FAQ

Il Regolamento Europeo 679/2016 (meglio conosciuto come GDPR) è una norma per la protezione delle persone fisiche con particolare riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il Regolamento si applica nello stesso modo in tutte le Nazioni Europee e semplifica, in maniera drastica, gli adempimenti amministrativi connessi ad un’appropriata raccolta ed un sicuro e corretto trattamento di dati personali.

Certamente il primo personaggio che viene coinvolto è l’Interessato cioè colui a cui i dati si riferiscono. L’interessato deve essere necessariamente una persona fisica e non una persona giuridica (azienda). Si passa, poi, al Titolare del trattamento  cioè la persona fisica o giuridica(l’entità che acquisisce i dati che è l’azienda nel suo complesso nella persona del suo legale rappresentante),  e che stabilisce le finalità e i mezzi del trattamento dei dati. Il Responsabile del trattamento, ovvero la persona fisica o giuridica che tratta dati personali per conto e sotto l’autorità del Titolare del trattamento, il Responsabile può essere sia interno che esterno all’azienda. Poi vi è l’Autorizzato al trattamento, vale a dire un soggetto fisico, che alle dirette ed esplicite dipendenze del Titolare e/o Responsabile esegue trattamenti sui dati personali nell’ambito delle proprie competenze e funzioni. In ultimo, nuova ed importante figura è il Responsabile della Protezione dei Dati o DPO (Data Protection Officer), si tratta di una sorta di revisore, ispettore, consulente, assistente che aiuta il Titolare ed il Responsabile del trattamento in ogni attività legata al dettami del GDPR e vigila sulla sua conformità.

Il consenso da parte dell’interessato è qualsiasi manifestazione di libera volontà con la quale egli manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.

Il regolamento generale sulla protezione dei dati personali, ha introdotto un vero e proprio cambio di filosofia, basato su regole e adempimenti particolarmente definiti (per esempio elenco delle misure di sicurezza da adottare, registro dei trattamenti, analisi dei rischi, ecc..) e la definizione di un sistema articolato di governance dei dati personali. Il nuovo regolamento si basa su un’alto livello di responsabilizzazione (accountability) del Titolare del Trattamento, che deve garantire ed essere in grado di dimostrare la conformità al GDPR dei trattamenti di dati personali effettuati dall’azienda, per cui  richiede la definizione di un vero e proprio modello funzionale della Data Protection. In questo contesto, è fondamentale per ciascuna delle organizzazioni, per adeguarsi, deve definire un percorso strutturato e sostenibile per essere, entro il 25 maggio 2018 conforme al GDPR e, allo stesso tempo, essere in grado di dimostrare che, sia le azioni attivate e le relative motivazioni,  siano opportunamente inserite all’interno di un piano d’azione, tale percorso di adeguamento al GDPR è articolato in varie e complesse fasi.

Il “registro dei trattamenti” rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. Sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati. Praticamente tutti.

La valutazione d’impatto sulla protezione dei dati (DPIA, acronimo di “Data Protection Impact Assessment”) è un processo che il titolare del trattamento deve effettuare quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 GDPR).

Il GDPR prevede all’art. 37 l’obbligo di designazione del DPO per: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento. La designazione del DPO non è obbligatoria, invece, per: liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. Il GDPR prevede che un gruppo imprenditoriale possa designare un solo DPO, purchè sia facilmente raggiungibile da ciascuno stabilimento

Il Garante ha precisato che secondo il GDPR, il ruolo di responsabile della protezione dei dati personali può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti, mediante un contratto di servizi che dovrà indicare i compiti attribuiti, le risorse assegnate. Ricordiamo che la responsabilità di osservare la normativa sulla tutela della privacy resta comunque del titolare o il responsabile del trattamento. Quest’ultimo dovrà pubblicare i dati del responsabile della protezione dei dati e comunicarli con apposito modulo all’Autorità di controllo.

Per violazione dei dati si intende “la violazione di sicurezza che comporta accidentalmente, o in modo illecito, la distruzione, la modifica, la perdita, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati, o comunque trattati. Il Titolare o il Responsabile del trattamento devono prendere in considerazione che una violazione di sicurezza può essere di origine accidentale o dolosa. Il comportamento da seguire, in fase di notifica all’Autorità Garante Nazionale, e lo stesso, ma è evidente che i passi successivi potranno essere ben diversi a seconda della natura dell’evento. La segnalazione deve essere effettuata, senza giustificato ritardo, entro le 72 ore dal momento in cui il Titolare ne è venuto a conoscenza, l’articolo 33 del GDPR illustra le informazioni che devono essere contenute nella segnalazione. Per eventuali informazioni si prega di compilare l’apposito forum.

Nome (campo obbligatorio)

Cognome (campo obbligatorio)

Azienda o Privato

Indirizzo mail (campo obbligatorio)

Conferma mail (campo obbligatorio)

Quesito con relativo campo memo.

Si può anche aggiungere il campo “non sono un robot” con relativa sequenza di codici da digitare prima dell’invio.