Domande e risposte in relazione ai Titolari del trattamento di dati personali
Domanda: quand'è che sono Titolare del trattamento dei dati? Risposta: diventi Titolare di un trattamento di dati nel momento in cui raccogli e detieni in prima persona i dati di dipendenti, clienti o fornitori al fine di svolgere una attività commerciale.
Domanda: quand'è che pur trattando dei dati non sono Titolare? Risposta: non sei Titolare di un trattamento quando i dati dei clienti o di altri soggetti che tratti non li hai raccolti direttamente tu, ma li hai ricevuti da un altro soggetto che ti ha commissionato un lavoro. In base al D.Lgs. 196/03 sarà lui a dover tutelare la Privacy di quei dati.
Domanda: in quanto Titolare cosa devo fare per la Privacy? Risposta: Per garantire la Privacy di chi ti ha ceduto i suoi dati devi fare in modo che i dati che detieni non subiscano tre tipi di danno. Il primo riguarda la perdita dei dati, che in certi casi rappresenta un danno per chi te li ha forniti; il secondo riguarda l'uso dei dati in modo difforme da quanto concordato con chi te li ha dati (per concordato intendiamo quanto tu hai dichiarato nell'informativa che hai dato a chi ti ha fornito i dati); il terzo riguarda il fatto che i dati, pur in modo conforme all'informativa, siano trattati da soggetti estranei o non incaricati da te per svolgere le attività sui dati stessi.
Domanda: come evito il rischio di perdita dei dati? Risposta: per evitare la perdita dei dati devi fare una copia dei dati almeno una volta alla settimana, usando un sistema cosiddetto di backup. Può essere una copia dei dati su un supporto come il CD o il DVD oppure su un Hard Disk esterno o su una chiavetta/pennetta USB. Puoi usare un'unità a nastro (DAT) che esegue la copia su dei nastri magnetici. Infine puoi adottare un sistema di Hard Disk cosiddetto in mirroring (due hard disk separati sono copie speculari l'uno dell'altro; la probabilità che si rompano tutti e due contemporaneamente è minima e se se ne rompe uno dei due, l'altro contiene una copia integrale di tutti i dati). Alcuni sistemi sono manuali e devi eseguire tu la copia. Altri sistemi sono automatici e la copia viene eseguita a ritmi che tu decidi senza bisogno poi di intervenire ogni volta che devi copiare i dati.
Domanda: come evito il rischio di trattamento non conforme all'informativa? Risposta: il modo migliore è assicurarti di eseguire sui dati solo le operazioni che hai dichiarato nell'informativa. Se hai scritto che i dati non verranno diffusi, per garantirne la Privacy assicurati di non pubblicare i dati sul tuo sito internet, ad esempio, oppure di non lasciare dei dati in vista nei tuoi locali (affissi su bacheche visibili a tutti). Se hai scritto che i dati saranno comunicati a terzi per questioni di lavoro, assicurati che i dati vengano comunicati al commercialista o all'avvocato e non per esempio a una società esterna che faccia operazioni di marketing. Infine assicurati che i dati che sono sui pc, siano protetti da un buon antivirus e da un buon firewall per evitare che estranei possano vedere i dati.
Domanda: come evito il rischio di trattamento non lecito? Risposta: per evitare questo rischio, fa in modo che chi tratta i dati in quanto tuo dipendente o collaboratore sia stato incaricato con una lettera scritta da parte tua, indicando quali banche dati può trattare. Evita che accedano ai dati soggetti non incaricati, anche se saltuariamente e per motivi di lavoro. Ad esempio se hai un figlio che viene in azienda per imparare come si fa il lavoro, in vista di un futuro ingresso nella società, per garantire di essere in regola con la Privacy incarica anche lui. Non è necessario che sia assunto o inquadrato all'interno della ditta per essere incaricato a poter trattare i dati.
Domanda: sento parlare del DPS. Di cosa si tratta e che relazione ha con la Privacy? Risposta: il DPS è un documento (si chiama documento programmatico sulla sicurezza) che contiene analiticamente tutte le misure che hai effettuato per salvaguardare la Privacy dei dati dai tre pericoli che abbiamo indicato nelle altre domande. La legge lo identifica come misura minima di sicurezza e obbliga a redigerlo per chi tratta dati sensibili o identificativi con l'uso dei computer e ad aggionarlo ogni anno entro il 31 di marzo. Ultimamente una legge del governo ha esonerato da quest'obbligo chi tratta dati sensibili solo con riferimento allo stato di salute dei dipendenti, ma non ha escluso anche i dati sensibili delle buste paga. Alla luce delle possibili sanzioni per non aver fatto o aggiornato il DPS, si consiglia comunque di redigerlo. Per certe realtà si tratterà di un documento molto snello, facile da gestire e esistono soluzioni molto economiche per redigerlo, tra cui ovviamente ancheil servizio da noi fornito.
Domanda: non ho mai fatto il DPS. Cosa rischio? Risposta: il rischio è di vedersi inflitte, così come definito dal codice sulla Privacy, una sanzione di € 50.000 e una pena detentiva fino a 2 anni. Il rischio rigurda sia chi non l'ha mai fatto, sia chi l'ha fatto ma non l'ha più aggiornato. La legge prevedeva un termine ultimo per la redazione, ma superato detto termine è comunque possibile fare il DPS e non rischiare sanzioni, in quanto il termine previsto significava che un controllo successivo a quella data che avesse riscontrato la mancanza del DPS avrebbe fatto scattare la sanzione. Quindi farlo anche con due anni di ritardo fa sì che un eventuale controllo, trovando il DPS in regola, avrà esito positivo.
Domanda: devo mandare l'informativa a tutti i miei clienti e aspettare una risposta positiva? Risposta: non è necessario, in molti casi, ottenere una risposta positiva (consenso sulla Privacy) al trattamento dei dati. E' sufficiente portare a conoscenza del cliente, una volta sola, l'informativa che contiene le indicazioni di come verranno trattati i dati. E' possibile poi inserire nelle fatture una breve dicitura che richiami una informativa più estesa, magari indicando un indirizzo internet dove poterla leggere.
Domanda: ho una palestra e i clienti vengono presso i miei locali. Posso appendere l'informativa in pubblico? Risposta: se la tua attività prevede che la tua clientela venga spesso presso i tuoi locali, la legge sulla Privacy prevede che tu possa preparare l'informativa e appenderla in una bacheca ben visibile al pubblico, indicando poi nella fattura o nella ricevuta che l'informativa è disponibile per la visione nel luoo dove è stata appesa.
Domanda: quand'è che devo chiedere il consenso sulla Privacy? Risposta: devi chiedere un consenso esplicito quando vuoi effettuare sui dati dei tuoi clienti delle operazioni che non sono indispensabili per lo svolgimento del contratto o del servizio che hai concordato con lui. Se vuoi comunicargli delle novità o dei servizi nuovi devi avere il consenso espresso. Allo stesso modo devi chiedere e avere il consenso per cedere i dati ad altri soggetti che vogliano fare promozione di servizi di terze parti.
Domanda: quando chiedo il consenso e il cliente rifiuta cosa succede? Risposta: la legge sulla Privacy permette al cliente di rifiutare il consenso quando il trattamento da svolgere sul dato non è indispensabile allo svolgimento del contratto o del servizio. Ad esempio il cliente potrebbe negare il consenso a ricevere informazioni commerciali. In questo caso il contratto principale è non subisce penalizzazioni, ma non potrai ovviamente mandargli comunicazioni commerciali, né cedere i dati a terzi per gli stessi motivi.
Domanda: il cliente può rifiutare di dirmi i suoi dati se questi servono a svolgere il contratto che abbiamo concordato? Risposta: sì, teoricamente il cliente può rifiutare di conferire i suoi dati anche per i trattamenti indispensabili al contratto, ma ovviamente deve rinunciare al contratto in sé. Ad ogni modo è raro che il cliente rifiuti in questi termini. A volte confonde il conferimento dei dati con il consenso a ricevere della pubblicità. E' sufficiente tranquillizzare il cliente spiegando la differenza.
Domanda: una persona mi ha scritto per sapere se ho i suoi dati. Cosa devo fare? Risposta: devi rispondergli affermativamente o negativamente a seconda che tu abbia o meno i suoi dati nei tuoi archivi utilizzando possibilmente la stessa forma di comunicazione che ha usato lui o similare. Se ti ha inviato un fax o una email puoi rispondergli allo stesso modo. Se ti ha mandato una raccomandata devi rispondergli con una raccomandata anche tu, perché se il cliente successivamente volesse crearti dei problemi potrebbe fare un ricorso al Garante e tu non avresti una prova che gli hai risposto. Ovviamente se lui per primo usa un metodo che non è probatorio, rispondendogli senza la raccomandata non corri rischi.
Domanda: un cliente mi aveva dato il consenso a mandargli promozioni commerciali e ora me l'ha tolto. E' possibile? Risposta: sì, la legge sulla Privacy prevede che il cliente che ti ha dato il consenso inizialmente, può in ogni momento cambiare idea e negartelo da un certo momento in poi. Da quel momento dovrai smettere di mandargli comunicazioni commerciali.
Domanda: un cliente mi ha chiesto di cancellare i suoi dati, ma mi servono per motivi fiscali. Cosa devo fare? Risposta: dovrai comunicare al cliente che non puoi cancellare i suoi dati perché la legge ti obbliga a tenerli e il codice della Privacy non può derogare altre leggi. Ad ogni modo gli darai notizia che qualsiasi altro trattamento non collegato agli obblighi di legge verrà sospeso così come da lui richiesto.
Domanda: ho una domanda che non è presente in questa pagina. Cosa devo fare? Risposta: utilizza il form sottostante per porci una domanda gratuitamente. Ti risponderemo in privato e aggiungeremo la tua domanda perché possa essere utile ad altri. La fonte della domanda resterà anonima.
