Che cos’è una dichiarazione sulla protezione dei dati e perché è necessaria?
All’interno di una dichiarazione sulla protezione dei dati è indicato quali dati possono essere trattatti da un’azienda e il relativo fine. Viene inoltre illustrato come i dati sono raccolti e utilizzati e se verranno trasmessi ad altre persone o aziende e/o a terzi. Sono infine descritte le misure adottate dall’azienda per tutelare la privacy della sua clientela, con l’indicazione della persona incaricata all’interno dell’impresa per il trattamento dei dati.
L’obiettivo di una dichiarazione sulla protezione dei dati è garantire trasparenza. Secondo la nuova legge sulla protezione dei dati, le aziende sono infatti tenute all’obbligo generale di informazione, ossia a informare la persona interessata in maniera adeguata circa la raccolta dei suoi dati personali, in particolare in riferimento alla portata e allo scopo del loro trattamento. Formulando una dichiarazione sulla protezione dei dati ottemperi a questo obbligo di legge, assicurandoti al tempo stesso che clienti e partner commerciali siano informati correttamente.
È importante che la dichiarazione sia sempre aggiornata, completa e corretta. Assicurati dunque che venga revisionata regolarmente e adeguata all’occorrenza.
A cosa serve una dichiarazione sulla protezione dei dati?
In linea generale un’informativa di questo tipo è sempre necessaria qualora vengano raccolti o trattati dati personali. Di seguito alcuni esempi concreti.
- Siti web
Le pagine Internet devono essere obbligatoriamente provviste di una dichiarazione sulla protezione dei dati, a prescindere dal fatto che vengano raccolti tramite modulo di contatto, l’iscrizione a una newsletter, cookies o altri strumenti di tracking. In linea generale sui siti web vengono infatti sempre raccolti dati personali, anche di vario tipo. - Contratti con privati (in particolare clienti)
- Newsletter
- Campagne di marketing ecc.
Check-list: Cosa deve contenere una dichiarazione sulla protezione dei dati?
La nuova LPD prevede un contenuto minimo preciso per le dichiarazioni di questo tipo. Al loro interno è infatti necessario rispondere almeno alle domande qui di seguito.
- Chi è responsabile per il trattamento dei dati? Concretamente vanno indicati il nome e i dati di contatto della persona responsabile per l’elaborazione dei dati.
- Che tipo di dati personali vengono raccolti dall'azienda? Devono essere riportate le categorie specifiche, ad es. nome e cognome, dati di contatto, dati sanitari ecc.
- Chi è interessato dalla dichiarazione sulla protezione dei dati e i dati di chi vengono raccolti? Nell’informativa devono essere indicate le categorie delle persone interessate, ad esempio clienti, personale, fornitori ecc.
- Perché vengono raccolti i dati? La dichiarazione deve riportare il fine per cui si raccolgono i dati, ad es. l’esecuzione di contratti con i clienti, il corretto funzionamento del sito nel caso di cookie ecc., così come il periodo di tempo per cui questi saranno conservati.
- A chi vengono trasmessi i dati raccolti oltre all’azienda? È necessario specificare a chi sono destinati i dati, ad es. subappaltatori e fornitori di servizi, assicurazioni, aziende partner o simili.
- Anche l’eventuale trasmissione di dati oltre i confini nazionali deve avvenire in maniera trasparente.
- Se svolgi la tua attività solo in Svizzera, per agire nel pieno rispetto della normativa sulla protezione dei dati è sufficiente fornire queste informazioni. Se invece dovessi operare nella sfera d’influenza del Regolamento generale sulla protezione dei dati dell’UE (RGPD), è consigliabile redigere fin da subito una dichiarazione sulla protezione dei dati completa, soprattutto per gli shop online. In questo caso ti suggeriamo di aggiungere alla tua informativa i seguenti punti.
- Quali sono i presupposti giuridici per il trattamento dei dati ai sensi della RGPD? Tra questi può rientrare la fase di elaborazione iniziale di un contratto o la sua esecuzione, una base legale precisa, il consenso da parte delle persone interessate o di rappresentanti mandatari oppure interessi preponderanti o legittimi da parte dell’azienda.
- Informazioni sulla profilazione dei dati: se la tua azienda procede al «Profiling» dei dati, questo deve essere effettuato in modo trasparente.
- Per quali motivi l’elaborazione dei dati è assolutamente necessaria?
- Quali sono i diritti delle persone interessate? I diritti dei soggetti coinvolti, ad es. il diritto d’accesso, devono essere elencati in maniera dettagliata.