Avrete sicuramente già sentito parlare del GDPR, la legge sulla protezione dei dati più solida finora in vigore nell’UE. Al livello più elementare, il regolamento stabilisce cosa costituisce un trattamento legittimo dei dati personali (come vengono raccolti, utilizzati, protetti o interagiti in generale) e garantisce alle persone i cui dati personali vengono trattati alcuni diritti, chiamati “diritti dell’interessato“.
👀 In questo articolo, esaminiamo quali sono questi diritti e come potete rispettarli legalmente come azienda.
Prima di entrare nel merito, definiamo che cos’è un soggetto interessato. A chi si riferisce?
Il termine “interessato” è stato utilizzato nel testo del GDPR per descrivere una “persona fisica identificata o identificabile”. Si tratta essenzialmente dell ‘individuo i cui dati personali (ad esempio, l’indirizzo e-mail) vengono raccolti, elaborati o memorizzati da un’azienda.
I dati personali ai sensi del GDPR comprendono informazioni che, se raccolte insieme, possono portare all’identificazione di una persona.
🔍 Leggete il nostro articolo per saperne di più su cosa si intende per informazioni personali nelle principali leggi sulla privacy.
Il GDPR riconosce la necessità di proteggere i dati personali e di garantire che le persone abbiano il controllo su di essi.
La legge consente agli interessati di prendere provvedimenti nei confronti dei dati personali in possesso delle aziende e ha concesso loro un elenco di 8 diritti: diritto di essere informati, diritto di accesso, diritto di rettifica, diritto alla cancellazione, diritto di limitare il trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritti relativi al processo decisionale automatizzato e alla profilazione. Continuate a leggere per maggiori dettagli.
È necessario informare gli utenti che i loro dati vengono raccolti, quali dati in particolare e perché. Ciò significa anche che le informazioni sulla privacy devono essere concise, facili da capire e facilmente accessibili in tutto il sito web/app.
Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni sul loro trattamento.
Gli utenti hanno il diritto di ottenere la rettifica dei propri dati personali qualora questi siano inesatti o incompleti.
Quando i dati non sono più rilevanti per lo scopo originario o quando gli utenti hanno ritirato il consenso, gli utenti hanno il diritto di richiedere la cancellazione dei loro dati.
Gli utenti hanno il diritto di limitare il trattamento dei loro dati personali in casi specifici.
A determinate condizioni, gli utenti hanno il diritto di ottenere (in un formato leggibile a macchina) e utilizzare i propri dati personali per i propri scopi.
Gli utenti hanno il diritto di opporsi a determinate attività in relazione ai loro dati personali.
Gli utenti hanno il diritto di non essere sottoposti a una decisione basata su un trattamento automatizzato o sulla profilazione, che produca un effetto legale o un effetto altrettanto significativo sull’utente.
🔍 Potete trovare tutti i dettagli sui diritti di cui sopra in termini semplificati nella nostra guida al GDPR qui, oppure potete leggere il testo ufficiale del GDPR qui.
Cosa significano in pratica questi diritti per la vostra azienda?
Un responsabile della protezione dei dati (DPO) viene solitamente nominato da un’azienda per garantire che i dati personali siano trattati secondo le norme vigenti in materia di protezione dei dati. Ciò include i dati personali:
Dovete sapere che se il GDPR si applica alla vostra azienda e se trattate una quantità significativa di dati personali, siete tenuti per legge a designare un DPO.
Quando si tratta di persone interessate e di diritti degli interessati, il DPO agisce spesso come punto di contatto principale e deve gestire le richieste delle persone che desiderano esercitare i propri diritti.
🔍 Abbiamo stilato una guida rapida su cosa cercare quando si sceglie il DPO. Guardate qui!
La presentazione di una richiesta di accesso ai dati è un passo che le persone possono compiere per esercitare il loro diritto fondamentale di accesso, ai sensi del GDPR. Gli interessati possono inviare una richiesta scritta e chiedere le seguenti informazioni:
In qualità di azienda, dovete fornire gratuitamente una copia dei dati personali dell’individuo.
La richiesta deve essere soddisfatta senza ritardi ingiustificati e, al più tardi, entro un mese dal suo ricevimento.
🔍 Per saperne di più su come gestire il DSAR , cliccate qui.
Inutile dire che il punto cruciale è che siete tenuti a rispettare i diritti dell’interessato previsti dal GDPR. Dovresti:
✅ Prendere sul serio questi diritti e adottare misure tecniche e organizzative adeguate per rispettarli;
✅ Supervisionare la formazione del personale (se presente) in materia di protezione dei dati e gestione delle richieste degli interessati;
Assicuratevi che i vostri documenti sulla privacy siano completi e aggiornati!
Il mancato rispetto di questi diritti può comportare multe e danni alla reputazione.