GDPR 679/2016
General Data Protection Regulation
Il giorno 25 maggio 2018 è entrato definitivamente in vigore il nuovo Regolamento Europeo rispetto alla Protezione dei Dati Personali, meglio conosciuto con la sigla GDPR.
Un Regolamento Europeo consiste in una fonte del diritto europeo che genera effetti immediati in tutti gli Stati membri, senza che gli stessi siano tenuti ad emanare una normativa di recepimento (come invece avviene per esempio con le Direttive).
Questo comporta che tutti i soggetti che, all’interno o all'esterno del territorio dell’Unione Europea trattano dati personali di cittadini europei, si devono mettere in regola rispetto ai principi trattati dal GDPR.
A Merano come in tutto il Paese, tutti gli Enti, le Aziende, le Associazioni, le Società, i Professionisti e qualunque altro operatore che ponga in essere un trattamento di dati personali, deve rispettare i principi del GDPR, oltre che la normativa nazionale; ovvero il D.Lgs. 196/2003 integrato con le modifiche introdotte dal D.lgs 101/2018, che ha adeguato il precedente Codice Privacy al nuovo quadro normativo europeo.
Non sono previste esclusioni, e dunque tutti dovranno adeguarsi al nuovo Regolamento, anche le micro e piccole aziende...
Mettiti in contatto con Mouse Web & Safety di Merano e richiedi un appuntamento o il link, per la valutazione gratuita del tuo stato di adeguamento alla normativa vigente. (vedi il modulo sotto)
Cos'è, e a chi si rivolge il GDPR?
Il GDPR 679/2016 è il Regolamento Europeo che armonizza le diverse leggi sul Trattamento dei Dati Personali degli Stati membri, e riconosce il diritto ai cittadini europei di operare un controllo diretto sui propri dati personali ceduti a terzi. Il Regolamento si compone di 173 Considerando e 99 articoli, i quali introducono elementi e concetti di novità rispetto al passato, come ad esempio:
- Privacy by Design;
- Privacy by Default;
- Diritto all'Oblio;
- Notifica in caso di Data Breach al Garante ed agli Interessati;
- Portabilità dei dati da una piattaforma ad un'altra;
- ecc...
Il Regolamento si rivolge ai Titolari del Trattamento, ovvero a chiunque si prenda l'onere di raccogliere, organizzare e gestire informazioni, siano essi persone private, associazioni, Pubblica Amministrazione o aziende; e sono proprio quest'ultime due a dover far fronte maggiormente alle disposizioni del GDPR, in quanto trattano dati personali di dipendenti, utenti, clienti e fornitori, e possono raccogliere anche dati sensibili o utilizzare talvolta tecniche di profilazione dei clienti a scopi commerciali.
Hai dubbi sui trattamenti da te svolti? Chiedi a Mouse Web & Safety di Merano quali sono gli adempimenti che devi mettere in atto.
Concetti chiave del GDPR
Dato Personale
Per «Dato Personale» s'intende: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30).
Trattamento
Per «Trattamento» s'intende: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Interessato
Per «Interessato al Trattamento» s'intende: la persona fisica a cui si riferiscono i dati personali. Oggi siamo tutti potenziali interessati, e questo è possibile dal fatto che in ogni momento della nostra vita possiamo essere interessati da un trattamento, basti pensare alle diverse telecamere di sorveglianza presenti sul territorio, alle Fidelity Card, ai Cookie informatici in cui ci imbattiamo ignari durante una normale navigazione in Internet, ecc... L'interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un'azienda o un'associazione.
Titolare del Trattamento
Per «Titolare del Trattamento» s'intende: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; (C74).
I principi applicabili al trattamento dei dati personali
(Art. 5)
I dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Devono essere raccolti per finalità determinate, esplicite e legittime, e i dati devono essere adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza.
Acquisizione del consenso da parte dell’interessato e casi di esonero
(Artt. 6, 7)
Il Titolare del trattamento deve distinguere i casi in cui per eseguire un trattamento è richiesto il consenso dell’interessato prima di iniziare il trattamento, da quelli in cui non è necessario. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione
(Art. 8)
Ove sia richiesto il consenso, per il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori, questo è lecito solo se il minore che ha prestato il consenso ha compiuto i 16 anni, diversamente deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore. In quest'ultimo caso il Titolare deve adoperarsi in ogni modo ragionevole, per verificare che il consenso sia prestato o autorizzato effettivamente dal/i titolare/i della responsabilità genitoriale sul minore
Trattamento di categorie particolari di dati personali
(Art. 9)
È vietato, per impostazione di base, trattare dati personali corrispondenti a quelli definiti come ‘sensibili’, nonchè dati genetici e biometrici. Sono però previste specifiche eccezioni, come ad esempio in cui: l’interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per la sicurezza/protezione sociale sul lavoro; i dati sono trattati a fini di tutela di un interesse vitale dell’interessato; i dati personali sono stati resi pubblici dall’interessato, ecc...
Trattamento dei dati personali relativi a condanne penali e reati
(Art. 10)
Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato
(Art. 12)
Il Titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni e le comunicazioni, relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad assicurare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire una risposta alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).
Informazioni da fornire qualora i dati personali siano o non siano stati ottenuti presso l'interessato
(Artt. 13,14)
Adempimento di base per tutti i titolari, per la sua redazione necessita di una buona analisi dei processi aziendali ai fini del/i trattamento/i. L’informativa richiesta dal Regolamento UE è più cospicua in termini di informazioni di quella prevista dalle norme precedenti. Deve contenere tra l'altro la base giuridica che stabilisce il periodo di conservazione dei dati personali raccolti, i leggittimi interessi perseguiti del titolare, i diritti degli interessati, l'esistenza di un processo decisionale automatizzato, ecc... Il linguaggio delle informative deve essere semplice e chiaro.
Rispetto dei diritti degli interessati
(Artt. 15,16, 17, 18, 20, 21)
Il Regolamento prevede diversi diritti che spettano all’interessato. I titolari devono rispettare questi diritti, che sono, il diritto di: accesso, rettifica, cancellazione o oblio, limitazione del trattamento, portabilità dei dati, opposizione al trattamento, e gli eventuali obblighi di notifica e/o comunicazione spettanti ai titolari.
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
(Art. 22)
Un altro diritto di cui gode l'interessato consiste nel non essere sottoposto a decisioni basate unicamente su un trattamento automatizzato dei dati, che possa produrre effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (es. profilazione). Il divieto che ne deriva non si applica ove la decisione sia autorizzata dal diritto dell’Unione o del singolo Stato membro.
Misure di sicurezza
(Art. 24, 32)
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
Privacy by Design e by Default
(Art. 25)
- Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate;
- Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.
GDPR in pillole
Gli adempimenti da rispettare per la compliance al Regolamento.
Contitolari del trattamento
(Art. 26)
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni. Il contenuto essenziale dell'accordo deve essere messo a disposizione dell'interessato.
Nomina del Rappresentante del Titolare del trattamento
(Art. 27)
Nel caso in cui il trattamento di dati personali relativi ad interessati che si trovano nell’Unione, venga operato da parte di titolare/responsabile non stabilito nell’UE, il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Il rappresentante fungerà quindi da interlocutore per la competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.
Nomina del Responsabile del trattamento
(Art. 28)
Qualora un trattamento debba essere effettuato per conto del titolare del trattamento o qualora quest'ultimo decida di delegare tale funzione, il titolare ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato.
Trattamento sotto l'autorità del Titolare o del Responsabile del trattamento
(Art. 29)
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento.
Registri delle attività di trattamento
(Art. 30)
È un adempimento obbligatorio per i titolari del trattamento con un numero di dipendenti pari o superiore a 250 unità o che, se anche al di sotto di tale soglia, effettui almeno un trattamento (non occasionale) che possa presentare rischi per i diritti e le libertà degli interessati, e che includa informazioni sensibili, genetiche, biometriche, giudiziarie.
Cooperazione con l'autorità di controllo
(Art. 31)
Il titolare del trattamento, il responsabile del trattamento e, ove applicabile, il loro rappresentante cooperano, su richiesta, con l'autorità di controllo nell'esecuzione dei suoi compiti.
Notifica di una violazione dei dati personali all'autorità di controllo
(Art. 33)
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente (il Garante) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Comunicazione di una violazione dei dati personali all'interessato
(Art. 34)
Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. La comunicazione all'interessato deve descrivere con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure addottate a seguito della violazione. L'articolo individua anche i casi in cui la comunicazione non è richiesta.
Valutazione d'impatto sulla protezione dei dati
(Artt. 35, 36)
È un altro adempimento che grava sul titolare nel caso in cui debba iniziare e gestire un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Questo si verifica soprattutto, quando si adoperano nuove tecnologie, in considerazione anche della natura, dell'oggetto, del contesto, e delle finalità del trattamento. La norma fissa i contenuti da redigere, e qualora la valutazione di impatto verifica che il trattamento presenta un rischio elevato, il titolare è tenuto a consultare l’autorità di controllo prima di procedere al trattamento.
Designazione del Responsabile della Protezione dei Dati (DPO o RPD)
(Artt. 37, 38, 39)
La nomina del DPO è un obbligo in capo al titolare del trattamento, quando:
- è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
- effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari.
Il DPO ha compiti di consulenza e sorveglianza degli adempimenti previsti dal Regolamento, e si occupa anche della informazione e formazione degli addetti al trattamento; inoltre funge da interlocutore con l’autorità di controllo.
Codici di condotta
(Artt. 40, 41, 42)
Gli Stati membri, le Autorità di controllo, il Comitato e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.Si tratta di un adempimento volontario del titolare.
Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
(Artt. 44, 45, 46, 47, 48, 49)
Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale è consentito solo se viene effettuato nel rispetto di particolari condizioni, che garantiscano un livello adeguato di protezione delle informazioni delle persone fisiche, previsto dal Regolamento.
Diritto al risarcimento e responsabilità
(Art. 82)
Chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento. Il titolare o il responsabile del trattamento sono esonerati dalla responsabilità, se dimostrano che l'evento dannoso non gli è in alcun modo imputabile.
Cosa si rischia?
La data prevista per l’adeguamento al Regolamento Europeo 679/2016 - GDPR è già passata, era il 25 maggio 2018!
Se non ti sei ancora adeguata/o, ogni giorno, mese, anno che passa rischi una sanzione piuttosto pesante (fino al 4% del fatturato mondiale dell'anno precedente). Essere segnalati non è poi così remoto, sono sufficienti un esposto o una contestazione di un utente o cliente, che visualizzano il tuo sito, ricevono una tua e-mail, oppure perchè a seguito di un contratto non ricevono l'informativa prevista dal Regolamento.
Cosa aspetti, mettiti in regola con il Regolamento!
Mouse Web & Safety ti offre la consulenza necessaria per adeguarti alla Privacy e raggiungere la compliance con il
GDPR 679/2016 offrendoti i seguenti servizi a Merano
Redige la DPIA, ovvero il Documento di Valutazione d'impatto del trattamento
Redige il registro dei trattamenti per il Titolare e/o il Responsabile del Trattamento
Ricopre la carica di Responsabile del Trattamento dei dati - (DPO o RDP)
Valuta la percentuale di compliance al Regolamento della tua Azienda
Propone azioni correttive mirate sia a livello giuridico, che organizzativo e tecnologico
Valuta i processi aziendali coinvolti nel trattamento dei dati personali
Effettua audit preventivi per raggiungere la compliance al Regolamento
Effettua audit regolari nel tempo per mantenere la compliance al Regolamento
Valuta il tuo sistema informativo aziendale
Individua i fattori di rischio e ti propone le soluzioni
Individua il fabbisogno formativo dell'azienda rispetto al Regolamento.
Somministra la formazione prevista dal Regolamento a te e ai tuoi dipendenti
Redige le informative per, clienti, associati, utenti, dipendenti, internauti, ecc...
Funge per te da interlocutore con l’autorità di controllo (Garante)
Redige le istruzioni operative in caso di Data breach, per i dipendenti, per l'utilizzo del sistema informativo
Redige per l'Azienda la documentazione prevista dal Regolamento
Inviaci la tua richiesta! e/o compila i campi per la richiesta di valutazione gratuita della tua Azienda
Compila i campi del Form sottostante, sarai ricontattata/o al massimo entro 24 ore.
I campi contrassegnati con un asterisco (*) sono obbligatori