GDPR – Buffetti Normativa
La normativa di riferimento
Dal 25 maggio 2018 diviene applicabile in tutti gli Stati membri dell’unione europea il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation), attinente la protezione dei dati personali delle persone fisiche con riguardo al loro trattamento ed alla libera circolazione.
La normativa nasce dall’esigenza di armonizzare il trattamento e la protezione dei dati personali delle persone fisiche in tutta l’Unione Europea anche in relazione alle sfide poste dagli sviluppi tecnologici intercorsi nel tempo (internet e social network). Scarica qui il Regolamento Europeo.
Il regolamento ha due obiettivi fondamentali
1) tutelare e rendere più consapevoli gli interessati;
2) responsabilizzare le organizzazioni sulla necessità di porre in essere attività tendenti ad assicurare il rispetto dei diritti dei cittadini in modo bilanciato rispetto all’interesse legittimo del trattamento dei dati da parte dei titolari.
Molti dei principi cardine e delle definizioni giuridiche già attualmente previsti dal Codice Privacy D.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse legittimo del titolare o di terzi cui i dati vengono comunicati) restano validi. Il rispetto del bilanciamento fra legittimo interesse del titolare e diritti e libertà dell’interessato è compito del titolare dei dati; col principio di «responsabilizzazione». Il titolare deve dimostrare di aver attuato le opportune procedure ed attenzioni nel trattamento e nell’analisi dei possibili rischi.
Novità introdotte dal GDPR rispetto alla normativa precedente sulla Privacy
Il GDPR disciplina la protezione dei dati delle persone fisiche con riferimento sia al trattamento sia alla libera circolazione di tali dati. Persegue due principali finalità:
- sensibilizzare gli “interessati” nel momento in cui rendono disponibili i propri dati personali;
- responsabilizzare le imprese private che utilizzano i dati personali nell’ambito delle loro attività.
Il regolamento conferma che ogni trattamento di dati personali deve trovare fondamento in un’idonea base giuridica; i titolari del trattamento dei dati sono tenuti a seguire un percorso di adeguamento alle norme, nel rispetto dei fondamenti di liceità del trattamento, che coincidono, in linea di massima, con quelli già previsti dal Codice privacy d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, obblighi di legge cui è soggetto il titolare, ecc.).
Il titolare deve sempre poter dimostrare che è stato fatto tutto il possibile per evitare e prevenire la diffusione non autorizzata di informazioni sensibili, fino anche all’autodenuncia se dovessero verificarsi violazioni o furti di archivi contenenti dati sensibili.
Cosa Prescrive il nuovo Regolamento
- Dal momento in cui si raccolgono dati personali, la loro protezione e l’uso per il quale si raccolgono le informazioni devono essere dichiarate ed organizzate in modo chiaro; non sarà possibile raccogliere o gestire dati senza specificarne la finalità.
- Diritto all’oblio degli interessati: non possono essere detenute le informazioni una volta venuto meno lo scopo.
- Principio di responsabilità (accountability): non c’è un elenco minimo di precauzioni da prendere ma in caso di richiesta dell’autorità o della divulgazione non autorizzata dei dati personali occorre dimostrare di aver fatto il possibile per proteggerli in base ai mezzi disponibili.
- Sanzioni: fino a 20 milioni di euro o fino al 4% del fatturato, comminate dall’autorità garante della privacy, e controlli da parte di Guardia di Finanza e tutte le forze di polizia.
Queste modifiche influenzeranno i processi organizzativi del business di aziende e professionisti e si applicano a tutti, dalle autorità pubbliche alle piccole e medie imprese. L’adozione delle misure previste dal regolamento si possono riassumere nei seguenti punti cardine:
- finalità e liceità del trattamento esplicite
- correttezza dei processi nel trattamento
- sicurezza nel trattamento
Riportiamo un estratto dal sito del Garante sulle definizioni di dati personali e sensibili:
“I dati personali sono tutte le informazioni che identificano o rendono identificabile una persona fisica (dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute, situazione economica, ecc.)
Particolarmente importanti sono:
– dati identificativi: permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
– dati sensibili: possono rivelare l’origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere, opinioni politiche, adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, stato di salute e vita sessuale;
– dati giudiziari: possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato.”
Il Titolare del trattamento è tenuto a:
- Fornire informazioni chiare agli interessati della raccolta dei dati.
- Evidenziare gli scopi dell’elaborazione e i casi di utilizzo.
- Definire i criteri di conservazione e di eliminazione dei dati.
- Proteggere i dati personali con misure di sicurezza appropriate.
- Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni).
- Segnalare alle autorità eventuali violazioni.
- Conservare la documentazione dettagliata.
Il Titolare è anche tenuto a “formarsi e formare” il personale coadiuvante alle nuove specifiche di trattamento dei dati.
Le Soluzioni
2 – Un catalogo di Corsi di Formazione a distanza per i principali soggetti interessati
3 – PRIVACY DGPR FACILE: un servizio di consulenza in outsourcing svolto da specialisti ed esperti
Buffetti GDPR Software Buffetti GDPR Formazione Buffetti GDPR in Outsourcing Buffetti GDPR Video Demo Qui Privacy
RICHIEDI CONTATTO
[contact-form-7 id=”1186387″ title=”Richiesta Info QuiPrivacy GDPR”]
