/GDPR
GDPR 2018-05-25T07:59:20+00:00

GDPR

General Data Protection Regulation

Il nuovo regolamento europeo sulla privacy

se non ti adegui puoi incorrere in sanzioni pesanti
Proroga fino al 21 Agosto
0
0
0
0
Days
0
0
Hrs
0
0
Min
0
0
Sec
Chiamaci
Contattaci

Che cosa è il GDPR UE 2016/279

Il 24 maggio del 2016 è entrato in vigore a livello di Comunità Europea il nuovo regolamento Europeo sulla privacy.

Il GDPR entrerà in vigore in Italia, grazie all’unica deroga concessa, al decorrere del 25 maggio 2018.

Al momento il Garante per la Privacy sta valutando le integrazioni con la legge 196/2003.

Nel Regolamento, nuovo principio fulcro è quello dell’accountability (responsabilizzazione) di titolari e responsabili.

Questi, secondo tale principio, devono riuscire a dimostrare di attuare misure per essere conformi al GDPR, alla luce di criteri indicati nel Regolamento stesso:

Privacy by design e privacy by default: la necessità di configurare il trattamento stabilendo fin dall’inizio (quindi prima ancora che il trattamento abbia inizio) le garanzie indispensabili ai sensi del Regolamento;

Approccio basato sulla valutazione del rischio di impatti negativi sulle libertà e sui diritti degli interessati;

Intervento dell’autorità di controllo principalmente a seguito delle determinazioni del titolare (per questo sono stati aboliti alcuni istituti, come la notifica preventiva dei trattamenti al Garante Privacy).

Chiamaci
Contattaci

Chi deve adeguarsi?

Il GDPR non prevede nessuna esenzione per le piccole e piccolissime imprese. L’esenzione è riservata alle sole aziende che raccolgono dati solo sulle persone giuridiche.

Un sito internet o un dipendente sono sufficiente per ricadere nel campo di azione della normativa.

Per riassumere basta porsi queste tre domande:

  • La mia azienda raccoglie dati su persone fisiche?

  • Dispone di un sito web?

  • Ha almeno un dipendente?

  • Ha un sistema di Video sorveglianza anche posticcio ?

Basta aver risposto positivamente anche ad una sola delle domande e sarà quindi necessario adeguarsi.
Chiamaci
Contattaci

Quali sono i rischi nel mancato adeguamento

La tentazione di non  fare nulla è grande, vista la scarsa probabilità di ricevere un controllo. Il fatto è che alcune attività estremamente palesi e facili da identificare rientrano tra quelle regolamentate. Per intenderci, se il governo volesse fare cassa, basterebbe individuare quei siti web che non forniscono una adeguata informativa, che non richiedono un consenso a norma o che raccolgono cookies e dati sulla geolocalizzazione, per procedere alle sanzione e recupero qualche milione in bilancio. Ma i rischi possono venire anche dai propri concorrenti, che all’unico scopo di rendere la vita difficile, potrebbero segnalare eventuali mancanze al Garante per la protezione dei dati. Le multe previste dall’articolo 83 prevedono sanzioni pari al 4% del fatturato annuale e fino a 20 milioni di Euro.

Chiamaci
Contattaci

Di quali dati stiamo parlando?

Recita il GDPR per identificare i dati personali : «Qualunque informazione relativa all’individuo, collegata alla sua vita privata, sia professionale o pubblica»

  • Nomi, Cognomi

  • Date o anni di nascita
  • Codice fiscale
  • Indirizzi postali o email
  • Dati bancari
  • Fotografie e video

  • Indirizzi IP e cookies
  • Geolocalizzazioni

O anche qualsiasi dato che permetta di identificare «l’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»

Chiamaci
Contattaci

Titolare, Responsabile, Incaricato

Il Regolamento disciplina la contitolarità del trattamento: impone ai titolari di definire in modo specifico il rispettivo ambito di responsabilità e i compiti. Gli interessati possono rivolgersi ad uno o all’altro indifferentemente;

I responsabili devono essere nominati tramite un contratto(o altro atto giuridico conforme al diritto nazionale) che deve disciplinare puntualmente le materie previste al par. 3 dell’art. 28., così da poter dimostrare che il Responsabile fornisce“garanzie sufficienti”;

E’ possibile per un responsabile del trattamento nominare sub-responsabili, nel rispetto degli stessi obblighi contrattuali con il Titolare del trattamento; il responsabile primario risponde nei confronti del Titolare di eventuali inadempimenti del sub-responsabile;

Ai responsabili del trattamento è dato l’obbligo di tenere il registro dei trattamenti svolti, di adottare idonee misure tecniche e organizzativeper garantire la sicurezza dei trattamenti e didesignare un DPO(qualora richiesto dal Regolamento);

Il Titolare del trattamento e/o il responsabile che non abbia sede nell’UE, dovrà nominare un Rappresentante in Italia, qualora trattasse dati personali di interessati italiani;

I titolari dovranno notificare all’autorità di controllo violazioni di dati personalidi cui siano a conoscenza entro 72 ore, se ritengono che da tale violazione derivino dei rischi.

Chiamaci
Contattaci

I soggetti del trattamento dei dati personali

  • Il Responsabile del trattamento

È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento

  • Il Titolare del trattamento

È colui che determina le finalità e gli strumenti del trattamenti di dati personali. Ed è responsabile dell’ottemperanza degli obblighi giuridici. 

  • Il Data handler

È la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di trattamento dei dati. 

  • Il Data Protectionofficer

Il Data ProtectionOfficer(DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali.

  • Interessato al trattamento

L’interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali, o più esattamente il proprietario dei suoi dati. 

Chiamaci
Contattaci

La figura del Data ProtectionOfficer(DPO)

Il GDPR prevede una figura particolare e molto importante, che si aggiunge a quelle “classiche privatistiche” quali titolare e responsabile del trattamento: quella del Data Protection Officer (DPO). Una persona fisica, una sorta di figura ibrida fra il ruolo di vigilanza dei processi interni alla struttura (del titolare e del responsabile, che lo devono nominare, obbligatoriamente in taluni casi previsti per legge), ed il ruolo di consulenza; funge inoltre da “ponte di contatto” e superpartescon l’Autorità Garante nazionale.

Quali sono i requisiti?

  1. Il Responsabile della protezione dei dati, nominato dal titolare o dal responsabile del trattamento, dovrà:
  2. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
  3. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
  4. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il titolare o il responsabile dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Chiamaci
Contattaci

Quali sono i suoi compiti?

Il DPO dovrà:

a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;

c) fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;

d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;

e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Chiamaci
Contattaci

Diritti degli interessati

Per tutti i diritti degli interessati, il Regolamento prevede il termine di un mese(estendibile fino a tre mesi in casi complessi) per la risposta da parte del Titolare del trattamento, anche in caso di diniego.

Il Titolare del trattamento può decidere, sulla base della complessità del riscontro, di chiedere un contributo(in caso di richieste manifestamente infondate o eccessive);

Il Titolare del Trattamento deve dare il riscontro agli interessati in forma scritta, anche tramite strumenti elettronici; in forma oralesolamente se lo richiede l’interessatostesso;

La risposta all’interessato deve essere intelligibile, concisa, trasparente, facilmente accessibilee data in un linguaggio semplice e chiaro;

Ildiritto di accessodell’interessato comporta in ogni caso il diritto di ricevere una copia dei datioggetto di trattamento;

Ildiritto all’oblio, cioè il diritto di cancellazione dei dati, è più estesorispetto a quanto previsto nel Codice (per esempio, l’interessato può richiedere la cancellazione dei propri dati anche dopo la revoca del consenso);

Ildiritto di limitazione del trattamento(non di “blocco”, come nel Codice), non si applica più solo se c’è stata una violazione dei fondamenti di liceità del trattamento, ma anche se l’interessato chiede la rettifica dei dati o si oppone al loro trattamento;

Ildiritto alla portabilità dei datisi applica a trattamenti automatizzatie può essere esercitato solo qualora siano trattati in forza del consenso dell’interessato o di un contratto con lui stipulato, inoltre i dati devono essere stati forniti al Titolare direttamente dall’interessato.

Chiamaci
Contattaci

Registro dei trattamenti

La tenuta del registro dei trattamentiè prevista dall’articolo 30 del regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti. 

L’onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all’analisi del rischio di tali trattamenti e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo negli stessi ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all’autorità di controllo (Garante) in caso di verifiche. Sono esentate dall’obbligo di tenuta del registro le imprese o le organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato: 

-possa presentare un rischio per i diritti e le libertà degli interessati, 

– non sia occasionale, 

– o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 (cioé dati sensibili o giudiziari). 

Chiamaci
Contattaci

Videosorveglianza

L’attività di videosorveglianzaè considerata estremamente invasiva, e per questo l’Autorità Garante per la tutela dei dati personali le ha dedicato vari provvedimenti generali.

Il provvedimento generale dell’8 aprile 2010 sostituisce quello del 2004, fissando dei requisiti più stringenti per evitare che l’attività di videosorveglianza si espanda fino a minacciare i diritti del cittadini.

Presupposti

Infatti, il presupposto è la libertà dei cittadini, che devono poter circolare nei luoghi pubblicisenza dover subire ingerenze eccessive nella loro privacy. Nel mentre occorre anche contemperare tali esigenze con le esigenze di sicurezza dei cittadini.

Quindi, il Garante ha stabilito che l’attività di videosorveglianza è consentita se sono rispettati i seguenti principi: 

– liceità; 
– necessità; 
– proporzionalità; 
– finalità. 

Questo sito usa i cookies di Google Analytics per garantirvi la migliore esperienza. Accetta cliccando sul bottone  verde.