. I cookie salvano i dati di navigazione dell’utente e possono essere usati per diversi scopi. Ad esempio, il titolare di un sito può usare i cookie per tracciare il comportamento dell’utente a fini statistici.
Se si usano i cookie, è necessario informare gli utenti su quali dati vengono memorizzati. Inoltre, occorre ottenere il consenso dell’utente prima dell’installazione dei cookie. In particolare, bisogna:
- creare un’informativa estesa (cookie policy). Si tratta di una pagina che specifica le categorie di cookie utilizzati e le finalità
- creare un’informativa breve (o cookie banner). Si tratta di un avviso dinamico che consente agli utenti di gestire il consenso all’installazione attraverso dei pulsanti dedicati (es. “Accetto tutti i cookie” o “Rifiuto tutti i cookie”)
3. Creare un registro dei trattamenti
Uno dei più importanti adempimenti privacy è la creazione di un registro dei trattamenti dei dati personali. È stato introdotto con il regolamento europeo sulla privacy (GDPR). Questo registro si usa per conservare le informazioni sulle operazioni effettuate sui dati.
Il registro non è sempre obbligatorio, tuttavia, è consigliato per:
- conservare e mappare le informazioni principali sul trattamento dei dati (es. tipi di dati, finalità del trattamento e tempo di conservazione)
- tenere traccia della propria conformità alla normativa privacy e avere una prova scritta da poter mostrare in caso di richiesta da parte delle autorità competenti
4. Nominare un responsabile del trattamento
La nomina del responsabile di trattamento è un adempimento previsto quando si deve autorizzare un soggetto esterno a trattare i dati personali per conto del titolare. In questi casi, il titolare decide quali dati personali raccogliere e per quale motivo. Il responsabile, invece, effettua le operazioni sui dati in base alle istruzioni del titolare. L’esempio tipico è il consulente del lavoro che si occupa delle buste paga e delle assunzioni dei collaboratori del titolare.
5. Verificare gli altri adempimenti privacy
Gli adempimenti privacy appena descritti sono solo alcuni dei passaggi previsti dalla legge. Infatti, in base alle caratteristiche e alle modalità di trattamento dei dati si applicano regole diverse. Vediamo alcuni esempi concreti di altri adempimenti:
- adozione di misure di sicurezza: pratiche tecniche o organizzative previste per garantire la sicurezza dei dati personali (es. la cifratura dei dati)
- effettuare una valutazione di impatto: un’attività di analisi per identificare potenziali rischi connessi a delicate operazioni compiute sui dati personali (es. monitoraggio sistematico in videosorveglianza su larga scala)
- nomina di un Data Protection Officer (DPO): il responsabile della protezione dei dati personali supporta e controlla l’applicazione della normativa privacy e deve essere nominato in alcuni casi particolari (es. in caso di trattamento di dati sensibili su larga scala)
Quanto costa adeguarsi alla GDPR
I costi per adeguarsi alla GDPR (compliance privacy) possono variare molto in base alle scelte del titolare e alle caratteristiche dell’attività. In particolare, l’investimento dipende dal professionista e dalla città di riferimento. In media i costi possono arrivare fino a €2.000 per una piccola azienda e fino a €20.000 per una grande azienda.
Fare gli adempimenti privacy con LexDo.it
L’adeguamento alle regole privacy richiede un’attenta valutazione dell’attività del titolare. Con LexDo.it puoi richiedere un servizio completo per gestire e verificare gli adempimenti privacy della tua attività. Potrai richiedere una consulenza GDPR dedicata di un avvocato esperto con uno dei nostri piani completi. Un professionista valuterà quali adempimenti e documenti si applicano al tuo caso.