Il Regolamento generale sulla protezione dei dati (GDPR) delinea i 6 principi della protezione dei dati personali (all’Articolo 5) che le organizzazioni devono rispettare quando raccolgono, trattano e memorizzano i dati personali dei residenti dell’Unione Europea.
Scopriamo insieme i 6 principi e come rispettarli nella pratica.
1. Liceità, correttezza e trasparenza
Le organizzazioni devono assicurarsi che le loro attività di raccolta dei dati personali degli utenti non infrangano la legge e che non nascondano nulla agli interessati.
Per fare ciò, è necessario mettere a disposizione del pubblico l’informativa sulla privacy, ossia un documento che spiega in maniera chiara, concisa ma completa le finalità della raccolta dei dati e come l’azienda intenda usarli. Per chi non sa da che parte iniziare, esistono dei modelli precompilati personalizzabili.
2. Limitazione della finalità
Le aziende dovrebbero raccogliere i dati personali solamente per uno scopo preciso, scopo che va indicato in modo chiaro nell’informativa sulla privacy. Inoltre, tali dati vanno tenuti solo per il tempo necessario a completare lo scopo per cui sono stati raccolti.
Per esempio, se un’organizzazione raccoglie dati personali di coloro che intendono partecipare ad uno specifico evento, tali dati non potranno poi essere utilizzati per un’altra finalità.
3. Minimizzazione dei dati
Le organizzazioni possono elaborare solo i dati personali necessari al raggiungimento della finalità per i quali sono trattati. Per esempio, ricollegandoci all’esempio precedente, se l’azienda ha bisogno di sapere solo nome, cognome e numero di telefono della persona che intende partecipare all’evento, è inutile che chieda anche la data ed il luogo di nascita.
4. Esattezza
L’accuratezza dei dati personali è parte integrante della loro protezione. Il GDPR afferma che “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti”. Gli interessati hanno il diritto di chiedere che i propri dati personali inesatti o incompleti vengano cancellati o rettificati (Articoli 16 e 17).
Una volta che il titolare o il responsabile del trattamento ha ricevuto tale richiesta da parte dell’interessato, ha 30 giorni di tempo per eseguirla. Leggi il blog GDPR: come rispondere alle richieste di accesso dei dati personali per maggiori informazioni.
5. Limitazione della conservazione
Le organizzazioni devono eliminare i dati personali quando non sono più necessari ai propri scopi. Ma quando non sono più necessari? Ciò dipende da azienda ad azienda e da settore a settore. Meglio consultare un professionista legale per rispondere a questa domanda.
6. Integrità e riservatezza
Il GDPR afferma che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
Nonostante ciò, il Regolamento è abbastanza vago sulle misure di sicurezza da implementare. Attualmente, le organizzazioni ricorrono alla crittografia e alla pseudonimizzazione dei dati dove possibile, ma potrebbero scegliere qualsiasi altra opzione disponibile più adatta ai propri scopi. Leggi il blog GDPR: Pseudonimizzazione e cifratura per maggiori informazioni.
Conoscere le basi del GDPR
Questi sei principi forniscono una panoramica delle aree trattate dal Regolamento, ma sono tutt’altro che esaustivi. Il resto del Regolamento entra più in dettaglio sulle pratiche specifiche che le organizzazioni dovrebbero intraprendere per assicurarsi che mantengano la conformità.
Se ti occupi di conformità al GDPR nella tua azienda, riconoscerai l’importanza del ruolo di ogni singolo membro dello staff nell’adottare comportamenti volti a mantenerla. Di conseguenza, la formazione dei neo assunti è importantissima, come anche l’aggiornamento continuo per l’intera forza lavoro. Sviluppato da esperti in materia di protezione dei dati e GDPR, il corso in e-learning per lo staff fornisce una base completa sui principi, sulle responsabilità dell’azienda e dei singoli e sui processi sanciti dal Regolamento.
