La volta scorsa abbiamo raccontato la nostra versione dei dieci comandamenti del GDPR. Oggi proviamo ad approfondirne i primi cinque.
Ma partiamo con una premessa: tutto questo si applica esclusivamente ai dati personali, ai dati di persone fisiche, non a dati di aziende. E interessano i dati dove la persona a cui si riferiscono è identificabile, non importa come.
Non tratterai impropriamente il dato d'altri
Questo è un po' un acchiappatutto, come il settimo comandamento, "non rubare", che basterebbe per coprire il 99% del codice civile, se solo ci fosse un consenso comune sul concetto di furto.
L'articolo corrispondente nel GDPR sarebbe il 5, che dice che si devono fare le cose bene, e che il titolare del trattamento è responsabile di assicurarsi che si facciano bene.
In un mondo ideale basterebbe questo. Nel mondo reale, in particolare dalle nostre parti, è come non aver detto nulla.
Ed effettivamente, sull'altare dell'articolo 5 sono stati compiuti sacrifici di tutti i generi. In pratica si può invocarlo per vendere qualsiasi cosa, sostenendo che se esiste uno strumento per fare di più, allora va comprato. Chiaramente non è così, le misure, gli strumenti, le procedure devono comunque essere ragionevoli e proporzionate alla natura del dato.
E non dimentichiamo una cosa importante: da nessuna parte si dice che devo usare automatismi, strumenti, tecnologie specifiche. Il GDPR è quanto di meno tecnologico si possa leggere. Se io uso la tecnologia per trattare i dati allora probabilmente dovrò usare la tecnologia per proteggere i dati, ma questo lo decido io.
Tratterai il dato d'altri solo se ti è consentito
Non posso tenere, trattare, memorizzare, elaborare dati semplicemente perché mi va. Devo avere il permesso dell'interessato, o devo essere costretto dalla legge, oppure devo essere costretto a farlo per poter fare quello che l'interessato mi ha chiesto.
Quindi, ad esempio, se compro un database di contatti devo essere certo che chi me lo vende abbia il consenso non solo a raccogliere i dati, ma pure a raccontarli in giro.
Ultima cosa: devo essere in grado di dimostrare di avere il consenso, e non devo usare sotterfugi per procurarmelo. Quindi non vanno bene consensi prestampati, consensi che mettono insieme cose obbligatorie con cose facoltative, e qualsiasi cosa nasconda la vera natura del consenso richiesto.
Userai il dato d'altri solo per gli scopi per i quali hai il consenso o
per i quali li hai raccolti
Se ho legittimamente dei dati, non posso usarli come mi pare. Se chiedo ad una persona il permesso di trattare i suoi dati, ad esempio per fargli l'assicurazione dell'auto, non posso poi usarli per cercare di vendergli un conto in banca, a meno che l'interessato mi abbia esplicitamente dato il consenso a farlo.
Informerai l'interessato delle tue intenzioni
In generale, in fase di richiesta dei dati e di raccolta del consenso al trattamento, devo informare l'interessato delle mie intenzioni. In particolare devo dire cosa faccio, dove lo faccio, a chi lo faccio fare e dare un modo all'interessato di contattarmi per esercitare i suoi diritti relativamente al GDPR.
Questa è la famosa informativa, che tutti danno a tutti gli altri e che nessuno legge…
La prossima volta gli altri sei.