Informativa: di cosa si tratta e cosa comprende?

Informativa GDPR

Il GDPR regolamenta l’ informativa da fornire all’interessato negli articoli 13 e 14 che coprono le seguenti casistiche:

  • “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”
  • “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”

Informativa GDPR: i contenuti

I contenuti dell’informativa collimano quasi perfettamente, sia nel caso in cui dati vengano raccolti presso l’interessato, sia in caso contrario, l’informativa deve contenere:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;

  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Per un singolo punto, però, le informative sono discordanti, infatti, nel caso in cui i dati vengano raccolti presso l’interessato, l’informativa deve inoltre contenere:

  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi

In caso contrario (caso in cui i dati NON siano raccolti presso l’interessato), l’informativa deve contenere:

  • le categorie di dati personali in questione

Informativa GDPR: informazioni aggiuntive

Ci sono ulteriori informazioni da specificare nel documento e anche in questo caso queste informazioni dipendono da come sono stati ottenuti i dati:

dati ottenuti presso l’interessato:

  1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

  2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

  3. qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

  4. il diritto di proporre reclamo a un’autorità di controllo;

  5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

  6. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Dati non ottenuti presso l’interessato:

  1. punti 1, 2, 3 e 4 del precedente elenco;
  2. qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

  3. a fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

  4. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Informativa: i termini della comunicazione

Nel caso in cui i dati non siano ottenuti presso l’interessato, l’articolo 14 specifica dei termini per la comunicazione, il titolare deve fornire le precedenti informazioni:

  • entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

  • nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure

  • nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

Swascan offre alle aziende la possibilità di affrontare gli incombenti termini legislativi attraverso diversi strumenti:

    • una consulenza cybersecurity dedicata che guida le aziende verso la Security Management;
    • una consulenza GDPR specializzata condotta da professionisti nel settore;
    • un servizio di GDPR Assessment che consente alle aziende di testare il proprio livello di compliance e fornisce un action plan concreto per limare il gap.
Inizia il tuo Free trial!

in collaboration with
CISCO

Swascan

Per far fronte al GDPR, Swascan offre prezioso materiale informativo e pratico in termini di Self-Assessment. Sono disponibili: l’ infografica registro delle attività di trattamento e l’articolo sul registro delle attività oltre a quello relativo al trattamento dati . Inoltre sono disponibili materiali riguardanti il DPO oltre ad un’ infografica DPO dedicata. Molto importante è l’articolo della norma UNI 11697:2017 inerente ai profili professionali regolamentati.

Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).

In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability AssessmentNetwork Scan, Code Review e il GDPR Self-Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.