Informativa Regolamento generale sulla protezione dei dati (GDPR)

Dal 25 maggio 2018, il GDPR (Regolamento UE 2016/679) modificherà notevolmente la normativa in tema di privacy, per tutte le imprese è ora di correre ai ripari. Le sanzioni applicabili sono ingenti (fino al 4% del fatturato): occorre verificare di essersi pienamente adeguati sulla base di un’autovalutazione dei tipi di dati trattati e dei rischi possibili.

Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non diffonderli o comunicarli sistematicamente a terzi. (Un esempio: i dati raccolti per uso personale nelle proprie agende cartacee o elettroniche).

Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un’azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un’associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica, ecc.), il trattamento dei dati personali deve rispettare alcune regole:

  • fornire all’interessato alcune informazioni (articolo 13 del Codice) per  metterlo nelle condizioni di esercitare i propri diritti (articolo 7 del Codice)
  • acquisire il consenso dell’interessato documentato per iscritto (articolo 23 del Codice), che è valido se all’interessato è stata resa l’informativa (articolo 13 del Codice), ed è stato espresso dall’interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento)
  • Il trattamento deve avvenire riducendo al minimo l’utilizzo di dati personali (principio di necessità  – articolo 3 del Codice), oltre che nel rispetto dei principi (articolo 11 del Codice) di liceità e correttezza del trattamento;finalità del trattamento;esattezza e aggiornamento dei dati;pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento;conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.
  • Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice).
  • Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l’intenzione di effettuare un trattamento prima di iniziarlo (articolo 37 del Codice).
  • Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione alla natura particolare dei dati trattati (ad esempio: dati biometrici);oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici); oppure, agli effetti che il trattamento può determinare.
  • In base all’articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato entro il 24 maggio 2018. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo: (vedi Comunicazione dei dati di contatto del RPD)
    • Sono tenuti alla designazione del responsabile della protezione dei dati personali(DPO o RPD) i soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti di dati che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati. Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
    • I soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali sono ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”. In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura, i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.

Per ulteriori informazioni visita il sito www.garanteprivacy.it

2018-05-24T12:41:12+00:00 22 maggio 2018|News|