Privacy

Che cos’è il GDPR



Dal 25 maggio 2018 è entrato in vigore il regolamento europeo 2016/679 in materia di privacy, conosciuto con l’acronimo GDPR (General data protection regulation), relativo alla protezione dei dati personali.
Questo regolamento stabilisce come devono essere trattati i dati personali e come devono essere raccolti, utilizzati e protetti.
Il regolamento GDPR è volto a tutelare sia la protezione dei dati sia la loro circolazione.
Per “dato personale” si intende ogni “informazione riguardante una persona fisica identificata o identificabile (“interessato”)”.

È “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente attraverso:

  • un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online;
  • uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Soggetti interessati
Sono tenuti ad osservare la normativa sulla privacy le aziende, gli enti pubblici, e gli individui che devono accedere, trattare, conservare, gestire, o trasferire dati personali di cittadini UE e che pertanto devono applicare le norme contenute nel regolamento GDPR.

Informativa e consenso
I dati non possono essere raccolti per ogni iniziativa, ma possono essere raccolti e utilizzati solo per degli scopi specifici ed esplicitati nel consenso. Il consenso necessita di un’informativa (scritta o orale) semplice e facilmente comprensibile resa dal titolare del trattamento dei dati personali.
L’informativa consente infatti all’interessato di:

  • avere un quadro complessivo delle finalità e modalità di utilizzo degli stessi;
  • prestare il consenso avendo a disposizione tutte le informazioni necessarie;
  • poter esercitare i propri diritti in relazione al titolare di riferimento.

Gli adempimenti del GDPR
Le figure chiave, relativamente ai dati personali e al regolamento GDPR, sono:

  • il titolare;
  • il responsabile dei dati personali da designare attraverso un contratto (o altro atto giuridico conforme al diritto nazionale), il quale regoli la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati e gli obblighi e i diritti del titolare del trattamento;
  • il sub-responsabile, che può essere nominato dal responsabile previa autorizzazione scritta del titolare;
  • l’incaricato che è la persona autorizzata al trattamento dei dati personali;
  • il Dpo (Data Protection Officer o Rpd), che è responsabile della protezione dei dati per i soggetti privati da parte del titolare del trattamento.

Principio di accountability
Il titolare e il responsabile (inclusa la filiera di appaltatori e subappaltatori che utilizza i dati personali per suo conto) sono vincolati al principio di “Accountability”, vale a dire la responsabilizzazione (dinanzi al Garante e al giudice ordinario) all’adozione di comportamenti proattivi volti a:

  • valutare l’impatto del rischio di perdite di dati, di accesso abusivo;
  • predisporre un registro dei trattamenti in cui indicare i titolari e i responsabili del trattamento, e le misure di sicurezza dei dati; un data protection impact assessment (DPIA) per misurare impatto e conseguenze (sugli interessati) dei nuovi strumenti; l’organigramma privacy per chiarire ruoli e gerarchie nella gestione dei dati;
  • prevenire le violazioni dei dati personali;
  • nominare il responsabile del trattamento (RDP) con facoltà di nominare un subresponsabile (delle cui violazioni risponde il responsabile); il responsabile della sicurezza dei dati (il DPO, obbligatorio per la PA) che deve operare in piena indipendenza e in assenza di conflitti di interesse, anche sulla base di un contratto di servizio;
  • dimostrare l’idoneità delle misure di sicurezza adottate.

Diritto all'oblio
Il regolamento introduce nuovi diritti quali il diritto all’oblio, alla limitazione e alla portabilità del trattamento. Il diritto all’oblio consiste nel diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano (e il titolare del trattamento ha l’obbligo di cancellare, senza ingiustificato ritardo, detti dati), laddove sussista uno dei seguenti motivi:

  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. l’interessato revoca il consenso su cui si basa il trattamento;
  3. l’interessato si oppone al trattamento, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati in ottemperanza ad un obbligo previsto dall’UE o dallo Stato membro al quale è soggetto il titolare del trattamento.

Sanzioni
Sono previste sanzioni pecuniarie, oltre all’obbligo di risarcimento.

Per le violazioni più lievi: l’importo più alto tra 10 milioni di euro e il 2% del fatturato mondiale di gruppo dell’esercizio precedente.
Per le violazioni più gravi: l’importo più alto tra 20 milioni di euro e il 4% del fatturato mondiale di gruppo dell’esercizio precedente.

CEDEA SRL è l'agenzia cui rivolgersi per la gestione della sicurezza dei dati e della privacy aziendale

  • Elaborazione ed implementazione del Sistema Privacy
  • Valutazione del Rischio del Dato
  • DPIA - Elaborazione Cookie Policy
  • Elaborazione Privacy Policy
  • Gestione dati marketing e profilazione
  • Assistenza nella compliance al Reg. UE Privacy 679/2016
  • Audit di verifica
  • Elaborazione incarichi/nomine dei responsabili
  • Incarico Responsabile della Protezione dei Dati
  • DPO
  • Formazione personale e incaricati


Scegli CEDEA come partner professionale nella consulenza e formazione per la sicurezza sul lavoro
Contattaci per maggiori informazioni