I dati personali, ovvero le informazioni che ci differenziano dalle altre persone e che ci permettono di identificarci, devono essere protetti sia da noi stessi che da terzi che potrebbero avervi accesso.
Non è sempre facile capire come un’azienda o un ente possa proteggere adeguatamente i dati personali che conserva nei suoi sistemi. Perché questo dipende da molteplici fattori, come il tipo di azienda o ente, se è pubblico o privato, il servizio o il prodotto che fornisce, le informazioni che raccoglie, le tecnologie che utilizza, il paese in cui opera, ecc. Questa complessità significa che è essenziale per le aziende e gli enti avere una consulenza legale, esperta in protezione dei dati.
Tuttavia, vorremmo fornire a te, nostro lettore, alcune linee guida generali, in modo che tu sappia come gestire i dati personali, soprattutto se non si tratta di dati personali, ma di informazioni appartenenti a terzi.
- Base legale o legittima: La base legale è ciò che autorizza noi o la nostra azienda o ente a gestire e mantenere nei propri sistemi i dati di terzi. Attualmente, deve sempre prevalere il consenso della persona a cui si riferiscono i dati, che può avvenire tramite un’autorizzazione espressa o un contratto. Solo nei casi in cui una legge richieda la raccolta di dati di terzi o nel caso in cui stiamo fornendo un servizio pubblico di interesse vitale per quella persona o per il pubblico in generale, la raccolta del consenso può essere esentata. Ma si tratta di casi estremi, ad esempio se la persona riceve assistenza sanitaria in una situazione di emergenza e i suoi dati devono essere trattati per poterla identificare.
- Trasparenza: Dal momento in cui trattiamo i dati personali di terzi, sia che dobbiamo chiedere il consenso, sia che siamo legalmente autorizzati a trattarli senza consenso, dobbiamo sempre informare la persona in questione sul trattamento dei suoi dati. Ciò comporta l’informazione su:
-
- Quali dati tratteremo.
- Come li affronteremo.
- Quando inizieremo a trattarli e per quanto tempo?
- Perché utilizzeremo questi dati.
- Dove li tratteremo e conserveremo (su quale tipo di sistema fisico o digitale e in quale paese).
-
- Sicurezza: Occorre valutare come proteggere i dati applicando misure di sicurezza tecniche (come una password), ma anche fisiche (un cassetto chiuso a chiave) e organizzative (limitando l’uso a chi deve effettivamente lavorare con quei dati). Per sapere quali misure di sicurezza seguire, l’ideale è tenersi aggiornati sulle politiche, le procedure, i manuali e le guide messe a disposizione dalla nostra azienda o ente, che ci aiutano a proteggere in modo sicuro sia i dati personali che le informazioni riservate, anche se non appartengono a persone fisiche.
- Diritto dell’interessato: L’interessato è la persona a cui appartengono i dati che stiamo elaborando. Le informazioni, quando si tratta di dati personali, non appartengono all’azienda o all’ente e nemmeno al dipendente che le gestisce, ma appartengono al terzo a cui le informazioni si riferiscono. Pertanto, se il terzo ci chiede di esercitare uno dei seguenti diritti, dobbiamo sempre rispondere in modo semplice e gratuito, perché è suo diritto scegliere se vuole che i suoi dati vengano utilizzati o meno:
-
- Accesso (ricevere informazioni su tutti i punti elencati alla voce trasparenza e richiederne copia)
- Rettificare (modificare le informazioni perché potrebbero riguardarti se non sono aggiornate).
- Elimina (cancella i dati e smetti di usarli)
- Porting (togliere i dati e non usarli più)
- Limitare (limitare l’uso dei dati al minimo indispensabile)
- Opporsi (impedire l’ulteriore trattamento dei dati per determinati scopi a cui non si acconsente)
-