DOMANDE FREQUENTI
Informativa Privacy per Attività Offline

INDICE
•  Cosa si intende per finalità del trattamento?
•  Che cos'è la base giuridica?
•  Cosa si intende per processo decisionale automatizzato (anche profilazione)
•  Quando si possono trasferire i dati all’estero?
•  Come determinare il periodo di conservazione dei dati?
•  Chi è il Rappresentante e quando va nominato
•  Chi è il responsabile della protezione dei dati personali (DPO)?

Cosa si intende per finalità del trattamento?

Si intende lo scopo del trattamento dei dati personali e vanno indicate TUTTE le finalità di trattamento. Si può inserire la finalità relativa all'attività svolta, ad esempio se si vendono al dettaglio determinati prodotti, si potrà indicare come finalità la vendita di beni. 

Lo stesso venditore di beni inoltre effettuerà il trattamento dei dati personali dei propri clienti per ulteriori finalità: si pensi alle finalità di supporto clienti o ancora all'invio di nuove offerte dei propri prodotti (per finalità di marketing).

Che cos'è la base giuridica?

Quando vengono trattati i dati personali è necessario identificare quale base giuridica giustifica il trattamento, vale a dire l'indicazione della disposizione (di legge), misura o azione che ne legittimi il trattamento.

Le basi giuridiche legittime previste dalla GDPR sono:

  • consenso dell'interessato: che autorizza esplicitamente il trattamento dei dati personali per una o più specifiche finalità;
  • esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall'interessato (ad esempio, se devi spedire dei beni acquistati da un cliente avrai la necessità di raccogliere i suoi dati personali come nome, cognome, indirizzo, etc.)
  • adempimento obbligo di legge: quando il trattamento dei dati è imposto da una legge, regolamento, etc. (ad esempio, se devi fatturare l'acquisto di un bene al cliente, dovrai raccogliere i suoi dati fiscali, etc.);
  • interesse legittimo del Titolare: il trattamento dei dati è legittimo quando è necessario per il perseguimento delle finalità per cui sono stati raccolti, a condizione però che non prevalgano gli interessi o diritti dell'interessato.
  • interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell'interessato o di un'altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell'interessato);
  • esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile).

Cosa si intende per processo decisionale automatizzato (anche profilazione)

Un processo decisionale automatizzato è inteso come uno strumento che consente al Titolare di assumere decisioni attraverso mezzi tecnologici, senza il coinvolgimento umano, con effetti giuridici o altri effetti significativi simili che riguardano l'utente o che incidano significativamente sulla sua persona.
Ad esempio, quando si raccolgono dati forniti direttamente da un soggetto attraverso la compilazione di un questionario online o ricavati da un “profilo” creato in precedenza sul medesimo sito web (es. credit scoring) che porti al rifiuto automatico di una domanda di credito online. Questo processo automatizzato produce effetti giuridici che lo riguardano o incidono in modo analogo significativamente sulla sua persona.

La profilazione è anch'essa un tipo di trattamento automatizzato, ma finalizzato alla raccolta di informazioni personali dell'interessato per suddividerlo in gruppi a seconda del suo comportamento.
Per stabilire se si fa profilazione si deve verificare se viene eseguito un trattamento automatizzato senza l'intervento umano su dati personali che produca effetti giuridici. Per esempio, è profilazione il tracciamento che valuta il diritto di un cittadino a ottenere un passaporto o a iscriversi a un corso universitario, magari a numero chiuso.

Quindi non si deve trattare di un semplice "tracciamento" del soggetto delle sue abitudini, preferenze, etc. ma di un'analisi finalizzata a prendere decisioni che lo riguardano. In tali casi, il titolare deve fornire al soggetto un’informativa e raccogliere il suo consenso esplicito. 

L'interessato ha il diritto di non essere sottoposto ad un processo decisionale automatizzato tranne quando:

  1. si è autorizzati dal diritto dell'Unione o Stato membro cui è soggetto il titolare del trattamento (ad esempio, il trattamento automatizzato per la prevenzione delle frodi e dell'evasione fiscale);
  2. è necessario per la conclusione o l'esecuzione di un contratto. In tal caso si deve dimostrare che la profilazione è necessaria e che non sono disponibili metodi meno invasivi;
  3. c'è il consenso esplicito dell'interessato.

Negli ultimi due casi, il titolare del trattamento deve però attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’utente, e l'utente deve avere il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Quando si possono trasferire i dati all’estero?

Si possono liberamente trasferire i dati all'estero in:

  1. Paesi appartenenti all'Unione Europea o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein
  2. Paesi extra UE per i quali è stata emanata una decisione di adeguatezza, quali: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (con certificazione privacy shield).
    Sono in corso le trattative con Giappone e Sud Corea. Gli esiti possono essere monitorati al seguente link.

Nel caso in cui non siano state emanate decisioni di adeguatezza è possibile trasferire i dati extra UE nei seguenti casi:

  • sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard;
  • per i gruppi di imprese, il trasferimento deve avvenire sulla base di binding corporate rules che devono essere approvate dall’autorità competente (in Italia, il Garante privacy);
  • se l’utente ha espresso esplicitamente il proprio consenso al trasferimento ed è stato informato dal titolare dell’assenza di una decisione di adeguatezza e dei conseguenti rischi per l'utente;
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il titolare stabilito in Unione Europea su richiesta dell’utente.

Come determinare il periodo di conservazione dei dati?

Dovrai indicare per ogni finalità per quanto tempo i dati verranno conservati e assicurarti che tale periodo di conservazione sia limitato al minimo necessario. I dati non potranno essere trattenuti oltre il termine stabilito.

Le ragioni di questi obblighi sono fondate sul principio di minimizzazione dei dati secondo cui i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

In virtù del principio di esattezza è invece necessario verificare che i dati raccolti siano corretti e sempre aggiornati. È necessario infatti che vengano adottate tutte le misure idonee a cancellare o rettificare tempestivamente i dati eventualmente inesatti rispetto alle finalità per le quali sono raccolti.

Infine, il principio della limitazione della conservazione impone che i dati personali siano conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo limitato e non superiore al conseguimento delle finalità del trattamento.

I dati personali possono essere conservati per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l'attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà dell'interessato.

Chi è il Rappresentante e quando va nominato

Il Rappresentante deve essere nominato quando il titolare di trattamento dei dati personali non è stabilito nell’Unione Europea.

Per determinare se un soggetto è stabilito o meno nell'UE si deve fare riferimento al luogo dove questi ha la stabile organizzazione, vale a dire dove svolge le principali attività di trattamento. Per esempio, se un soggetto extra UE ha un sito web che si rivolge a cittadini dell’Unione Europea ma non ha alcuna sede fisica presente in Europa o ha semplicemente un magazzino per la sola consegna di merci, il soggetto straniero dovrà nominare un rappresentante a meno che non ci si trovi nelle situazioni in cui il GDPR non prevede l'obbligatorietà della nome del rappresentante.

La nomina del Rappresentante è invece obbligatoria quando:

  • tratta dati personali di interessati che si trovano nell’Unione in modo continuativo
  • le attività di trattamento sono relative all’offerta di beni o alla prestazione di servizi a cittadini europei
  • le attività consistono nel monitoraggio del comportamento dei cittadini europei (ad esempio il controllo del comportamento degli utenti con lo scopo di profilare le loro abitudini e i loro comportamenti).

La designazione del rappresentante non è obbligatoria quando:

  • i dati personali degli interessati europei vengono elaborati solo occasionalmente
  • il trattamento non include il trattamento su larga scala di categorie speciali di dati o dati giudiziari o dati relativi a condanne penali;
  • il trattamento non comporta un rischio per i diritti e le libertà degli interessati
  • il titolare è un'autorità o un organismo pubblico.

Chi è il responsabile della protezione dei dati personali (DPO)?

Il Responsabile della protezione dei dati personali è un soggetto che viene nominato dal Titolare del trattamento o dal responsabile del trattamento per supportare, controllare e organizzare l'applicazione del nuovo Regolamento europeo (GDPR).

Il DPO va nominato quando l’attività principale consiste in trattamenti che:

  • per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala
  • riguardano dati sensibili o relativi a condanne penali o reati su larga scala.

Il DPO deve informare e fornire consulenza al Titolare o al Responsabile del trattamento e ai dipendenti in merito all'adozione delle misure e delle garanzie adeguate in materia di privacy.

Inoltre, il DPO deve garantire il rispetto della normativa sulla protezione dei dati personali e formare il personale che partecipa ai trattamenti. Inoltre, il DPO può fornire un parere sulla valutazione d'impatto e sorvegliarne lo svolgimento.

Il suo nome va comunicato all'autorità di controllo (Garante) e coopera con la stessa per le questioni legate al trattamento.

Al DPO non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi ma deve avere una conoscenza approfondita della normativa e delle prassi in materia di protezione dei dati.

Può essere un dipendente del Titolare o del Responsabile del trattamento ma non deve essere in conflitto di interessi con questi ultimi. Può essere anche un consulente esterno, anche persona giuridica (società).

Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO