menzionati nelle relative definizioni di cui all’articolo 4, nn. 7 e 8 del GDPR). Continuando con l’esame dei contenuti minimi della Informativa made in USA, essa deve evidenziare: 2. le categorie di dati raccolti e trattati dal titolare o dal responsabile del trattamento (in un’ottica comparativa con il GDPR, come è noto questo contenuto informativo è obbli- gatorio solo se i dati non sono raccolti presso l’interessato, cfr. art. 14 GDPR); 3. le finalità del trattamento per ciascuna categoria di dati raccolti e trattati dal titolare o dal responsabile del trattamento; 4. se il titolare o il responsabile del trattamento trasferiscono i dati e, in caso afferma- tivo, ogni categoria di ulteriori responsabili del trattamento e di terzi a cui il titola- re o il responsabile del trattamento trasferiscono i dati, il nome di ogni ente terzo di raccolta (che, lo si ricordi, è quel titolare del trattamento la cui principale fonte di reddito deriva dal trattamento o dal trasferimento dei dati che egli non ha raccolto direttamente dalle persone a cui si riferiscono i dati personali) a cui il titolare o il re- sponsabile del trattamento trasferiscono i dati, incluse le finalità per cui tali dati sono trasferiti a tali categorie di fornitori di servizi e di terzi o a enti terzi di raccolta, fat- ta eccezione per i trasferimenti a enti governativi in virtù di un ordine del tribuna- le o di una legge che vieta al titolare del trattamento di rendere noti i trasferimenti. Gli obblighi informativi di cui sopra corrispondono all’ambito di comunicazione che nel GDPR deve essere specificato (e che le Linee Guida sulla Trasparenza WP 260 ri- chiedono di dettagliare ulteriormente con riferimento – ove possibile nominativo – ai destinatari delle comunicazioni dei dati). La differenza, in questo caso, è che l’ADPPA richiede anche di specificare le finalità del trasferimento. Inoltre, si noterà come la co- municazione dei dati ad enti governativi (che peraltro sono esclusi dall’ambito di ap- plicazione dell’ADPPA) non va comunicata nell’Informativa se il trasferimento si basa su un ordine del tribunale o su una legge che vieta al titolare del trattamento di rendere noti i trasferimenti. 5. il periodo di conservazione dei dati personali con specifico riferimento ad ogni categoria di dati oggetto di trattamento, compresi i dati sensibili o, se non è possibile individuare tale periodo, i criteri utilizzati per determinarne la durata (questo contenuto coincide integralmente con il corrispondente obbligo dell’articolo 13 del GDPR); 6. una descrizione chiara delle modalità con le quali gli interessati possono esercitare i diritti previsti dall’ADPPA; 7. una descrizione generale delle politiche di sicurezza applicate ai dati dal titolare o dal responsabile del trattamento (l’obbligo di informare specificatamente sulle misure di
40
Made with FlippingBook Online newsletter maker