L’Unità di regolamentazione e controllo dei dati personali (URCDP) ha generato una serie di buone pratiche che gli enti pubblici possono applicare nella generazione di moduli web che raccolgono dati personali.

Al momento, la generazione di database di qualità è essenziale per il funzionamento delle organizzazioni. Ciò consente di migliorare la qualità del rapporto tra le persone e l’organizzazione, nonché di facilitarne i processi interni, migliorandone l’efficienza.

In molte occasioni, questi database sono alimentati da informazioni raccolte in forma digitale. Per questo motivo, l’URCDP ha raccolto dieci buone pratiche rivolte soprattutto alle organizzazioni pubbliche, in modo che possano creare e distribuire moduli web che raccolgono dati personali.

Il documento include raccomandazioni sulla scelta dei sistemi, i meccanismi di autenticazione, la gestione dei dati raccolti, la loro conservazione e la valutazione dell’impatto. Inoltre si fa riferimento all’importanza della partecipazione del Delegato alla Protezione dei Dati Personali alla generazione dei moduli, nonché all’inserimento di clausole che includono le condizioni del trattamento dei dati, affinché le persone possano esercitare i propri diritti nel mondo digitale.

Buone pratiche in materia di protezione dei dati personali per l’utilizzo di moduli da parte di enti pubblici

In questo quadro, l’Unità di Regolazione e Controllo dei Dati Personali mette a disposizione degli enti pubblici le seguenti buone pratiche nell’utilizzo dei moduli per la raccolta dei dati personali:

1. Optare per sistemi sotto il controllo dell’ente e a disposizione dello Stato, che consentano la predisposizione di moduli sicuri, accessibili e personalizzati (articoli 10 e 12 della legge n. 18.331).
   Un esempio di questi sistemi è il  SIMPLE Public Software , uno strumento BPM che permette lo sviluppo di form secondo le linee guida del Modello Digital Procedures and Services .
2. Incorporare, a seconda del tipo di informazioni raccolte e dello scopo determinato, meccanismi di autenticazione dell’utente prima di accedere ai moduli. 
3. Utilizzare per quanto possibile, attraverso canali protetti e tenuto conto delle ragioni della comunicazione dei dati, le informazioni messe a disposizione da altri Enti Pubblici, al fine di garantire la qualità dei dati raccolti (artt.7 e 17 della Legge 18.331 e 159 della legge 18.719). 
4. Raccogliere i dati strettamente necessari per l’adempimento della finalità prevista, nel rispetto del principio di veridicità (art. 7 Legge n. 18.331).
5. Conservare le informazioni raccolte solo fino a quando persiste lo scopo o lo standard legale che ha originariamente consentito la raccolta, nel rispetto del principio di scopo (articolo 8 della legge n. 18.331).
6. Ospitare le informazioni raccolte su server ubicati all’interno del territorio nazionale, o in territori dichiarati adeguati da questa Unità, a seconda dei casi (art. 23 Legge n. 18.331).
   Nel caso degli Enti dell’Amministrazione Centrale è necessario valutare anche l’applicazione del Decreto n. 92/014, quando si tratta di sistemi informatici previsti dall’art. 3 del Decreto n. 451/009.
7. Includere clausole che informino le condizioni del trattamento, le forme di esercizio dei diritti e, ove opportuno, richiedono il consenso dei titolari dei dati, che potrà essere espresso con mezzi elettronici (artt.9 e 13 Legge n. 18.331). 
8. Registrare i nuovi database personali generati dalle informazioni raccolte. 
9. Sviluppare il modulo con il supporto del delegato alla protezione dei dati personali (articoli 40 della legge n. 19.670 e 11 del decreto n. 64/020), nonché con le aree della sicurezza informatica e della tecnologia, se del caso.
10. Effettuare, a seconda del tipo di informazioni raccolte o del loro volume, la corrispondente valutazione di impatto sulla protezione dei dati (art. 12 Legge n. 18.331 e 6 e 7 del Decreto n. 64/020).

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELL’URUGUAY