Informative

Privacy nuovi obblighi dal 25 maggio | info n. 5/2018

Download

Il 25 maggio 2018 entrerà in vigore, in tutti i Paesi europei, il nuovo Regolamento Europeo in materia di protezione dei dati denominato << GDPR: General Data Protection Regulation>>.

Avremo quindi una normativa uguale in tutti i Paese della comunità, in grado di garantire efficacemente e concretamente il diritto alla tutela del dato personale.

Attenzione: di tutti i dati personali, non solo di quelli sensibili.

NON CI SARANNO PROROGHE

Infatti la scadenza è tassativa perché, trattandosi di un Regolamento dell’Unione Europea, è immediatamente efficace senza necessità di recepimento da parte dello Stato italiano.

COSA CAMBIA

Il Regolamento attua una tutela più concreta del dato personale del cittadino attraverso l’introduzione di limiti chiari e precisi sulla modalità di trattamento (cioè di gestione) del dato sia in Italia che all’estero.

Inoltre stravolge il concetto di tutela passando dall’attuale impianto basato su formalismi documentali e di ruoli ad un sistema basato sulla progettazione della tutela (Privacy by design).

CHI È OBBLIGATO A METTERSI IN REGOLA?

Tutti!

L’art. 2 del GDPR 679/2016 prevede che il Regolamento si applichi al trattamento dei dati personali (cioè del nome, codice fiscale, email, foto, indirizzo, partita iva, dati bancari, ecc.), in formato cartaceo e/o digitale, contenuti in archivio o destinati a esserci in futuro.

È dunque tenuto al rispetto della nuova normativa Privacy qualunque soggetto, sia persona fisica (professionista, medico, fisioterapista, dentista, ecc.), sia persona giuridica (società di persone o di capitali) che tratti dati personali di terzi per fini non personali e domestici.

Ciò significa che sono tenuti al trattamento dei dati personali in modo corretto e aderente al GDPR tutti coloro che svolgono un’attività economica, di lucro e non (comprese le associazioni).

Il GDPR si applica anche a società, aziende, imprese ed enti con sede legale fuori dall’UE, che trattano però dati personali di residenti nell’Unione Europea.

QUALI AZIONI INTRAPRENDERE?

E’ fondamentale effettuare una ricognizione all’interno della propria organizzazione per valutare lo stato dell’arte e valutare le azioni da porre in essere per adeguarsi al nuovo GDPR.

Concretamente, cosa fare?

È necessario verificare chi e come effettua la raccolta dei dati, chi può consultarli e/ o modificarli, come sono conservati, con quali strumenti e con quale diffusione è stata fornita l’informativa ed eventualmente acquisito il consenso al trattamento.

Importante anche analizzare l’organigramma funzionale dei ruoli e degli incarichi.

La mappatura va quindi analizzata alla luce del GDPR e si deve procedere alla redazione di una procedura gestionale che rispetti i nuovi limiti e i nuovi doveri introdotti dal Regolamento.

Questa operazione costituisce la novità essenziale. Solo attraverso l’attività descritta e la successiva progettazione del trattamento sarà possibile dimostrare di aver attuato la sicurezza del trattamento al meglio delle proprie possibilità.

Fondamentalmente, due sono gli aspetti su cui lavorare:

1) aspetti gestionali

verifica dei sistemi rispetto alle misure minime e analisi della sicurezza fisica

2) aspetti documentali

predisporre l’informativa, la lettera di nomina, attuare la formazione e la sensibilizzazione rispetto alla novità, procedere alla gestione del disciplinare interno

RUOLI

Anche il Regolamento, come già il Codice sulla Privacy, identifica i ruoli dei soggetti attori del trattamento.

TITOLARE: Persona fisica o giuridica a cui competono tutte le responsabilità nell’ambito di uno specifico trattamento di dati

RESPONSABILE DEL TRATTAMENTO: Figura tecnica qualificata a cui demandare parte delle responsabilità gestionali

Le due precedenti figure non subiscono sostanziali modifiche rispetto a quanto già previsto dal D. Lgs 196/2003.

RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI = DPO Data Protection Officier

È’ la figura professionale identificata dal GDPR a presidio del trattamento dati nei seguenti casi:

organi o enti o autorità pubblici,
trattamenti su larga scala ( es. supermercati, ipermercati, aeroporti, aziende sanitarie),
trattamenti su larga scala di dati relativi a reati penali e condanne.

Il DPO deve essere nominato tra figure con elevata qualità professionali e ampia conoscenza specifica.

È una figura obbligatoria nei casi sopra indicati. Ove sia prevista come facoltativa, è consigliabile istituirla.

INCARICATO: Persona fisica che concretamente tratta il dato personale.

CONTITOLARE DEL TRATTAMENTO: E’ colui che determina congiuntamente le finalità e i mezzi del trattamento.

AMMINISTRATORE DI SISTEMA: Sono i soggetti che svolgono le seguenti attività: amministratore di base di dati, amministratore di rete e di apparati di sicurezza, amministratore di sistema software complessi.

PRINCIPI CARDINE DEL REGOLAMENTO

La nuova norma non parla più di misure minime di sicurezza. Sopprime infatti l’obbligo di adozione di misure minime di sicurezza (firewall, backup, ecc) ma impone la valutazione del rischio rispetto al quale il titolare deve attuare dei comportamenti tutelanti per il trattamento dei dati.

Principio di acconuntability – art. 24: responsabilizzazione del titolare del trattamento

Principio di privacy by design – art. 25: responsabilità progettuale

Quindi dovrà essere comprovata l’organizzazione per garantire la tutela del dato trattato

Principio del diritto all’oblio: possibilità di vedere cancellati i propri dati dal titolare del trattamento compresi i rimandi sui motori di ricerca

Secondo principio (default) – art. 25: obbligo di limitare, in modo predefinito, il trattamento dei soli dati necessari per eseguire il singolo lavoro

INFORMATIVA E CONSENSO

L’informativa deve essere trasparente, comprensibile e completa. Sarà quindi necessario riscrivere le “vecchie” informative alla luce della nuova normativa.

Il consenso deve essere richiesto per specifiche finalità e non in modo generico.

QUALI I RISCHI PER CHI NON SI ADEGUA?

Queste le sanzioni previste per chi non osserva il Nuovo Regolamento Europeo Privacy:

Ammonizione scritta in caso di una prima mancata osservanza non intenzionale.
Accertamenti regolari e periodici sulla protezione dei dati.
Multa fino a 20 milioni di euroo fino al 4% del volume d’affari globale registrato nell’anno precedente.

Ci stiamo organizzando per potervi supportare in vista dei nuovi obblighi. A breve riceverete un nostro invito ad un incontro formativo gratuito in cui vi forniremo tutte le indicazioni necessarie

Ultime news

Eventi

CORSO GESTIONE RISORSE UMANE

a partire dal 14 maggio 2024
Studio Pozzi

Un ciclo formativo su conoscenze di base e buone prassi operative per la corretta gestione HR.

Vai alla news

Informative

Gestione separata INPS | info n. 09/2024

Minimale, massimale e aliquote 2024 per i lavoratori iscritti alla gestione separata INPS

Vai alla news

Informative

Certificazione Unica redditi soggetti a ritenuta | info n. 7/2024

Da inviare entro il 18 marzo, CU per distribuzione utili entro il 2 aprile

Vai alla news

Panoramica sulla privacy

Questo sito utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito. I cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Tuttavia, la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.

Funzionali

Prestazione

Analitici

I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

Cookie	Tipo	Durata	Descrizione
_ga	prima parte	2 anni	Questo nome di cookie è associato a Google Universal Analytics, che è un aggiornamento significativo del servizio di analisi più comunemente utilizzato di Google. Questo cookie viene utilizzato per distinguere gli utenti unici assegnando un numero generato casualmente come identificatore del cliente. È incluso in ogni richiesta di pagina in un sito e utilizzato per calcolare i dati di visitatori, sessioni e campagne per i report di analisi dei siti.
_gat	terza parte	1 minuto	Impostato da Google per distinguere gli utenti.
_gid	terza parte	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito Web, creando anche un rapporto analitico delle prestazioni del sito Web. Alcuni dei dati che vengono raccolti includono il numero dei visitatori, la loro origine e le pagine che visitano in modo anonimo.

Pubblicitari

Necessari

I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.

Cookie	Tipo	Durata	Descrizione
cookielawinfo-checkbox-analitici	prima parte	1 anno	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analitici".
cookielawinfo-checkbox-necessari	prima parte	1 anno	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
CookieLawInfoConsent	prima parte	1 anno	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.
viewed_cookie_policy	prima parte	1 anno	Registra lo stato predefinito del pulsante della categoria corrispondente e lo stato del CCPA. Funziona solo in coordinamento con il cookie viewed_cookie_policy.