Regolamento generale sulla protezione dei dati (GDPR)

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore nel maggio 2018 e ha rappresentato un'importante innovazione nel panorama della protezione dei dati in Europa. Ha introdotto nuove responsabilità e sfide per le organizzazioni che raccolgono e trattano dati personali. Questa rubrica intende rispondere ad alcune delle domande che gli artisti potrebbero porsi quando cercano di adempiere ai propri obblighi previsti dal GDPR.

Sono un titolare del trattamento dei dati?

Il primo passo è sapere se sei un "titolare del trattamento dei dati". Se ottieni informazioni personali da individui e utilizzi queste informazioni nell'ambito delle tue attività professionali, sei un titolare del trattamento dei dati. L'utilizzo dei dati personali delle persone è definito "trattamento", e comprende un'ampia gamma di attività, tra cui raccolta, registrazione, archiviazione, consultazione, divulgazione e distruzione. Per le organizzazioni artistiche, questo potrebbe includere informazioni su membri dello studio, dipendenti, volontari, partecipanti a eventi e iscritti a mailing list. Un modo utile per comprendere il tuo ruolo di titolare del trattamento dei dati è condurre un'attività di mappatura dei dati. Ciò comporta l'esame e la documentazione delle categorie di individui di cui detieni i dati, quali specifici dati tratti e per quali finalità.

Quali sono le mie responsabilità?

Le responsabilità dei titolari del trattamento dei dati possono essere suddivise in alcune aree chiave della protezione dei dati:

• Il trattamento dei dati deve essere lecito, corretto e trasparente: nessuno dovrebbe sorprendersi nello scoprire cosa succede ai propri dati! Trasparenza significa assicurarsi che le persone di cui si utilizzano i dati ne comprendano il motivo.
• I dati devono essere trattati per finalità specifiche, esplicite e legittime: prima di raccogliere informazioni dalle persone, è necessario comprenderne il motivo e non utilizzarle per altri scopi successivi.
• Saranno trattati solo i dati adeguati, pertinenti e necessari per uno scopo specifico: raccogliere solo le informazioni di cui si ha bisogno; non raccogliere informazioni extra perché potrebbero essere utili in futuro.
• I dati devono essere mantenuti accurati e aggiornati: conservare dati inesatti, come i dati di contatto, comporta il rischio di divulgare informazioni personali alla persona sbagliata. Cercate di mantenere aggiornati tutti i registri dei dati personali.
• I dati devono essere conservati solo per il tempo necessario al raggiungimento delle finalità perseguite: la conservazione indefinita dei dati personali non è generalmente consentita. Valutate il motivo per cui avete bisogno dei dati e decidete quale lasso di tempo ragionevole può essere stabilito.
• È necessario adottare misure di sicurezza per garantire la riservatezza e l'integrità dei dati: ciò significa adottare misure tecniche (come la crittografia delle e-mail e password complesse), ma anche assicurarsi che tutti coloro che gestiscono i dati comprendano le proprie responsabilità.

I titolari del trattamento dei dati devono inoltre considerare la base giuridica del trattamento che effettuano. A ciascun utilizzo dei dati deve applicarsi una delle seguenti condizioni:

• Consenso: l'individuo ti ha dato il permesso di utilizzare i suoi dati.
• Contratto: è necessario utilizzare i dati per adempiere ai termini di un contratto. Ciò si applica in particolare al rapporto di lavoro.
• Obbligo legale: sei obbligato per legge a trattare i dati, ad esempio un incidente segnalabile, all'Autorità per la salute e la sicurezza.
• Interesse pubblico: per gli enti pubblici, è necessario utilizzare i dati per svolgere le proprie funzioni pubbliche.
• Interessi legittimi: per i privati ​​e le organizzazioni non profit, è necessario utilizzare i dati per raggiungere i propri obiettivi legittimi.

Questo linguaggio può sembrare piuttosto legale e formale, ma tornando al tuo esercizio di mappatura dei dati, puoi iniziare a capire perché utilizzi i dati e quale base giuridica si applica. È importante sottolineare che il principio di responsabilità è alla base di tutte queste responsabilità, poiché richiede ai titolari del trattamento di rispettare la legge e di essere in grado di dimostrarla: prenditi il ​​tempo necessario per documentare il tuo processo decisionale in materia di protezione dei dati.

E le liste email?

L'utilizzo delle mailing list è importante in un settore come quello delle arti visive, per la promozione di eventi, il marketing e così via. Il consiglio migliore è assicurarsi di ottenere un consenso esplicito da parte degli utenti e che ogni email includa un'opzione di cancellazione. Se si utilizza una piattaforma di terze parti per gestire i contatti, assicurarsi che questa sia integrata nelle comunicazioni.

Dove dovremmo archiviare i dati?

Nelle organizzazioni più piccole e di volontariato, i dipendenti dovranno utilizzare i propri computer portatili e dispositivi mobili per elaborare i dati. Assicuratevi che gli account di posta elettronica condivisi e i database online siano protetti da password ed evitate, ove possibile, di utilizzare indirizzi di posta elettronica personali per le attività aziendali. L'utilizzo di account di posta elettronica per archiviare i dati non è una buona pratica; la posta elettronica è uno strumento di comunicazione, non un supporto di archiviazione.

Diritti sull'oggetto dei dati

I titolari del trattamento dei dati hanno obblighi importanti in materia di diritti individuali. In primo luogo, le persone hanno diritto a informazioni chiare e trasparenti sulle finalità del trattamento dei loro dati. Quando si raccolgono informazioni online, un'informativa sulla privacy del sito web è il modo migliore per farlo. Le persone hanno anche il diritto di accedere alle informazioni in loro possesso e il titolare del trattamento ha l'obbligo di agevolare tale accesso. Se qualcuno richiede una copia dei propri dati, questa deve essere fornita entro un mese.

Hai bisogno di una politica sulla protezione dei dati?

Una policy sulla protezione dei dati è considerata una buona pratica, in quanto definisce come la tua organizzazione gestisce i dati e aiuta il personale e i volontari a capire come gestirli. È anche un buon modo per soddisfare i requisiti di responsabilità.

La Commissione per la Protezione dei Dati Personali (DPC) fornisce ulteriori indicazioni su questi argomenti. È inoltre possibile contattare il Team di Consultazione Volontaria del Settore (DPC Voluntary Sector Consultation Team) all'indirizzo dataprotection.ie

Per gli artisti dell'Irlanda del Nord, le informazioni sul GDPR nel Regno Unito sono disponibili sul sito dell'Information Commissioners' Office (ICO):

https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/individual-rights/