GDPR per blog e siti web

Il nuovo GDPR, il Regolamento UE 2016/679 sul trattamento dei dati personali entrato in vigore il 25 maggio, ha generato non pochi dubbi in alcune categorie di professionisti, tra cui gli avvocati. Il Gdpr è entrato in vigore prima che il Governo esercitasse la delega. Ora ha tempo fino al 22 agosto per fare il decreto legislativo di adeguamento della normativa italiana al GDPR.

La nuova normativa GDPR stabilisce regole più stringenti per la tutela dei dati personali

La nuova normativa che disciplina il trattamento dei dati personali sul web arriva direttamente dalla Comunità Europea ed entra in vigore proprio in questi giorni. Tutte le aziende ed, in generale, le attività che operano sul web e gestiscono i dati personali dei loro utenti devono adeguarsi ai nuovi standard e questo può generare non poche difficoltà, in assenza dell’informativa adeguata a supporto della transizione. Scopriamo tutto quello che c’è da sapere sulla nuova disciplina e su cosa cambia per chi deve adeguarsi alle nuove direttive.

Quali sono i punti salienti della nuova normativa GDPR?

La normativa avrà i suoi effetti in tutti i paesi dell’Unione Europea e porterà una serie di cambiamenti all’assetto organizzativo degli operatori del web, ai quali è bene essere adeguatamente preparati. La principale novità consiste nel fatto che i dati personali degli utenti del web dovranno essere gestiti secondo il principio dell’accountability, ovvero con la responsabilità del trattamento; il meccanismo prevede inoltre l’introduzione di specifiche tutele per gli utenti, che potranno scegliere attivamente la modalità preferenziale attraverso la quale il sito internet che stanno visitando potrà gestire i loro dati personali.

GDPR è l’acronimo di General Data Protection Regulation, altro nome della direttiva europea numero 2016/679, grazie alla quale la tutela della privacy degli individui diventa un diritto fondamentale delle persone fisiche. Il presupposto fondamentale dal quale la nuova normativa prende le sue prime mosse è il fatto che ogni operazione compiuta sul web lascia una sua traccia distinguibile ed è del tutto necessario regolare in modo preciso il campo che gravita attorno a questo specifico tema, in modo da prevenire o limitare le violazioni che possono presentarsi.

Adeguarsi alla prossima normativa significa prendere in esame, nella gestione e nel trattamento dei dati personali dei propri utenti, di due concetti fondamentali: quello di Privacy by Design e della Privacy by Default; due facce della stessa medaglia che possono aiutare gli utenti meno esperti ad orientarsi nel sistema. Scopriamo come.

L’approccio Privacy by Design: l’utente al centro dell’ecosistema

Con l’approccio Privacy by Design i processi che vengono strutturati dalle aziende e dalle agenzie che operano sul web, sono costruiti direttamente sulle esigenze degli utenti. Ogni workflow e processo aziendale viene valutato e successivamente messo a terra considerando prevalentemente lo scopo di garantire la riservatezza e la tutela dei dati sensibili degli utenti coinvolti nel progetto. Con questo particolare modello, i potenziali rischi di lesione della normativa vengono valutati preventivamente, attraverso una attenta analisi degli impatti. Questa tipologia di approccio manifesta perfettamente il suo funzionamento nella gestione dei sistemi di Information Technology e per l’individuazioni delle pratiche e delle politiche commerciali più adeguate a coinvolgere determinati segmenti di clientela e si ispira ad una serie di principi chiave che ne rendono distinguibile la filosofia. Questo approccio implementa le disposizioni già vigenti in materia di protezione dei dati, entrate in vigore nel nostro paese con il nome di Cookie Law, ovvero quella normativa che impone ai soggetti titolari del trattamento di acquisire il consenso informato da parte dei loro utenti per l’utilizzo dei cookie.

Cosa deve fare l’azienda per adeguarsi?

In questa nuova ottica, in cui assume importanza rilevante il modo in cui gli operatori sul web trattano i dati personali dei loro utenti è importante adottare tutti gli accorgimenti necessari. Scopriamoli nel dettaglio:

1. Innanzitutto sarà necessario impostare il proprio sito web affinché, atterrato sulla prima pagina, l’utente si trovi a poter prestare o negare immediatamente il consenso al trattamento dei dati personali. Il banner in cui inserirai il messaggio dovrà essere chiaro e ben distinguibile, in modo da informare adeguatamente l’utente. Potrai utilizzare degli script preconfigurati disponibili in rete. Noi consigliamo i servizi di IUBENDA;
2. All’acquisizione al trattamento dei dati si collega l’importante regolamentazione relativa all’utilizzo dei cookie per finalità che non sono meramente tecniche; anche in questo caso sarà necessario inserire nel sito web l’informativa adeguata sull’utilizzo che ne viene fatto, con esplicita richiesta all’utente di poterli acquisire. Se all’interno del tuo sito gestisci anche cookie di terze parti, dovrai predisporre gli adeguati collegamenti alle pagine informative dei rispettivi siti web e alla loro policy in tema di privacy;
3. Predisponi inoltre, un aggiornamento puntuale della tua politica sulla privacy e rendilo disponibile sul portale, magari con un collegamento diretto dalla tua home page;
4. Regola in modo puntuale i moduli attraverso i quali gli utenti si registrano ai tuoi servizi (moduli di contatto, newsletter, carrelli in caso di e-commerce) e rendi facilmente revocabili le adesioni;
5. Ricorda che se il tuo sito prevede una sezione commenti, dovrai inserire un checkbox da spuntare per la presa visione dell’informativa;
6. Informa sempre gli utenti su come utilizzi i log del traffico dati. La legge impone una informativa chiara e puntuale, quindi fai in modo che il tema sia trattato nella pagina che dedicherai alla privacy policy.

Privacy by Default

Questo modello speculare all’approccio che mette al centro il concetto di tutela dei dati personali, si caratterizza per la capacità di resistere agli attacchi e alle manipolazioni, soprattutto in casi di forte stress della piattaforma che li gestisce. L’approccio Privacy by Default si propone di individuare i punti deboli dell’organizzazione aziendale e di colmarli con interventi di implementazione del livello di protezione e della sicurezza generale dell’utente.

Nel caso dei modelli aziendali strutturati secondo l’approccio Privacy by Default, non sarà necessario trattare una moltitudine di dati per cliente; piuttosto quanto garantire la protezione totale da qualsiasi attacco dei dati che vengono raccolti, prestando una attenzione particolare ad esplicitare i fini coi quali questi dati vengono richiesti e segnalando quali misure verranno messe in campo dal titolare del trattamento dei dati per garantirne la conservazione e l’inaccessibilità da parte di soggetti terzi non autorizzati.

Da questo punto di vista assume un’importanza fondamentale che l’azienda sia in grado di fornire agli esaminatori adeguate risposte in termini di procedure adottate e di meccanismi che si innescano in caso di crisi o quando effettivamente si verifica il data breach, ovvero la vera e propria violazione dei dati sensibili degli utenti da parte di un soggetto o di un gruppo terzo. In questo solco assume specifica importanza il PIA – Privacy Impact Assestment, ovvero una valutazione preliminare che le aziende che devono adeguarsi al GDPR devono presentare, analizzando i rischi assunti nella gestione di uno specifico database di dati e presentando le soluzioni di contrasto ad un tentativo – potenziale o effettuale – di hackeraggio di quest’ultimo.

Cosa devi fare per adeguarti all’approccio Privacy by Default

Per ottimizzare il sito web e rispettare pienamente la normativa sotto questo profilo, saranno necessari una serie di accorgimenti ai quali dovrai adeguarti al più presto.

1. Notifica puntualmente alle autorità garanti le violazioni o i sospetti tentativi di hackeraggio che pensi il tuo sistema possa aver subito. Per essere in linea con la normativa, le violazioni devono essere notificate entro massimo 72 ore dalla scoperta dell’avvenimento;
2. Predisponi l’informativa corretta per gli utenti, sulle misure che hai adottato per tutelare i loro dati sensibili. La norma impone che tu fornisca le informazioni secondo una logica a due livelli. Il primo costituito da un banner a comparsa nella home page, poi collegato ad una pagina che sviscera l’argomento nel dettaglio;
3. Conserva i dati in database diversi da quelli che utilizzi per gestire le altre informazioni del tuo sito web. Questo ti aiuterà a tenerli al sicuro nel caso in cui subissi un tentativo di hackeraggio che viola il tuo server principale.

Cosa devono fare le aziende e qual è il ruolo del DPO

Le aziende che dovranno adeguare il loro profilo alla nuova normativa non possono prescindere dall’osservare poche semplici regole di comportamento, che mettono al riparo dal rischio di sanzioni, che possono rivelarsi davvero salatissime e che crescono proporzionalmente all’aumentare della gravità della violazione commessa.

Innanzitutto le aziende devono dotarsi di un sistema di controllo efficiente, in grado di monitorare perfettamente l’accesso ai dati e che disponga di un database dislocato, immunizzato dagli attacchi informatici. Altro punto focale di attenzione è l’identificazione sempre puntuale della tipologia e della mole di dati gestiti dai propri database, in modo da adeguare a questi i requisiti di sicurezza da rispettare; a questo aspetto si aggiunge l’individuazione di una figura responsabile per l’azienda o la filiale operativa, del trattamento di questi dati.

La persona in questione è denominata DPO, che è l’acronimo di Data Protection Officer che altri non è se non quel soggetto che, in azienda, è responsabile della gestione dei dati personali e vigila sul loro trattamento. Tutto quanto concerne la tutela e il trattamento dei dati personali degli utenti, secondo la nuova normativa, deve essere trasferito in uno specifico registro, denominato RAT – registro delle attività di Trattamento – in cui viene dettagliato in modo puntuale quale sistema di protezione l’azienda utilizza e quali sono i soggetti responsabili del trattamento dei dati.

Il DPO è quel soggetto che, all’interno di una azienda o di un suo ufficio di rappresentanza, esercita la funzione di controllo e garantisce il rispetto di tutti gli standard imposti dalla normativa e dagli ordini di servizio aziendali, in materia di tutela della privacy degli utenti. Questo soggetto è tenuto a rendicontare periodicamente al consiglio di amministrazione la qualità del suo operato e gli ambiti di attività, fornendo pareri ed indicazioni di natura correttiva, volte ad efficientare i processi e a renderli maggiormente aderenti alla normativa in vigore.

Con la stessa finalità, nel malaugurato caso di un data breach, il DPO è tenuto a dimostrare presso l’organo competente, di aver agito sempre nel rispetto di tutte le procedure e i regolamenti vigenti al fine di tutelare gli utenti da un utilizzo fraudolento dei loro dati personali. Questo soggetto deve necessariamente essere individuato nello specifico caso in cui il trattamento dei dati avvenga per opera di una istituzione pubblica o di una autorità statale. Le imprese che non hanno all’interno della loro mission aziendale operazioni che prevedano specificamente la gestione e la conservazione dei dati personali dei loro utenti, sono esentate dall’individuare questa figura di controllo.

Per le Piccole e Medie imprese il discorso si semplifica di molto, dal momento che la normativa è fatta per efficientare l’intervento nei confronti delle grosse aziende, spesso multinazionali, che si trovano a gestire una moltitudine di dati personali e spesso lo fanno in modo approssimativo.

Le piccole imprese, di cui il tessuto economico del nostro paese è particolarmente ricco, potranno adottare procedure semplificate nella gestione di questa tipologia di dati, in ragione anche dei costi da sostenere per l’attività di manutenzione del database. Questa categoria di attività è esentata dall’obbligo di individuare un responsabile delle funzioni di controllo in materia di dati personali, a meno che questo specifico aspetto non sia fondamentale per l’esercizio dell’attività di impresa – come ad esempio in un call center – così come non è obbligatorio il rispetto del Privacy Impact Assestment e quindi la valutazione preliminare di sostenibilità dei progetti dal punti di vista della tutela dei dati personali.

Restano invece invariati gli obblighi di notifica al Garante della Privacy di natura straordinaria, ovvero quelle che hanno un impatto rilevante sulla privacy degli utenti che dovranno continuare ad essere rendicontate presso l’ufficio. Le piccole e medie imprese sono invece esentate dal comunicare tutte le altre variazioni di minore importanza e non lesive della disciplina vigente sul trattamento dei dati.

Le tutele per le persone e le sanzioni per le attività inadempienti

Per le aziende che violano consapevolmente il regolamento europeo, sono previste multe salatissime che vanno dal 2 al 4 per cento del fatturato dell’azienda interessata e di tutte quelle correlate, fino ad un massimale concorrente di 20 milioni di euro. È comprensibile che i rischi per le aziende siano talmente alti che adeguarsi per tempo alla normativa costituisce una operazione assolutamente necessaria.

Dal punto di vista delle tutele per gli utenti è apprezzabile quanto questa nuova norma vada effettivamente a vantaggio della popolazione, stabilendo maggiori tutele innanzitutto nell’accesso ai dati da parte degli interessati, che saranno in grado di individuare con chiarezza e velocemente tutti i soggetti che ne sono in possesso, decidendo al contempo di revocare loro l’autorizzazione.

Grazie alla nuova norma sarà oltretutto possibile gestire con maggiore efficacia la trasferibilità dei propri dati personali all’interno delle stesse aziende, evitando quindi il rischio che si propaghino senza poter essere controllati. Assieme a queste direttive importanti, assume rilevanza anche l’introduzione del diritto all’oblio dei dati personali, grazie al quale le aziende, una volta manifestata l’intenzione da parte del soggetto interessato, saranno obbligate a dismettere tutte le attività commerciali e di propaganda a favore di quel cliente e potranno gestirne i suoi dati in maniera limitata.

Assume particolare rilevanza anche l’aspetto della tutela della privacy dei minori, sempre più in discussione in questo periodo e diviene chiaro il meccanismo che spiega agli utenti le modalità con le quali, eventualmente, sono state commesse le violazioni dei dati sensibili fornendo ai diretti interessati informazioni semplici, comprensibili e trasparenti.

Fac-Simile di Informativa privacy per siti web

PRIVACY POLICY

La presente informativa viene resa in ossequio all’art. 13 del Regolamento 2016/679 (GDPR), ai sensi dell’art. 13 del d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali) agli utenti che accedono al sito web [inserire link] ed è relativa a tutti i dati personali trattati secondo le modalità di seguito indicate.

IL TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento dei dati personali raccolti è [inserire dati del titolare del trattamento, unitamente a ogni contatto e recapito]

DATI RACCOLTI

I dati personali trattati sono raccolti in quanto forniti direttamente dall’interessato o forniti automaticamente.

I dati forniti direttamente dall’interessato sono tutti i dati personali che siano forniti al Titolare del Trattamento con qualsiasi modalità, direttamente dall’interessato. In particolare sono raccolti e trattati i seguenti dati personali:
– elenco dati raccolti [inserire i dati raccolti: nome, cognome, email, etc.]

I dati raccolti automaticamente sono i dati di navigazione. Tali dati, pur non essendo raccolti al fine di essere associati all’identità dell’utente, potrebbero indirettamente, mediante elaborazione e associazioni con dati raccolti dal Titolare, consentire la sua identificazione. In particolare:

• Indirizzo IP
• browser e device di navigazione

In seguito all’invio di newsletter, la piattaforma utilizzata consente di rilevare l’apertura di un messaggio e i clic effettuati all’interno della newsletter stessa, unitamente a dettagli relativi all’ip e al browser/device utilizzati . La raccolta di questi dati è fondamentale per il funzionamento dei sistemi di rinnovo implicito del trattamento (vedi la voce Modalità del Trattamento) e parte integrante dell’operatività della piattaforma di invio.

BASE GIURIDICA E FINALITA’ DEL TRATTAMENTO

I dati sono trattati esclusivamente per le finalità per le quali sono raccolti, come di seguito descritte.

Utilizziamo i dati forniti dagli interessati per:

• [inserire elenco finalità collegate all’adempimento contrattuale o per l’esecuzione del servizio]
• solo in caso di specifico consenso dell’utente, per permettere l’adesione a servizi specifici e ulteriori quali l’invio di future comunicazioni informative e promozionali via mail o mediante strumenti elettronici.

Il conferimento dei dati elencati nella sezione “Dati Raccolti” per le finalità di cui ai punti n. è obbligatorio per consentire all’utente di accedere al servizio. Per tale ragione il consenso è obbligatorio e l’eventuale rifiuto al trattamento ovvero il mancato, inesatto o parziale conferimento dei dati potrebbe avere come conseguenza l’impossibilità di una corretta erogazione del servizio.

Il conferimento dei dati per le finalità di invio newsletter per scopi promozionali, informativi o di ricerca è facoltativo ed il rifiuto a prestare il relativo consenso al Trattamento darà luogo all’impossibilità di essere aggiornati circa iniziative commerciali e/o campagne promozionali, di ricevere offerte o altro materiale promozionale e/o di inviare all’utente offerte personalizzate. [inserire il titolare] non fornisce a terze parti nessuna delle informazioni degli utenti senza il loro consenso, salvo ove richiesto dalla legge.

E’ in ogni caso esclusa la diffusione e il trasferimento dei dati al di fuori dello spazio UE.

REVOCA DEL CONSENSO

L’interessato può revocare il proprio consenso alla ricezione di comunicazioni promozionali e commerciali immediatamente, inviando richiesta all’indirizzo email [inserire email] oppure cliccando sull’apposito link di disiscrizione che potrà trovare nel footer di ogni mail promozionale e commerciale ricevuta.

MODALITA’ DEL TRATTAMENTO

I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti, prevedendo in ogni caso la verifica annuale dei dati conservati al fine di cancellare quelli ritenuti obsoleti, salvo che la legge non preveda obblighi di archiviazione.

Il trattamento dei dati avviene di norma presso la sede della società [inserire il titolare], da personale o collaboratori esterni debitamente designati quali responsabili del trattamento. L’elenco completo dei responsabili del trattamento e degli Incaricati al trattamento dei dati personali può essere richiesto inviando apposita richiesta all’indirizzo email [inserire email]

L’iscrizione e il trattamento relativo sono ritenuti validi fino alla disiscrizione da parte dell’utente, presente in ogni email, oppure dopo 12 mesi dall’ultima comunicazione di cui abbia evidenza di interazione diretta (click, apertura, risposta).

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati.

DIRITTI DELL’INTERESSATO

Ai sensi dell’art. 7 del Codice della Privacy e dell’art. 13 GDPR ciascun utente ha diritto di ottenere la conferma dell’esistenza o meno dei suoi dati personali, anche se non ancora registrati, e la loro comunicazione in forma intellegibile.

In particolare, l’interessato ha diritto di ottenere da [inserire il titolare] l’indicazione:

1. dell’origine dei dati personali;
2. della finalità e delle modalità di trattamento;
3. della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici/informatici;
4. gli estremi identificativi del titolare, dei responsabili e delrappresentante designato;
5. dei soggetti e delle categorie di soggetti ai quali i dati possono esserecomunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Inoltre l’interessato ha diritto di ottenere da [inserire il titolare]

1. l’aggiornamento, la rettificazione ovvero l’integrazione dei propri dati;
2. la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
3. l’accesso ai propri dati e cioè la conferma che sia o meno in corso un trattamento didati personali che lo riguardano;
4. la limitazione del trattamento,
5. la portabilità del dato, cioè il diritto di ricevere in formato strutturato i dati personali che lo riguardano;
6. diritto di reclamo all’Autorità di controllo.

Infine l’interessato ha il diritto di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta. In particolare l’interessato ha il diritto di opporsi al trattamento di dati personali che lo riguardano ai fini di invio di materiale pubblicitario commerciale o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Le richieste di cui ai punti precedenti dovranno essere inviate via email all’indirizzo [inserire l’email]

AGGIORNAMENTI E MODIFICHE

[inserire il titolare] si riserva il diritto di modificare, integrare o aggiornare periodicamente la presente Informativa in ossequio alla normativa applicabile o ai provvedimenti adottati dal Garante per la Protezione dei dati personali.

Le suddette modifiche o integrazioni saranno portate a conoscenza degli interessati mediante link alla pagina di Privacy Policy presente nel sito web e saranno comunicate direttamente agli interessati a mezzo email.

Invitiamo gli utenti a prendere visione della Privacy Policy con regolarità, per verificare l’Informativa aggiornata e decidere se continuare o meno ad usufruire dei servizi offerti.

Se vuoi utilizzare questo testo e modificarlo in word puoi scaricarlo da qui: PRIVACY POLICY

Testo privacy per mail

Attualmente la normativa di riferimento italiana è il Dlgs 196/2003, mentre a breve sarà il nuovo Dlgs di adeguamento al GDPR in via di emanazione, ma riporto sotto il testo del disclaimer:

Le informazioni contenute nella presente comunicazione e i relativi allegati possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari sopraindicati. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., ai sensi del D. Lgs. 196/2003 , che ai sensi dell’informativa resa ex art. 13 Regolamento UE 679/2016. Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di informarci immediatamente inviando un messaggio all’indirizzo e-mail [email protected]

Fac-simile informativa per raccolta consenso

Informativa ai sensi dell’art. 13 del Regolamento europeo 679/2016 e consenso

Ai sensi dell’art. 13 del Regolamento europeo (UE) 2016/679 (di seguito GDPR), e in relazione ai dati personali di cui lo studio entrerà nella disponibilità con l’affidamento della Sua pratica, Le comunichiamo quanto segue:

Titolare del trattamento e responsabile della protezione dei dati personali

Titolare del trattamento è lo studio l… in persona del dott. … (di seguito indicato anche come “professionista”) con domicilio eletto in [LUOGO (solitamente indirizzo dello studio legale)]. Il Titolare può essere contattato mediante ____ [ad esempio PEC o email] all’indirizzo ____. Lo studio del Titolare (ha/non ha) nominato un responsabile della protezione dei dati personali (RPD ovvero, data protection officer, DPO) [nel caso in cui lo studio abbia nominato un data protection officer dovrà indicare anche i riferimenti di contatto del DPO].

Finalità del trattamento dei dati

Il trattamento è finalizzato alla corretta e completa esecuzione dell’incarico professionale ricevuto, sia in ambito giudiziale che in ambito stragiudiziale. I suoi dati saranno trattati anche al fine di:

• adempiere agli obblighi previsti in ambito fiscale e contabile;
• rispettare gli obblighi incombenti sul professionista e previsti dalla normativa vigente.

I dati personali potranno essere trattati a mezzo sia di archivi cartacei che informatici (ivi compresi dispositivi portatili) e trattati con modalità strettamente necessarie a far fronte alle finalità sopra indicate.

Base giuridica del trattamento

Lo studio del professionista tratta i Suoi dati personali lecitamente, laddove il trattamento:

• sia necessario all’esecuzione del mandato, di un contratto di cui Lei è parte o all’esecuzione di misure precontrattuali adottate su richiesta;
• sia necessario per adempiere un obbligo incombente sul professionista;
• sia basato sul consenso espresso [indicare nello specifico le attività per le quali sia richiesto il consenso: ad esempio invio di una newsletter da parte dello studio].

Conseguenze della mancata comunicazione dei dati personali

Con riguardo ai dati personali relativi all’esecuzione del contratto di cui Lei è parte o relativi all’adempimento ad un obbligo normativo (ad esempio gli adempimenti legati alla tenuta delle scritture contabili e fiscali), la mancata comunicazione dei dati personali impedisce il perfezionarsi del rapporto contrattuale stesso.

Conservazione dei dati

I Suoi dati personali, oggetto di trattamento per le finalità sopra indicate, saranno conservati per il periodo di durata del contratto e, successivamente, per il tempo in cui il professionista sia soggetto a obblighi di conservazione  per finalità fiscali o per altre finalità,previsti, da norme di legge o regolamento.

Comunicazione dei dati

I Suoi dati personali potranno essere comunicati a:

1. consulenti e commercialisti o altri legali che eroghino prestazioni funzionali ai fini sopra indicati;
2. istituti bancari e assicurativi che eroghino prestazioni funzionali ai fini sopra indicati;
3. soggetti che elaborano i dati in esecuzione di specifici obblighi di legge;
4. Autorità giudiziarie o amministrative, per l’adempimento degli obblighi di legge.

Profilazione e Diffusione dei dati

I Suoi dati personali non sono soggetti a diffusione né ad alcun processo decisionale interamente automatizzato, ivi compresa la profilazione.

Diritti dell’interessato

Tra i diritti a Lei riconosciuti dal GDPR rientrano quelli di:

• chiedere al professionista l’accesso ai Suoi dati personali ed alle informazioni relative agli stessi; la rettifica dei dati inesatti o l’integrazione di quelli incompleti; la cancellazione dei dati personali che La riguardano (al verificarsi di una delle condizioni indicate nell’art. 17, paragrafo 1 del GDPR e nel rispetto delle eccezioni previste nel paragrafo 3 dello stesso articolo); la limitazione del trattamento dei Suoi dati personali (al ricorrere di una delle ipotesi indicate nell’art. 18, paragrafo 1 del GDPR);
• richiedere ed ottenere dal professionista – nelle ipotesi in cui la base giuridica del trattamento sia il contratto o il consenso, e lo stesso sia effettuato con mezzi automatizzati – i Suoi dati personali in un formato strutturato e leggibile da dispositivo automatico, anche al fine di comunicare tali dati ad un altro titolare del trattamento (c.d. diritto alla portabilità dei dati personali);
• opporsi in qualsiasi momento al trattamento dei Suoi dati personali al ricorrere di situazioni particolari che La riguardano;
• revocare il consenso in qualsiasi momento, limitatamente alle ipotesi in cui il trattamento sia basato sul Suo consenso per una o più specifiche finalità e riguardi dati personali comuni (ad esempio data e luogo di nascita o luogo di residenza), oppure particolari categorie di dati (ad esempio dati che rivelano la Sua origine razziale, le Sue opinioni politiche, le Sue convinzioni religiose, lo stato di salute o la vita sessuale). Il trattamento basato sul consenso ed effettuato antecedentemente alla revoca dello stesso conserva, comunque, la sua liceità;
• proporre reclamo a un’autorità di controllo (Autorità Garante per la protezione dei dati personali – www.garanteprivacy.it).

Io sottoscritt__________________________________Codice fiscale:________________________

acconsente a che il professionista ponga in essere le attività sopra descritte per le quali il consenso rappresenti la base giuridica del trattamento e, per tale motivo,

□ Presta il consenso

□ Nega il consenso

(NB la casella NON deve essere pre-flaggata e si deve tenere traccia sia dei moduli che della prestazione del consenso stesso).

LUOGO, ____________________                                                                                                                  _________________________________

Scarica il modello in formato Word, direttamente dal nostro sito :  Informativa Privacy

REGISTRO ATTIVITA’ DI TRATTAMENTO (art.30, c.1, GDPR)

La tenuta del registro dei trattamenti è prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti.

L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo negli stessi ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche.

Scarica il registro delle attività di trattamento in formato exel direttamente dal nostro sito web : Registro Trattamenti

Sperando di aver fatto cosa gradita, nell’aver fornito queste informazioni sulla normativa GDPR, confidiamo nella massima condivisione di quest’articolo. Grazie per la lettura.