E’ il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Esso è applicato in tutti i 28 Stati membri dell’Unione Europea.
E’ considerato dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente.
Esempi di dati personali includono (ma non si limitano a) dati identificativi come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e orientamento sessuale.
Esempi di dati non personali includono i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati resi anonimi.
Per trattamento si intende qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati (es. la raccolta e la registrazione; l’organizzazione e la strutturazione; la conservazione; l’adattamento e la modifica; l’estrazione; la consultazione e l’uso; la trasmissione e la diffusione; la messa a disposizione; il raffronto e l’interconnessione; la limitazione; la cancellazione e la distruzione).
COSA CAMBIA
L’articolo 24 del GDPR, sancisce il Principio dell’Accountability, “Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
I processi aziendali che comportano il trattamento dei dati personali devono essere progettati fin dall’inizio con l’obiettivo di riduzione dei rischi per gli interessati, ad esempio attraverso la separazione della registrazione dei dati identificativi degli interessati dagli altri dati, magari sensibili, oggetto di trattamento, collegando le due registrazioni da un codice (Privacy by design e privacy by default (art. 25 GDPR)
Più consenso
La prestazione del consenso deve essere espressa dall’interessato mediante un atto libero, specifico, informato e inequivocabile.
Il contenuto dell’informativa
Rispetto al vecchio Codice Privacy l’informativa deve essere molto più dettagliata, deve indicarne le finalità, quali sono i soggetti – eventualmente terzi – che hanno accesso ai dati e deve essere fornita a tutti gli interessati al trattamento.
IL DPO (Data Protection Officer)
Gli articoli 37, 38 e 39 (sezione 4) disciplinano la nomina del Data Protection Officer: figura del tutto nuova e obbligatoria qualora sussistano le condizioni di cui all’art. 37 del GDPR:
se il trattamento dei dati personali è effettuato da un’autorità pubblica o un organismo pubblico; quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali dell’organizzazione consistono nel trattamento dei dati sensibili ovvero giudiziari su larga scala.
Il Responsabile designato è chiamato a mediare tra gli interessati, il titolare del trattamento e il Garante per la Privacy.
REGISTRO DEI TRATTAMENTI
Il Registro dei Trattamenti è previsto sia all’art. 30, e introduce l’obbligo di tenuta di un registro relativo ai trattamenti effettuati per conto del Data Controller (ossia il Titolare) e del Responsabile (il Data Processor), alla stregua del DPS, deve indicare chi è il titolare, chi sono i responsabili, quali sono le categorie interessate, come viene effettuato il trattamento, nonché le sue finalità.
NUOVI DIRITTI PER L’INTERESSATO
Il GDPR garantisce una maggiore tutela dei diritti dei cittadini europei:
- diritto alla trasparenza: l’informativa sulla privacy deve essere facilmente accessibile e con un linguaggio semplice e trasparente, indicando le finalità del trattamento, il periodo di conservazione dei dati, i nominativi e i contatti del responsabile del trattamento, le modalità per richiedere la cancellazione o la modifica;
- diritto di accesso: l’utente può chiedere l’accesso ai propri dati e chiederne informazioni;
- diritto di opposizione: l’interessato può opporsi al trattamento dei propri dati;
- diritto alla portabilità dei dati: i dati devono essere esportabili in un determinato formato, in modo da garantire all’utente la possibilità di poter trasferire i propri dati da un fornitore all’altro;
- diritto all’oblio o alla modifica dei dati: l’interessato può richiedere la cancellazione o la modifica dei propri dati in qualsiasi momento.
Il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa.
L
Le conseguenze legali possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato annuo.
Chiunque ritenga di aver subito violazioni della propria privacy, ad esempio ricevendo telefonate ed email indesiderate.
SEI PRONTO? NO? ADEGUATI SUBITO
COSA OFFRIAMO
CONSULENZA
- Questionario approfondito di valutazione compliance
- Gap Analysis e Risk assessment
Analisi del livello di rischio e dei gap rispetto alla normativa - Piano Interventi
Documento di sintesi con le misure necessarie per l’adeguamento alla normativa. - Assistenza, controlli Periodici e Formazione della piattaforma Cloud
FORMAZIONE
La formazione costituisce, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.
La nostra formazione, presenterà un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguarderà tutti i soggetti.
SOFTWARE
AGYO PRIVACY è il software semplice ed intuitivo che guida nella produzione di documenti necessari per adempiere al nuovo regolamento. Con Privacy in Cloud è possibile gestire gli adempimenti sulla protezione dei dati personali.