Vi proponiamo un ciclo di articoli finalizzati ad agevolare una veloce verifica “fai da te” per capire quanto è a norma la propria organizzazione.
Le informative privacy
Partiamo dal tema considerato più scontato: le informative.
In realtà, non è affatto così scontato dato che molte delle aziende che abbiamo verificato presentavano grandi lacune proprio in merito a questo adempimento.
Ricordiamo che anche per i trattamenti di dati personali che non richiedono il consenso del soggetto interessato, è comunque indispensabile fornire l’informativa (artt. 13-14 del GDPR).
Le aree di miglioramento, spesso, riguardano la presenza e la qualità delle informative. La concezione del GDPR incentrato sull’ informatica e sui clienti, porta molti consulenti e imprenditori a pensare che sia sufficiente esporre l’informativa “web” e l’informativa “clienti” per essere conformi.
Le informative sono necessarie per i trattamenti rivolti alle varie categorie di soggetti, ovvero per particolari finalità.
Saranno, in molti casi, necessarie, oltre alle informative di cui si accennava, le seguenti:
– informativa dipendenti;
– informativa candidati;
– informativa verifica certificato verde;
– informativa verifica certificato di esenzione vaccinale;
– informativa videosorveglianza (se presente);
– informativa geo-localizzazione veicoli (se presente);
– informativa e-commerce (se presente);
– informativa form contatti web (se presente);
– informativa trattamento immagini generiche (se in occasione di seminari o in altre situazioni, si manifesta l’esigenza di effettuare delle riprese);
– informativa trattamento immagini dipendenti (se vengono utilizzate riprese dei dipendenti per realizzare filmati o cataloghi promozionali);
e così via.
Ogni informativa, se la base giuridica di uno o più trattamenti contenuti lo richiede, viene abbinata ad uno specifico modulo di consenso.
Naturalmente è poi importante che le informative contengano le corrette basi giuridiche, in quanto, al contrario di ciò che a volte si pensa, il consenso non è sempre la base giuridica corretta.
Errori frequenti sono stati riscontrati, sia nelle tipologie di dati personali , descritte nei moduli informativi, sia nelle modalità e nei tempi di conservazione. A volte abbiamo rilevato la mancanza delle conseguenze per il soggetto interessato che non esprime il consenso per un determinato trattamento.
Ultimo punto, ma non il meno importante, la traduzione nelle lingue dei paesi più coinvolti nei trattamenti. La recente sanzione inflitta a TikTok dal Garante della Protezione dei Dati olandese ci dimostra come non sia sempre sufficiente
limitarsi a tradurre le informative in inglese, oltre alla lingua nazionale. In alcune situazioni sarà indispensabile utilizzare anche la lingua locale. Ciò garantisce l’applicazione del “considerando 58” del GDPR che dispone l’uso di un
linguaggio chiaro, comprensibile e completamente intelligibile.
