Tempi e modalità di aggiornamento della documentazione relativa alla privacy sono definite dalla normativa? Quali documenti aggiornare e ogni quanto? L’informativa privacy va aggiornata? Quanto dura la registrazione del consenso? Tanti dubbi che cerchiamo di risolvere con questa news.
Quando aggiornare la documentazione privacy?
Non ci sono tempistiche obbligatorie di aggiornamento della documentazione privacy, cioè non si può dire che informative, incarichi, consensi, registro dei trattamenti e DPIA vadano aggiornati sempre e comunque una volta all’anno. Ci sono però tre casistiche che, quando si determinano, devono portare a un aggiornamento della documentazione privacy pertinente e cioè:
- la variazione di tipologie e metodi di trattamento dei dati personali;
- un data breach, ossia una violazione dei sistemi di sicurezza dei dati, oppure una segnalazione nell’ambito di attività di verifica (magari annuale) delle procedure di sicurezza che ne mettono in luce l’inadeguatezza;
- l’introduzione di novità o modifiche normative che incidono sui trattamenti in essere.
A seconda di come è strutturata la documentazione di riferimento e del relativo contenuto, sarà opportuno provvedere agli aggiornamenti che rendano conto delle modifiche introdotte e da introdurre. Le modifiche documentali dovranno precedere le modifiche di tipologie e metodi di trattamento, essere tempestive in caso di data breach o anomalie di audit e rispettare i termini normativi nell’ultimo caso.
Un caso particolare di aggiornamento dei documenti privacy è quello che si verifica quando cambiano i soggetti che hanno responsabilità e incarichi specifici in relazione al trattamento dei dati, a partire dal titolare del trattamento per arrivare all’incaricato, passando per il DPO e per i responsabili esterni. In questo caso non si tratta necessariamente di una modifica della documentazione che definisce procedure e tipologie di trattamento dei dati, quanto di un aggiornamento dei nominativi dei soggetti e dell’emissione di nuovi incarichi formali.
Quanto dura il consenso privacy?
Il consenso privacy è il consenso rilasciato dall’interessato al trattamento dei propri dati da parte di un titolare. Il consenso dura fino a quando l’interessato non lo revoca. Questo però non significa che i dati dell’interessato possano essere trattati (e la conservazione dei dati è un trattamento!) per un tempo indefinito, al contrario il GDPR prevede che ogni titolare debba assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. E la definizione dei tempi di conservazione dei dati è un onere del titolare e un dato che deve essere comunicato all’interessato attraverso l’informativa privacy.
Aggiornamento informativa privacy
Dando per eseguito e concluso l’aggiornamento della privacy policy rispetto ai requisiti del GDPR, il dubbio che sorge di frequente in azienda è se questo documento debba essere revisionato o aggiornato con una specifica periodicità. La risposta è che no, non c’è una scadenza, ma che, come per il resto della documentazione privacy, deve essere tenuta sotto controllo in modo che le informazioni in essa contenute siano sempre aggiornate rispetto a soggetti, trattamenti e modalità di esercizio dei diritti dell’interessato. In altre parole l’informativa privacy è uno dei documenti che compongono la gestione privacy in azienda e i suoi contenuti devono essere verificati al pari di quelli del registro dei trattamenti, del DPIA, etc.
La soluzione che consigliamo per poter avere maggiore controllo e più sicurezza rispetto alla conformità della gestione privacy in azienda è quella di prevedere un audit almeno annuale su questo processo specifico nell’ambito di una consulenza tecnica. Perché, anche se una frequenza di aggiornamento non è prevista in modo esplicito, quello che è certo è che l’impostazione della gestione privacy non può essere mai data per scontata, e non si può pensare che la si possa definire una volta per sempre.
Commenti recenti