Quote Originariamente inviata da BlackDog Visualizza il messaggio
Ciao a tutti, se sul mio sito ho un semplice form per richiedere un appuntamento in sede (studio dentistico) dove vengono richiesti:

Nome
Email
Telefono
Motivo della richiesta di appuntameto

devo fare qualche cosa in particolare in merito alla compliance GDPR, oppure è sufficiente che l'utente metta la spunta su "Acconsento al trattamento dei miei dati personali...."?

I dati raccolti rimangono esclusivamente nel client di posta, non vengono salvati in un database, nè riutilizzati in altro modo se non per ricontattare l'utente.
E' importante capire che la GDPR non si applica semplicemente ai siti, ma all'azienda intera indipendentemente da internet.

Il client di posta è a tutti gli effetti una base di dati di proprietà dell'azienda e quindi dovranno esserci delle policy di cancellazione e conservazione che devono essere comunicate all'utente nell'informativa.

La cosa più corretta sarebbe quella di dichiarare di cancellare la email e relativi dati dopo X mesi dall'ultimo contatto (e ovviamente farlo).

Poi ci si può complicare la vita all'infinito. Esistono dei backup? Archivi cartacei? Stampe? Post it? Anche questi rientrano come base di dati personali. L'azienda deve essere in grado di sapere dove e cosa cancellare qualora un utente chiedesse di rimuovere i suoi dati sul sistema. Richiede un lavoro organizzativo a monte, e il rispetto delle regole decise per il trattamento dei dati.

E ripeto: si parla di tutti i dati personali. Non solo quelli presi via internet, ma anche tutti i clienti/pazienti a cui si fattura (ovviamente non si possono rimuovere le fatture, ma quei dati vanno comunque protetti in modo adeguato).