Quali informazioni devono essere fornite agli individui di cui vengono raccolti i dati?

Risposta

Al momento della raccolta dei dati, le persone devono essere informate chiaramente almeno su quanto segue:

• chi è la tua azienda/organizzazione (i tuoi dati di contatto ed eventualmente quelli del tuo responsabile della protezione dei dati);
• perché la tua azienda/organizzazione utilizzerà i loro dati personali (finalità);
• le categorie di dati personali interessate;
• la giustificazione giuridica per il trattamento dei dati;
• per quanto tempo saranno conservati i dati;
• chi altro potrebbe riceverli;
• se i loro dati personali saranno trasferiti a un destinatario al di fuori dell’UE;
• che hanno diritto a una copia dei dati (diritto di accesso ai dati personali) e altri diritti fondamentali nel campo della protezione dei dati (cfr. elenco completo dei diritti);
• il loro diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali;
• il loro diritto di revocare il consenso in qualsiasi momento;
• se applicabile, l’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze.

Consulta l’elenco completo delle informazioni da fornire.

Tali informazioni possono essere fornite per iscritto, oralmente su richiesta della persona quando la sua identità è dimostrata con altri mezzi o, se del caso, per via elettronica. La tua azienda/organizzazione deve farlo in modo conciso, trasparente, comprensibile e facilmente accessibile, in un linguaggio chiaro e semplice e gratuitamente.

Quando i dati sono ottenuti da un’altra azienda/organizzazione, la tua azienda/organizzazione deve fornire le informazioni elencate qui sopra alla persona interessata al più tardi entro un mese dal momento in cui la tua azienda ha ottenuto i dati personali; oppure, nel caso in cui la tua azienda/organizzazione comunichi con la persona, quando i dati vengono utilizzati per comunicare con lei; oppure, se è prevista la divulgazione a un’altra società, quando i dati personali vengono divulgati per la prima volta.

La tua azienda/organizzazione è inoltre tenuta a comunicare alla persona le categorie di dati e la fonte da cui sono stati ottenuti, incluso se sono stati ottenuti da fonti accessibili al pubblico. In circostanze specifiche elencate all'articolo 13, paragrafo 4, e all'articolo 14, paragrafo 5, del regolamento, la tua azienda/organizzazione può essere esonerata dall’obbligo di informare la persona. Verifica se tale esonero si applica alla tua azienda/organizzazione.

Riferimenti

• Articoli 12, paragrafo 1, 12, paragrafo 5, 12, paragrafo 7, 13, 14; Considerando 58-62 del GDPR
• Linee guida sulla trasparenza del comitato europeo per la protezione dei dati ai sensi del regolamento (UE) 2016/679

• Article 12(1), (5) and (7), Articles 13 and 14 and Recitals (58) to (62) of the GDPR
• EDPB guidelines on Transparency under Regulation 2016/679