GDPR come essere in regola
LE TUE PROCEDURE PER IL CONTRASTO DEL COVID-19 RISPETTANO LA PRIVACY
VIDEO SORVEGLIANZA NORMATIVA
COOKIES NORMATIVA
CRYPTOLOG I TUOI FILE AL SICURO
SEI IN REGOLA CON LE PRESCRIZIONI DEL GDPR?

SEI IN REGOLA CON
LE PRESCRIZIONI DEL GDPR?

LE TUE PROCEDURE PER IL CONTRASTO DEL COVID-19 RISPETTANO LA PRIVACY?

LE TUE PROCEDURE PER IL CONTRASTO
DEL COVID-19 RISPETTANO LA PRIVACY?

HAI UN SISTEMA DI VIDEOSORVEGLIANZA MA NON SAI COME GESTIRE LA PRIVACY?

HAI UN SISTEMA DI VIDEOSORVEGLIANZA
MA NON SAI SE RISPETTA LA PRIVACY?

IL TUO SITO INTERNET RISPETTA LE PRESCRIZIONI DEL GARANTE PRIVACY?

IL TUO SITO INTERNET RISPETTA
LE PRESCRIZIONI DEL GARANTE PRIVACY?

I TUOI FILE SONO VERAMENTE AL SICURO?

I TUOI FILE SONO
VERAMENTE AL SICURO?

previous arrow
next arrow
mobileimg

LE TUE PROCEDURE PER IL CONTRASTO
DEL COVID-19 RISPETTANO LA PRIVACY?

mobileimg

I TUOI LAVORATORI SONO FORMATI SULLA NUOVA NORMATIVA DELLA PRIVACY?

mobileimg

IL TUO SITO INTERNET RISPETTA
LE PRESCRIZIONI DEL GARANTE PRIVACY?

previous arrow
next arrow
È il regolamento a cui deve attenersi chi tratta dati di persone fisiche a fini non personali
Scopri di più
Imprenditori, professionisti, artigiani e chiunque tratta dati di persone fisiche
scopri di più
Perdita e sottrazione di dati personali, ispezioni e sanzioni
Scopri di più
Adeguarsi e monitorare nel tempo le misure tecniche e organizzative adottate
Scopri di più

COS'È IL GDPR

Il GDPR, General Data Protection Regulation è il Regolamento UE 2016/679 del Parlamento Europeo “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
Noto anche come Regolamento UE 2016/679, è in vigore dal 24 Maggio 2016 ed è pienamente applicabile dal 24 Maggio 2018.

Il principale scopo del GDPR è uniformare le leggi europee sul trattamento dei dati personali, cioè di tutte le informazioni riguardanti una persona fisica identificata o identificabile al fine di protegge i suo diritto alla protezione dei dati che la riguardano. Diritto che è considerato una delle libertà fondamentali dell’individuo.

In pratica, il GDPR impone a chiunque tratta dati personali di una persona fisica a fini non personali di adottare tutte le misure tecniche ed organizzative idonee per evitare che essa subisca una limitazione dei propri diritti e delle proprie libertà, o in ogni caso un danno (fisico, materiale o immateriale) a causa della distruzione accidentale o illegale dei propri dati personali, della loro perdita, dell’accesso non autorizzato.

A tal fine, è stato accresciuto il potere dell’interessato di far valere i propri diritti:
ad esempio, è stato introdotto il “diritto all’oblio”, quello alla “portabilità dei dati”, ed è stata prevista la possibilità per l’interessato di opporre autonomamente un reclamo al Garante per la Protezione dei Dati Personali.

È stato anche accresciuto il grado di responsabilizzazione del Titolare del trattamento, definito come soggetto che decide la finalità e gli strumenti del trattamento stesso, e coincidente con la ditta, la società, l’impresa (anche senza dipendenti)

La normativa applicabile in materia di dati personali, comprende, oltre al GDPR:
– il D.Lgs 196/2003 (“Codice Privacy”) così come modificato dal D.Lgs 101/2018
– i provvedimenti del Garante per la Protezione dei Dati Personali (“Garante Privacy”)
– le linee guida dell’ European Data Protection Board (EDPB),

Le sanzioni per chi non rispetta le nuove norme saranno molto elevate

TRATTI DATI PERSONALI? ADEGUATI IMMEDIATAMENTE AL GDPR!

CHI DEVE ADEGUARSI

Sono tenuti ad adeguarsi alla normativa applicabile in materia di dati personali tutti i titolari del trattamento quali:

  • Società
  • ditte
  • aziende
  • associazioni
  • cooperative
  • fondazioni
  • enti
  • scuole (anche private e paritarie)
  • liberi professionisti (commercialisti, consulenti del lavoro, medici, avvocati, etc.)
  • artigiani
  • lavoratori autonomi
  • esercenti

Tutti, indipendentemente dal settore di appartenenza e anche se senza dipendenti. Ciò in quanto tratteranno comunque dei dati personali di persone fisiche quali clienti o fornitori

I RISCHI

I rischi per l’interessato, ossia per l’individuo al quale i dati si riferiscono, sono molteplici. Elenchiamo i principali:

Perdita o distruzione di dati personali

dovuta a:

  • malfunzionamenti software
  • rotture dell’hardware
  • ramsomware, ossia un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione.
  • furto di faldoni cartacei non sufficientemente protetti
  • incendio o alluvione

Sottrazione dei dati personali

dovuta a:

  • copia di informazioni senza autorizzazione
  • attività di hacking da parte di soggetti non identificabili che possono accedere alle banche dati elettroniche
  • frodi informatiche quali il fishing
  • divulgazione di informazioni riservate in violazione dell’obbligo di riservatezza
  • errori di comunicazione via email

Nel caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione al Garante per la Protezione dei Dati Personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

 

Ispezioni e sanzioni

Il Titolare del Trattamento può essere soggetto inoltre a visite ispettive da parte del Garante per la Protezione dei Dati Personali, eventualmente per mezzo del  Gruppo Privacy del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, con la quale ha recentemente (31 Marzo 2021) siglato un nuovo protocollo di intesa al fine di intensificare la collaborazione.

L’ispezione può essere effettuata anche seguito di segnalazioni effettuate al Garante stesso direttamente dall’interessato, nel caso in cui questi ritenga che i propri dati personali siano stati trattati in modo illecito.

Le sanzioni sono molto elevate per ogni violazione (basta già un’informativa mancante o inidonea per essere sanzionati) e possono arrivare alla cifra massima di 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

SOLUZIONI

Il Titolare dovrà essere in grado di dimostrare l’efficacia delle misure adottate, a partire da tutte quelle prescritte dal GDPR quali, ad esempio;

  • Fornire idonee informative sui trattamenti dei dati effettuati a tutte le categorie di interessati (dipendenti, clienti, fornitori, sito Internet, etc.)
  • Autorizzare formalmente ed formare tutti i soggetti che trattano dati sotto la sua responsabilità
  • Disciplinare con appositi contratti la gestione dei dati con tutti i soggetti esterni (Responsabili del trattamento) che trattano i dati per suo conto
  • Valutare i rischi che incombono sui dati e individuare le misure correttive da adottare
  • Redigere il registro delle attività di trattamento
  • Nominare, nei casi previsti, un Responsabile della Protezione dei Dati Personali o Data Protection Officer (DPO)
  • Definire procedure specifiche per
    • Amministratore di sistema
    • Manutentori hardware/software
    • Imprese di pulizla
    • Videosorveglianza
    • Geolocalizzazione
    • Trasferimenti dei dati al di fuori dello Spazio Economico Europeo o organizzazioni internazionali
    • Soggetti autorizzati ad accedere ai locali al di fuori dell’orario di lavoro
    • Gestione del riscontro all’interessato

Le misure adottate devono essere monitorate nel tempo, tenendo conto delle variazioni organizzative interne, dell’evoluzione della tecnica e delle norme in materia di protezione dei dati personali (inclusi specifici provvedimenti del Garante).

Ciò suggerisce la scelta di una consulenza che non si limiti ad un adeguamento iniziale alla normativa applicabile, ma che dia un supporto costante nel tempo. Ciò anche in virtù del fatto che l’applicazione delle sanzioni terrà anche conto (art. 83, c.2 lett. f) del Regolamento UE 2016/679) del grado di cooperazione con l’autorità di controllo al fine di porre rimedio ad eventuali violazioni contestate e attenuare i loro possibili effetti negativi.