CHI SIAMO e CONTATTI
SERVIZI CONSULENZA
DPS
in passato e
adesso?
VERIFICHE PRIVACY GRATUITE
FORMAZIONE PRIVACY
SEZIONE INFORMATIVA
PRIVACY IN PILLOLE
SANZIONI
CHI DEVE ADEGUARSI?
CONTROLLA ADEMPIMENTI
CODICE PRIVACY E NORMATIVA
NORMATIVE ATTINENTI
TESTO UNICO
BANCARIO
TESTO UNICO SULLA SICUREZZA
FAQ -
SITI
UTILI
Tribunali italiani
Policy privacy
|
Per
conoscere gli adempimenti a cui sei tenuto dobbiamo capire la
tua categoria di appartenenza e conoscere la tipologia di
trattamenti che effettui.
Evita adempimenti inutili, evita moduli di richiesta di consenso
non necessari (rapporti contrattuali o precontrattuali), fai
valutare da un consulente le tue vulnerabilità, prevedi nomine
interne ed esterne, clausole contrattuali che ti tutelino,
procedure semplici ed efficienti... Mettersi in regola a costi
accessibili pone al riparo da problemi legali, sanzioni, danni
all'immagine. E non dimenticate, la corretta gestione delle
informazioni è un investimento fruttuoso in termini di
efficienza.
Segui i nostri
aggiornamenti
Regolamento europeo Privacy GDPR
Regolamento (UE) 2016/679
Fondamenti di liceità del trattamento: sono indicati nell’art. 6
del GDPR e, in linea di massima, coincidono con quelli del D.
Lgs. n. 196/2003 (consenso, adempimento obblighi contrattuali,
interessi vitali della persona interessata o di terzi, doveri
del titolare, interesse pubblico o esercizio di pubblici poteri,
interesse legittimo prevalente del titolare o di terzi cui i
dati sono comunicati), con alcuni cambiamenti:
Consenso
deve essere esplicito per i dati sensibili e in caso di
trattamenti automatizzati, compresa la profilazione. Il consenso
dei minori è valido a partire dai 16 anni.
Informativa
i contenuti dell’Informativa sono tassativamente indicati negli
artt. 13, par. 1, e 14, par. 1, del GDPR. In particolare, essa
deve contenere: i dati di contatto del RDP-DPO (Responsabile
della protezione dati – Data Protection Officer), ove esistente;
la base giuridica del trattamento; l’interesse legittimo, se
costituisce la base legittima del trattamento; se i dati sono
trasferiti in Paesi terzi e, in caso affermativo, attraverso
quali strumenti; il periodo di conservazione dei dati o i
criteri per stabilire tale periodo; diritto di presentare un
reclamo all’autorità di controllo; in caso di processi
decisionali automatizzati, compresa la profilazione, indicazione
della logica di tali processi e delle conseguenze previste per
l’interessato.
Caratteristiche dell’Informativa
concisa, trasparente, intellegibile per l’interessato e
facilmente accessibile, uso di un linguaggio chiaro e semplice e
previsione di idonee informative per i minori.
Forma dell’Informativa
in linea di principio è data per iscritto e preferibilmente in
formato elettronico, fermo restando che sono ammessi altri
mezzi, compresa la forma orale. È ammesso l’uso di icone che ne
riassumono i contenuti principali, ma solo in combinazione con
l’Informativa estesa. Le icone devono essere uguali in tutti gli
Stati membri e saranno definite dalla Commissione europea.
Tempi
l’Informativa deve essere fornita all’interessato prima di
effettuare la raccolta dei dati o, se questi non sono raccolti
direttamente presso l’interessato, deve comprendere anche le
categorie dei dati personali oggetto di trattamento. Il titolare
deve sempre comunque specificare la propria identità e quella
dell’eventuale rappresentante nel territorio italiano, le
finalità del trattamento, i diritti degli interessati e, se
esiste un responsabile del trattamento, la sua identità e quali
sono i destinatari dei dati.
Diritti degli interessati
Modalità per l’esercizio dei diritti
artt. 11 e 12 GDPR
il termine per la risposta all’interessato è un mese,
estendibile fino a tre mesi in casi di particolare complessità.
se espressamente richiesta dall’interessato), concisa,
trasparente, facilmente accessibile ed espressa con un
linguaggio semplice e chiaro.
Diritto di accesso
art. 15 GDPR
è il diritto a ricevere una copia dei dati personali oggetto di
trattamento nonché l’indicazione del periodo di conservazione
previsto o, se non è possibile prevederlo, dei criteri
utilizzati per definire tale periodo e le garanzie applicate in
caso di trasferimento dei dati in Paesi terzi.
Diritto di cancellazione – diritto all’oblio
art. 17 GDPR
è il diritto di cancellazione dei propri dati personali in forma
rafforzata.
Diritto alla portabilità dei dati
art. 20 GDPR
è uno dei nuovi diritti introdotti dalla normativa europea. Sono
portabili solo i dati elettronici trattati con il consenso
dell’interessato o sulla base di un contratto stipulato con
l’interessato e solo i dati che siano stati forniti
dall’interessato al titolare.
Titolare, Responsabile, Incaricato del trattamento
artt. 26 e ss. GDPR
Responsabile
l’art. 29 GDPR specifica che deve trattarsi di un contratto (o
altro atto giuridico conforme al diritto nazionale) e deve
disciplinare tassativamente le materie riportate all’art. 28,
par. 3, al fine di dimostrare che il titolare offre garanzie
sufficienti (natura, durata e finalità del trattamento,
categorie di dati oggetto di trattamento, misure tecniche e
organizzative adeguate a consentire il rispetto delle istruzioni
impartite dal titolare e delle disposizioni regolamentari). È
consentita la nomina di sub-responsabili del trattamento da
parte di un responsabile (art. 28, par. 4 GDPR) per specifiche
attività di trattamento.
Il responsabile risponde davanti al titolare per eventuali
inadempimenti del sub-responsabile, salvo che dimostri che
l’evento dannoso “non gli è in alcun modo imputabile”.
Obblighi specifici in capo ai responsabili del trattamento,
distinti da quelli dei titolari: tenuta del registro dei
trattamenti svolti (art. 30, par. 2 GDPR); adozione di misure
tecniche e organizzative per garantire la sicurezza dei
trattamenti (art. 32 GDPR); designazione di un RDP-DPO nei casi
previsti dal Regolamento o dalla normativa nazionale (art. 37
GDPR).
Importante, infine, la previsione dettata dall’art. 27, par. 3,
GDPR relativa all’obbligo di nomina di un rappresentante in
Italia da parte del responsabile non stabilito nella UE.
Approccio basato sul rischio e misure di accountability (i.e.
responsabilizzazione) di titolari e responsabili
in generale, si tratta dell’adozione di comportamenti proattivi
e tali da dimostrare la concreta adozione di misure finalizzate
ad assicurare l’applicazione del Regolamento. In pratica, viene
affidato ai titolari il compito di stabilire autonomamente le
modalità, le garanzie e i limiti del trattamento dei dati
personali, sempre nel rispetto delle normative e dei criteri
contenuti nel GDPR.
Data protection by default e by design
art. 25 GDPR
analisi preventiva per configurare il trattamento prevedendo a
monte, ovvero prima di procedere al trattamento, le garanzie
indispensabili al fine di soddisfare i requisiti del Regolamento
e tutelare i diritti degli interessati. Processo di valutazione
dei rischi necessario.
Registro dei trattamenti (art. 30, par. 5 GDPR): tutti i
titolari e i responsabili del trattamento, eccettuati gli
organismi con meno di 250 dipendenti, ma solo se non effettuano
trattamenti a rischio, devono tenere un registro dei trattamenti
effettuati, in forma scritta, anche elettronica, che dovrà
essere esibito dietro richiesta del Garante.
Misure di sicurezza (art. 32 GDPR)
il Regolamento prevede una lista aperta e non esaustiva
delle misure tali da garantire un livello di sicurezza adeguato
al rischio del trattamento.
Notifica delle violazioni di dati personali: prevede l’obbligo
in capo a tutti i titolari di notificare all’autorità competente
le violazioni di dati personali di cui vengano a conoscenza
entro 72 ore e comunque senza giustificato ritardo, ma soltanto
se ritengono probabile che da tale violazione derivino rischi
per i diritti e le libertà degli interessati. Ne deriva che la
notifica all’autorità non è obbligatoria, essendo subordinata (e
qui ritorna il principio di responsabilizzazione) alla
valutazione da parte del titolare.
Responsabile della protezione dei dati (RDP-DPO)
è finalizzata a facilitare l’attuazione del Regolamento da
parte del titolare/responsabile. Tale figura (che deve
rispondere ai requisiti di indipendenza, autorevolezza e
competenza manageriale), infatti, deve, tra l’altro,
sensibilizzare e formare il personale in merito agli adempimenti
privacy, nonché sorvegliare sulla valutazione di impatto del
rischio. La sua designazione è obbligatoria nei casi previsti
dall’art. 37.
|