Quali sono gli adempimenti

regolamento europeo privacy

 

 

 

CHI SIAMO e CONTATTI

 

SERVIZI CONSULENZA

 

 

DPS in passato e adesso?

VERIFICHE PRIVACY GRATUITE

FORMAZIONE PRIVACY

 

SEZIONE INFORMATIVA

PRIVACY IN PILLOLE

SANZIONI

CHI DEVE ADEGUARSI?

CONTROLLA ADEMPIMENTI

CODICE PRIVACY E NORMATIVA

 

NORMATIVE ATTINENTI

TESTO UNICO BANCARIO

TESTO UNICO SULLA SICUREZZA

 

FAQ - SITI UTILI

Tribunali italiani

Policy privacy

Per conoscere gli adempimenti a cui sei tenuto dobbiamo capire la tua categoria di appartenenza e conoscere la tipologia di trattamenti che effettui.  

Evita adempimenti inutili, evita moduli di richiesta di consenso non necessari (rapporti contrattuali o precontrattuali), fai valutare da un consulente le tue vulnerabilità, prevedi nomine interne ed esterne, clausole contrattuali che ti tutelino, procedure semplici ed efficienti... Mettersi in regola a costi accessibili pone al riparo da problemi legali, sanzioni, danni all'immagine. E non dimenticate, la corretta gestione delle informazioni è un investimento fruttuoso in termini di efficienza.

Regolamento europeo Privacy GDPR
Regolamento (UE) 2016/679


Fondamenti di liceità del trattamento: sono indicati nell’art. 6 del GDPR e, in linea di massima, coincidono con quelli del D. Lgs. n. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, doveri del titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati sono comunicati), con alcuni cambiamenti:

Consenso
deve essere esplicito per i dati sensibili e in caso di trattamenti automatizzati, compresa la profilazione. Il consenso dei minori è valido a partire dai 16 anni.

Informativa
i contenuti dell’Informativa sono tassativamente indicati negli artt. 13, par. 1, e 14, par. 1, del GDPR. In particolare, essa deve contenere: i dati di contatto del RDP-DPO (Responsabile della protezione dati – Data Protection Officer), ove esistente; la base giuridica del trattamento; l’interesse legittimo, se costituisce la base legittima del trattamento; se i dati sono trasferiti in Paesi terzi e, in caso affermativo, attraverso quali strumenti; il periodo di conservazione dei dati o i criteri per stabilire tale periodo; diritto di presentare un reclamo all’autorità di controllo; in caso di processi decisionali automatizzati, compresa la profilazione, indicazione della logica di tali processi e delle conseguenze previste per l’interessato.

Caratteristiche dell’Informativa
concisa, trasparente, intellegibile per l’interessato e facilmente accessibile, uso di un linguaggio chiaro e semplice e previsione di idonee informative per i minori.

Forma dell’Informativa
in linea di principio è data per iscritto e preferibilmente in formato elettronico, fermo restando che sono ammessi altri mezzi, compresa la forma orale. È ammesso l’uso di icone che ne riassumono i contenuti principali, ma solo in combinazione con l’Informativa estesa. Le icone devono essere uguali in tutti gli Stati membri e saranno definite dalla Commissione europea.

Tempi
l’Informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati o, se questi non sono raccolti direttamente presso l’interessato, deve comprendere anche le categorie dei dati personali oggetto di trattamento. Il titolare deve sempre comunque specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati e, se esiste un responsabile del trattamento, la sua identità e quali sono i destinatari dei dati.

Diritti degli interessati
Modalità per l’esercizio dei diritti
artt. 11 e 12 GDPR
il termine per la risposta all’interessato è un mese, estendibile fino a tre mesi in casi di particolare complessità. se espressamente richiesta dall’interessato), concisa, trasparente, facilmente accessibile ed espressa con un linguaggio semplice e chiaro.

Diritto di accesso
art. 15 GDPR
è il diritto a ricevere una copia dei dati personali oggetto di trattamento nonché l’indicazione del periodo di conservazione previsto o, se non è possibile prevederlo, dei criteri utilizzati per definire tale periodo e le garanzie applicate in caso di trasferimento dei dati in Paesi terzi.

Diritto di cancellazione – diritto all’oblio
art. 17 GDPR
è il diritto di cancellazione dei propri dati personali in forma rafforzata.

Diritto alla portabilità dei dati
art. 20 GDPR
è uno dei nuovi diritti introdotti dalla normativa europea. Sono portabili solo i dati elettronici trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato e solo i dati che siano stati forniti dall’interessato al titolare.

Titolare, Responsabile, Incaricato del trattamento
artt. 26 e ss. GDPR
Responsabile
l’art. 29 GDPR specifica che deve trattarsi di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente le materie riportate all’art. 28, par. 3, al fine di dimostrare che il titolare offre garanzie sufficienti (natura, durata e finalità del trattamento, categorie di dati oggetto di trattamento, misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e delle disposizioni regolamentari). È consentita la nomina di sub-responsabili del trattamento da parte di un responsabile (art. 28, par. 4 GDPR) per specifiche attività di trattamento.

Il responsabile risponde davanti al titolare per eventuali inadempimenti del sub-responsabile, salvo che dimostri che l’evento dannoso “non gli è in alcun modo imputabile”.

Obblighi specifici in capo ai responsabili del trattamento, distinti da quelli dei titolari: tenuta del registro dei trattamenti svolti (art. 30, par. 2 GDPR); adozione di misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32 GDPR); designazione di un RDP-DPO nei casi previsti dal Regolamento o dalla normativa nazionale (art. 37 GDPR).
Importante, infine, la previsione dettata dall’art. 27, par. 3, GDPR relativa all’obbligo di nomina di un rappresentante in Italia da parte del responsabile non stabilito nella UE.

Approccio basato sul rischio e misure di accountability (i.e. responsabilizzazione) di titolari e responsabili
in generale, si tratta dell’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento. In pratica, viene affidato ai titolari il compito di stabilire autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, sempre nel rispetto delle normative e dei criteri contenuti nel GDPR.

Data protection by default e by design
art. 25 GDPR
analisi preventiva per configurare il trattamento prevedendo a monte, ovvero prima di procedere al trattamento, le garanzie indispensabili al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Processo di vautazione dei rischi necessario.

Registro dei trattamenti (art. 30, par. 5 GDPR): tutti i titolari e i responsabili del trattamento, eccettuati gli organismi con meno di 250 dipendenti, ma solo se non effettuano trattamenti a rischio, devono tenere un registro dei trattamenti effettuati, in forma scritta, anche elettronica, che dovrà essere esibito dietro richiesta del Garante.

Misure di sicurezza (art. 32 GDPR)
il Regolamento prevede una lista aperta e non esaustiva delle misure tali da garantire un livello di sicurezza adeguato al rischio del trattamento.

Notifica delle violazioni di dati personali: prevede l’obbligo in capo a tutti i titolari di notificare all’autorità competente le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque senza giustificato ritardo, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Ne deriva che la notifica all’autorità non è obbligatoria, essendo subordinata (e qui ritorna il principio di responsabilizzazione) alla valutazione da parte del titolare.

Responsabile della protezione dei dati (RDP-DPO)
è finalizzata a facilitare l’attuazione del Regolamento da parte del titolare/responsabile. Tale figura (che deve rispondere ai requisiti di indipendenza, autorevolezza e competenza mangariale), infatti, deve, tra l’altro, sensibilizzare e formare il personale in merito agli adempimenti privacy, nonché sorvegliare sulla valutazione di impatto del rischio. La sua designazione è obbligatoria nei casi previsti dall’art. 37.