Politica sulla privacy dei minori

La Politica sulla privacy dei minori definisce requisiti privacy obbligatori per il trattamento dei dati personali che coinvolge minori, i servizi rivolti a minori, i servizi che potrebbero essere accessibili a minori e altre attività di trattamento in cui i dati personali dei minori richiedono misure di sicurezza rafforzate. Si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, inclusi siti web, applicazioni, giochi, servizi educativi, piattaforme online, servizi connessi, portali clienti, ambienti di apprendimento, comunità e canali di supporto. La politica è progettata per assicurare che i dati personali dei minori siano identificati, governati, minimizzati, spiegati, protetti e documentati tramite misure di sicurezza adeguate al trattamento rivolto a minori e accessibile ai minori. Una caratteristica centrale della politica è il ricorso agli elementi di evidenza PIMS esistenti anziché a registri separati specifici per i minori. La politica richiede che lo stato di servizio rivolto a minori, la probabilità di accesso da parte di minori, le finalità, le categorie di dati personali, le categorie di interessati, i destinatari e i riferimenti di conservazione siano acquisiti in REG02. Lo screening del rischio privacy e le decisioni sulla DPIA sono instradati tramite REG04. Il consenso, l’autorizzazione del titolare della responsabilità genitoriale, l’instradamento della revoca e i riferimenti alla ricevuta del consenso sono registrati in REG05 ove applicabile. Le richieste di esercizio dei diritti che coinvolgono minori sono gestite tramite REG06, le versioni delle informative adatte ai minori tramite REG07, le restrizioni relative a responsabili del trattamento e condivisione dei dati tramite REG08, le evidenze degli incidenti tramite REG10 e le registrazioni di audit, azioni correttive e miglioramento tramite REG12. La politica fornisce requisiti operativi dettagliati per trasparenza adatta ai minori, consenso, responsabilità genitoriale, minimizzazione, conservazione, partecipazione ai diritti, protezione dei dati fin dalla progettazione e controllo della comunicazione. Prima della raccolta di dati personali di minori, i Proprietari del processo o i titolari dell’attività devono confermare che ciascuna categoria di dati personali sia necessaria per la finalità documentata e devono definire i dati minimi necessari per l’accertamento dell’età. I servizi rivolti a minori devono applicare impostazioni predefinite a tutela della privacy per raccolta opzionale, visibilità, condivisione, personalizzazione e comunicazioni. Quando i dati personali di minori comprendono informazioni appartenenti a categorie particolari, altamente sensibili, relative alla localizzazione, biometriche, comportamentali, alle comunicazioni, all’istruzione, alla salute o alla sicurezza, è richiesto il riesame del Responsabile della protezione dei dati o del consulente in materia di protezione dei dati, registrato in REG04. La politica affronta inoltre scenari a rischio più elevato, quali profilazione, analisi comportamentale, personalizzazione con effetti significativi, decisioni automatizzate, funzioni di raccomandazione, sospetto uso improprio, comunicazione dannosa, accesso non autorizzato, sfruttamento, rischio connesso al grooming e altri rischi relativi alla sicurezza dei dati personali che coinvolgono minori. Tali aspetti sono instradati attraverso i processi di riesame privacy, gestione degli incidenti o azioni correttive utilizzando REG04, REG10 e REG12, secondo quanto applicabile. Per fornitori, responsabili del trattamento, sub-responsabili e destinatari della condivisione dei dati, il Responsabile fornitori / approvvigionamento deve confermare in REG08 restrizioni documentate relative ai minori, istruzioni, riservatezza, aspettative di restituzione o cancellazione e obblighi di assistenza prima che il trattamento dei dati personali di minori sia autorizzato. Governance e supervisione sono definite tramite riesami trimestrali delle evidenze, controlli di prontezza al lancio, audit annuali, gestione delle eccezioni, applicazione e riesame annuale della politica. Il Responsabile privacy / Responsabile del PIMS coordina la completezza delle evidenze e l’escalation nelle registrazioni pertinenti, mentre l’alta direzione approva l’approccio di controllo per la privacy dei minori e riesamina le non conformità sistemiche. La politica supporta una responsabilizzazione idonea all’audit richiedendo metriche di monitoraggio per le attività di trattamento rivolte a minori, gli screening DPIA, le questioni aperte relative a informative o consenso, le questioni relative a responsabili del trattamento e condivisione, le non conformità ricorrenti e l’efficacia delle azioni correttive, tutte registrate in REG12 con evidenze di origine dai registri applicabili.