You are currently viewing Come creare moduli di raccolta dati a norma GDPR?

Come creare moduli di raccolta dati a norma GDPR?

Cosa devi sapere prima di creare un modulo di raccolta dati?

Stai creando un modulo di raccolta dati per il tuo sito? Bene, ricordati però che non tutti i dati che raccogli sono uguali, di conseguenza sono soggetti ad adempimenti diversi. Ricordati anche che se sbagli nella raccolta dei dati, stai commettendo un illecito e che tutti i successivi trattamenti che eseguirai su quei dati saranno sempre e comunque illeciti.

Parliamo di illeciti in quanto commettendoli ti esporrai a rischi di multe salatissime e di vanificare tutto il lavoro fatto fino a quel punto e non solo, la reputazione della tua azienda potrebbe subire gravi danni alla reputazione.

Adesso che vediamo come devi fare per creare moduli di raccolta dati conformi ed evitare tutti i problemi sopra descritti.

Quali sono i passi da seguire per creare un modulo di raccolta dati a norma GDPR?

  • Il primo passo per essere conformi è quello di predisporre il link all’informativa sul trattamento dei dati personali. Questo perché i consensi che raccoglierai con questo modulo devono essere informati. E’ consigliabile impostare l’informativa su due livelli e cioè un primo livello dove l’interessato può vedere un’informativa sintetica con le informazioni più importanti scritte in modo chiaro ed esplicito e poi un link al secondo livello dove l’interessato può consultare l’informativa estesa. Per sapere di più sull’informativa consulta anche: Come scrivere l’informativa privacy .
  • Il secondo è quello di osservare il divieto di caselle pre-spuntate del consenso o al massimo la spunta deve essere preimpostata sul rifiuto al trattamento e mai sull’accettazione. Questo perché l’interessato deve manifestare il suo consenso attraverso “una dichiarazione o azione positiva inequivocabile” quindi va da sé che se mettessi la casella pre-spuntata sul “Si”, l’interessato non farebbe nessuna azione positiva né tanto meno inequivocabile e anzi si potrebbe correre il rischio che l’interessato non si accorga di aver in tal modo acconsentito al trattamento dei suoi dati.
  • Il terzo è quello di osservare la specificità del consenso. Ciò vuol dire che per ogni finalità ci deve essere una casella distinta. Ad esempio se vuoi fare marketing con i dati raccolti, dovrai prevedere una casella con la richiesta del consenso ai fini marketing. Se prevedi di fare anche attività di profilazione, dovrai mettere un’altra casella con richiesta del consenso per profilazione. Per quanto riguarda l’informativa invece, dovrai predisporre comunque una casella però a differenza delle altre finalità, non è necessario il consenso dell’interessato ma la semplice presa visione.
  • Il quarto passo nel nostro percorso di adeguamento è quello di richiedere il consenso granulare. Questo vuol dire che gli utenti devono poter fornire un consenso separato per i diversi tipi e modalità di trattamento dei dati. Se per esempio prevedi di contattare l’utente via telefono piuttosto che via email o SMS, potrai dare all’utente la possibilità di scegliere la modalità preferita.
  • Il quinto ma molto importante è la gestione e revoca semplice del consenso. In realtà non si tratta solo di semplicità ma, il legislatore ha chiarito che l’interessato/l’utente deve poter gestire e revocare il consenso con la stessa semplicità e velocità con la quale te lo ha prestato. 
  • Il passo successivo riguarda il consenso al trasferimento dei dati a terze parti. La trasparenza è un dei principi cardine del GDPR quindi se prevedi di trasferire o condividere i dati raccolti con altri soggetti, devi identificare chiaramente ciascuna terza parte. Non è sufficiente fare riferimento ad “organizzazioni di terze parti”; le terze parti vanno specificate con il nome della società.
  • Un altro dei principi sanciti dal GDPR è quello della minimizzazione dei dati. Questo significa che nel raccogliere i dati dovrai richiedere soltanto quelli strettamente necessari. Per esempio se raccogli i dati dell’utente per poi contattarlo, dovresti chiedere soltanto nome, cognome e telefono e non anche il codice fiscale o la residenza e altri in quanto sarebbero dati ridondanti per la finalità perseguita.

Conclusioni

Per avere un modulo di raccolta dati conforme al GDPR devi seguire i passi sopra descritti però ricordati che un modulo a norma non vuol dire essere a norma come azienda. Quindi oltre a dover verificare i requisiti del tuo sito (ad esempio avere il protocollo HTTPS per un trasferimento di dati sicuro) dovrai gestire il periodo di conservazione dei dati raccolti, l’esercizio dei diritti, la conservazione dei dati e dovrai adottare misure di sicurezza adeguate per evitare problemi sui dati (perdita, distruzione, diffusione ecc).

Veronica Mandrila

Consulente privacy e tecnico dei sistemi informativi aziendali. Libera professionista dal 2015. Segue i percorsi di formazione e le fasi di assessment dei dati presso le aziende.