Quali sono le azioni principali che il gestore del servizio deve compiere?
- Rivedere e aggiornare le policy relative alla gestione della privacy e al trattamento dei dati personali
- Aggiornare e pubblicare i contatti aziendali di chi si occupa del trattamento dei dati personali, così da essere certi che l’end user sappia chi controlla i suoi dati e possa mettervisi in contatto, se necessario
- Assicurarsi che le opzioni di registrazione e login siano compliant con la nuova normativa
Le azioni da compiere in quest’ottica sono differenti a seconda che operiate come Data Controller e/o come Data Processor ed è fondamentale che l’utente riconosca e, nel caso, distingua le due figure:
Data Controller
E’ il responsabile del trattamento dei dati ed è la persona fisica, la società, l’associazione o altra entità che ha il controllo effettivo del trattamento dei dati personali ed è autorizzata a prendere le decisioni essenziali sulle finalità e i meccanismi di tale trattamento, comprese le misure di sicurezza applicabili.
Se i dati personali vengono elaborati da una società o da un ente amministrativo pubblico, è l’entità nel suo complesso che funge da controllore dei dati e non l’individuo o il dipartimento che gestisce o rappresenta tale entità (ad esempio Presidente, CEO, revisore dei conti, Ministro , Direttore generale, ecc.). I casi in cui una persona particolare sia il responsabile del trattamento dei dati sono limitati e riguardano principalmente le operazioni di trattamento eseguite da professionisti autonomi o da società individuali.
Data Processor
E’ la persona fisica, la società, l’associazione o l’organizzazione a cui il responsabile del trattamento ha affidato compiti specifici di gestione e controllo dell’elaborazione dei dati in base alla particolare competenza e/o specifica abilità.
Se rappresentate la figura di Data Controller è fondamentale che nelle policy relative alla privacy del servizio erogato questo sia esplicitamente indicato.
E’ inoltre, buona norma indicare esplicitamente il produttore del servizio (soprattutto se utilizzate un servizio in public cloud), così come eventuali piattaforme marketing, CRM, e qualunque altra entità che entri in contatto con il dato e in qualche modalità lo maneggi. Tutte queste figure, infatti, operano come Data Processor, mentre voi operate come Data Controller.
Nell’eventualità desideriate non menzionare esplicitamente queste figure, è sufficiente, ma necessaria, una formula che informi l’utente dell’esistenza di alcuni Processor coinvolti nell’erogazione del servizio.
Se operate il servizio per conto del vostro cliente e quest’ultimo ha la piena responsabilità della gestione del dato, operate come Data Processor. E’ quindi necessario che stabiliate un accordo tra le parti che definisca chiaramente il vostro ruolo e le vostre responsabilità come Data Processor nel trattamento dei dati.
IL CONSENSO INFORMATO
Alla base della raccolta e dell’elaborazione dei dati personali degli utenti vi è il consenso informato, ma è responsabilità del gestore assicurarsi di configurare il servizio in conformità con GDPR e di esplicarne in modo chiaro ed inequivocabile le finalità. Gli utenti devono essere informati in merito a quali dati vengono raccolti e utilizzati; in caso di mancato consenso al trattamento, è possibile negare all’utente la fruizione del servizio.
È necessario, inoltre, essere in grado di verificare l’identità dell’utente, eventualmente anche ponendo diverse domande al momento della registrazione al servizio, atte a raccogliere e verificare i dati immessi.
I responsabili del trattamento dei dati sono tenuti a rispondere a una richiesta di accesso (DSAR) di un soggetto fornendo, in forma intelligibile, copie dei dati personali e qualsiasi informazione sulle fonti dei dati entro 30 giorni dalla raccolta.
Gli utenti possono esercitare il diritto alla cancellazione e richiedere di essere eliminati dal database, forzando la rimozione di tutti i dati posseduti; è importante assicurarsi , in tal caso, che ogni dato personale venga effettivamente eliminato.
Per quanto tempo il dato viene mantenuto?
La durata di vita del dato viene definita dal Data Controller e non ci sono specifiche legate al GDPR riguardanti questo aspetto.