[fusion_builder_container hundred_percent=”no” hundred_percent_height=”no” hundred_percent_height_scroll=”no” hundred_percent_height_center_content=”yes” equal_height_columns=”no” menu_anchor=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”center center” background_repeat=”no-repeat” fade=”no” background_parallax=”none” enable_mobile=”no” parallax_speed=”0.3″ video_mp4=”” video_webm=”” video_ogv=”” video_url=”” video_aspect_ratio=”16:9″ video_loop=”yes” video_mute=”yes” video_preview_image=”” border_size=”” border_color=”” border_style=”solid” margin_top=”” margin_bottom=”” padding_top=”” padding_right=”” padding_bottom=”” padding_left=””][fusion_builder_row][fusion_builder_column type=”1_1″ spacing=”” center_content=”no” link=”” target=”_self” min_height=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”left top” undefined=”” background_repeat=”no-repeat” hover_type=”none” border_size=”2″ border_color=”#00a7ad” border_style=”solid” border_position=”top” padding_top=”” padding_right=”20″ padding_bottom=”” padding_left=”20″ margin_top=”” margin_bottom=”” animation_type=”” animation_direction=”left” animation_speed=”0.3″ animation_offset=”” last=”no”][fusion_text]

Ambito d’applicazione del GDPR

[/fusion_text][fusion_text]

A chi si applica il GDPR?

Il GDPR si applica a:

  • un’azienda o ente che tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati;
  • un’azienda stabilita al di fuori dell’UE e che offre beni/servizi (a pagamento o gratuiti) o monitora il comportamento delle persone nell’UE.

Se la tua azienda è una piccola o media impresa (PMI) che tratta i dati personali come descritto sopra, dovrai assicurarti di rispettare il regolamento. Tuttavia, se il trattamento dei dati personali non è una parte essenziale della tua attività e quest’ultima non crea rischi per le persone, alcuni obblighi del GDPR non si applicheranno alla tua azienda (ad esempio, la nomina di responsabile della protezione dei dati). Ricorda che tra le «attività essenziali» rientrano le attività in cui l’elaborazione di dati costituisce una parte fondamentale dell’attività del titolare o del responsabile del trattamento.

Le norme si applicano alle piccole e medie imprese?

Sì, l’applicazione del regolamento sulla protezione dei dati non dipende dalle dimensioni dell’azienda/organizzazione, ma dalla natura delle sue attività. Le attività che presentano rischi elevati per i diritti e le libertà delle persone, indipendentemente dal fatto che siano svolte da una PMI o da una società di capitali, determinano l’applicazione di norme più severe. Tuttavia, alcuni degli obblighi del GDPR potrebbero non applicarsi a tutte le PMI.

Ad esempio, le aziende con meno di 250 dipendenti non devono tenere un registro delle loro attività di trattamento, a meno che il trattamento dei dati personali non sia un’attività regolare, costituisca una minaccia per i diritti e le libertà individuali o riguardi dati sensibili o casellari giudiziari.

Analogamente, le PMI dovranno nominare un responsabile della protezione dei dati soltanto se il trattamento dei dati costituisce la loro attività principale e rappresenta una minaccia specifica per i diritti e le libertà individuali (come il controllo delle persone o il trattamento di dati sensibili o di casellari giudiziari), in particolare perché avviene su vasta scala.

Le norme del GDPR si applicano ai dati di una società?

No, le norme si applicano solo ai dati personali delle persone fisiche, non regolano i dati delle società o di altre persone giuridiche. Tuttavia, le informazioni relative alle imprese individuali possono costituire dati personali se consentono l’identificazione di una persona fisica. Le norme si applicano anche a tutti i dati personali relativi a persone fisiche nel corso di un’attività professionale, quali ad esempio i dipendenti di un’azienda/organizzazione, come gli indirizzi e-mail aziendali del tipo «nome.cognome@azienda.it» o i numeri telefonici aziendali dei dipendenti.

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container][fusion_builder_container hundred_percent=”no” hundred_percent_height=”no” hundred_percent_height_scroll=”no” hundred_percent_height_center_content=”yes” equal_height_columns=”no” menu_anchor=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”center center” background_repeat=”no-repeat” fade=”no” background_parallax=”none” enable_mobile=”no” parallax_speed=”0.3″ video_mp4=”” video_webm=”” video_ogv=”” video_url=”” video_aspect_ratio=”16:9″ video_loop=”yes” video_mute=”yes” video_preview_image=”” border_size=”” border_color=”” border_style=”solid” margin_top=”” margin_bottom=”” padding_top=”” padding_right=”” padding_bottom=”” padding_left=””][fusion_builder_row][fusion_builder_column type=”1_1″ spacing=”” center_content=”no” link=”” target=”_self” min_height=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”left top” undefined=”” background_repeat=”no-repeat” hover_type=”none” border_size=”2″ border_color=”#00a7ad” border_style=”solid” border_position=”top” padding_top=”” padding_right=”20″ padding_bottom=”” padding_left=”20″ margin_top=”” margin_bottom=”” animation_type=”” animation_direction=”left” animation_speed=”0.3″ animation_offset=”” last=”no”][fusion_text]

Modalità per trattare correttamente i dati personali

[/fusion_text][fusion_text]

Quali dati possono esser trattati e in quali condizioni?

Il tipo e la quantità di dati personali che un’azienda/organizzazione può trattare dipendono dal motivo del trattamento (motivo giuridico utilizzato) e da ciò che si desidera fare con essi. L’azienda/organizzazione deve rispettare diverse norme chiave, tra cui:

  • i dati personali devono essere trattati in modo lecito e trasparente, garantendo l’equità nei confronti delle persone di cui si trattano i dati («liceità, correttezza e trasparenza»);
  • occorre avere finalità specifiche per il trattamento dei dati e l’azienda/organizzazione deve indicarle alle persone quando si raccolgono i loro dati personali. Un’azienda/organizzazione non può raccogliere dati personali per scopi non definiti («limitazione delle finalità»);
  • l’azienda/organizzazione può raccogliere e trattare solo i dati personali necessari a tale scopo («minimizzazione dei dati»);
  • l’azienda/organizzazione deve assicurarsi che i dati personali siano esatti e aggiornati, tenendo conto delle finalità per le quali vengono trattati, e, in caso contrario, correggerli («accuratezza»);
  • l’azienda/organizzazione non può utilizzare i dati personali per altri scopi non compatibili con la finalità originaria della raccolta;
  • l’azienda/organizzazione deve garantire che i dati personali siano conservati per un periodo non superiore a quello necessario agli scopi per i quali sono stati raccolti («limiti di tempo per la conservazione»);
  • l’azienda/organizzazione deve predisporre adeguate misure tecniche e organizzative che garantiscano la sicurezza dei dati personali, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, la distruzione o il danno, utilizzando tecnologie appropriate («integrità e riservatezza»).

Riferimenti:

  • Articolo 5, paragrafo 1; considerando 39 del regolamento.
  • Gruppo di lavoro ex articolo 29 — Parere 3/2013 sulla limitazione delle finalità (WP 203).

I dati personali raccolti possono essere trattai per ulteriori finalità?

Sì, ma solo in alcuni casi. Se la tua azienda/organizzazione ha raccolto i dati sulla base di un interesse legittimo, di un contratto o di interessi vitali, può usarli per un’altra finalità, ma solo dopo aver verificato che la nuova finalità sia compatibile con quella originaria.

Si deve tenere conto dei seguenti elementi:

  • il legame tra la finalità originaria e la nuova finalità;
  • il contesto in cui sono stati raccolti i dati (qual è il rapporto tra la tua azienda/organizzazione e la persona?);
  • il tipo e la natura dei dati (sono sensibili?);
  • le possibili conseguenze dell’ulteriore trattamento previsto (in che modo inciderà sulla persona?);
  • l’esistenza di salvaguardie adeguate (quali cifratura o pseudonimizzazione).

Se la tua azienda/organizzazione intende utilizzare i dati per statistiche o per ricerche scientifiche non è necessario eseguire il test di compatibilità.

Se la tua azienda/organizzazione ha raccolto i dati in base alconsenso o a seguito di un obbligo previsto dalla legge, non è possibile alcun ulteriore trattamento al di fuori dei settori coperti dal consenso originale o dalla disposizione di legge. Un ulteriore trattamento richiede un nuovo consenso o una nuova base giuridica.

Posso raccogliere tutti i dati personali che voglio?

I dati personali devono essere trattati solo se non è ragionevolmente possibile effettuare il trattamento in altro modo. Dove possibile, è preferibile utilizzare dati anonimi. Qualora siano necessari, i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario allo scopo («minimizzazione dei dati»). È responsabilità dell’azienda/organizzazione, in qualità di titolare del trattamento, valutare la quantità di dati necessaria e garantire che non vengano raccolti dati irrilevanti.

Quali informazioni devo fornire agli interessati prima di raccogliere i loro dati?

Al momento della raccolta dei dati, le persone devono essere informate chiaramente almeno su quanto segue:

  • chi è la tua azienda/organizzazione (i tuoi dati di contatto ed eventualmente quelli del tuo responsabile della protezione dei dati);
  • perché la tua azienda/organizzazione utilizzerà i loro dati personali (finalità);
  • le categorie di dati personali interessate;
  • la giustificazione giuridica per il trattamento dei dati;
  • per quanto tempo saranno conservati i dati;
  • chi altro potrebbe riceverli;
  • se i loro dati personali saranno trasferiti a un destinatario al di fuori dell’UE;
  • che hanno diritto a una copia dei dati (diritto di accesso ai dati personali) e altri diritti fondamentali nel campo della protezione dei dati;
  • il loro diritto di presentare un reclamo presso le autorità competenti per la protezione dei dati personali;
  • il loro diritto di revocare il consenso in qualsiasi momento;
  • se applicabile, l’esistenza di un processo decisionale automatizzato e la logica implicita, comprese le relative conseguenze.

Tali informazioni possono essere fornite per iscritto, oralmente su richiesta della persona quando la sua identità è dimostrata con altri mezzi o, se del caso, per via elettronica. La tua azienda/organizzazione deve farlo in modo conciso, trasparente, comprensibile e facilmente accessibile, in un linguaggio chiaro e semplice e gratuitamente.

Quando i dati sono ottenuti da un’altra azienda/organizzazione, la tua azienda/organizzazione deve fornire le informazioni elencate qui sopra alla persona interessata al più tardi entro un mese dal momento in cui la tua azienda ha ottenuto i dati personali; oppure, nel caso in cui la tua azienda/organizzazione comunichi con la persona, quando i dati vengono utilizzati per comunicare con lei; oppure, se è prevista la divulgazione a un’altra società, quando i dati personali vengono divulgati per la prima volta.

La tua azienda/organizzazione è inoltre tenuta a comunicare alla persona le categorie di dati e la fonte da cui sono stati ottenuti, incluso se sono stati ottenuti da fonti accessibili al pubblico. In circostanze specifiche elencate all’articolo 13, paragrafo 4, e all’articolo 14, paragrafo 5, del regolamento, la tua azienda/organizzazione può essere esonerata dall’obbligo di informare la persona. Verifica se tale esonero si applica alla tua azienda/organizzazione.

[/fusion_text][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container][fusion_builder_container hundred_percent=”no” hundred_percent_height=”no” hundred_percent_height_scroll=”no” hundred_percent_height_center_content=”yes” equal_height_columns=”no” menu_anchor=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”center center” background_repeat=”no-repeat” fade=”no” background_parallax=”none” enable_mobile=”no” parallax_speed=”0.3″ video_mp4=”” video_webm=”” video_ogv=”” video_url=”” video_aspect_ratio=”16:9″ video_loop=”yes” video_mute=”yes” video_preview_image=”” border_size=”” border_color=”” border_style=”solid” margin_top=”” margin_bottom=”” padding_top=”” padding_right=”” padding_bottom=”” padding_left=””][fusion_builder_row][fusion_builder_column type=”1_1″ layout=”1_1″ spacing=”” center_content=”no” link=”” target=”_self” min_height=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=”” background_color=”” background_image=”” background_position=”left top” undefined=”” background_repeat=”no-repeat” hover_type=”none” border_size=”0″ border_color=”” border_style=”solid” border_position=”all” padding_top=”” padding_right=”15″ padding_bottom=”” padding_left=”15″ margin_top=”” margin_bottom=”” animation_type=”” animation_direction=”left” animation_speed=”0.3″ animation_offset=”” last=”no”][fusion_text]

Che cosa devo fare per essere compliant?

[/fusion_text][fusion_flip_boxes columns=”2″ icon=”” icon_color=”#00a7ad” circle=”” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”” image_height=”” hide_on_mobile=”small-visibility,medium-visibility,large-visibility” class=”” id=””][fusion_flip_box title_front=”Valutazione d’Impatto Privacy” title_back=”” text_front=”E’ è un nuovo adempimento introdotto dall’art. 35 del GDPR e consiste in una valutazione dei rischi per le libertà e i diritti degli interessati, connessi ad un determinato trattamento e dovrà indicare le misure di sicurezza adottate dal titolare per neutralizzarli. ” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-sort-amount-asc” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

Il Working Party 29 ha definito una serie di trattamenti che per loro natura possono dare origine a discriminazioni e conseguenze negative per l’interessato e che richiederanno, di conseguenza, lo svolgimento di una valutazione di impatto che ne individui i rischi. Le Autorità di controllo nazionali predisporranno una specifica lista di trattamenti per i quali dovrà essere svolta la DPIA

[/fusion_flip_box][fusion_flip_box title_front=”Registro dei Trattamenti” title_back=”” text_front=”È un nuovo adempimento previsto dall’art. 30 del GDPR. Costituisce un obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; obbligo che grava sia sul titolare che sul responsabile del trattamento. E’ uno dei principali strumenti dell’accountability. ” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-book” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

Consiste in un registro, che deve esser tenuto dal titolare e dal responsabile del trattamento, che ha la funzione di permettere di mappare i trattamenti svolti, anche al fine di effettuare una valutazione sui rischi connessi a determinate attività di trattamento. Il registro deve essere tenuto in forma scritta, anche in formato elettronico e va esibito all’autorità Garante in caso di verifiche.

[/fusion_flip_box][fusion_flip_box title_front=”Privacy by Design e by Default” title_back=”” text_front=”Sono due principi fondamentali introdotti dall’art. 25 del del GDPR, rappresentano un approccio concettuale innovativo che impone al titolare di sviluppare processi e prodotti che minimizzino il trattamento e adottino fin da subito le misure di sicurezza adeguate. ” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-cogs” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

La privacy by Design prevede la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedono l’utilizzo, mentre la privacy by default impone di minimizzare i trattamenti e di utilizzare tecniche di pseudonimizzazione e cifratura.

[/fusion_flip_box][fusion_flip_box title_front=”Nomina del DPO” title_back=”” text_front=”il Data Protection Officer è un nuova figura prevista dall’art. 37 del GDPR. È un professionista con competenze giuridiche, informatiche e di analisi dei processi che assiste il titolare nelle operazioni di trattamento, assicurando il rispetto della protezione dei dati personali.” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-user” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

Il DPO svolge un ruolo misto di vigilanza dei processi interni alla struttura, di consulenza del titolare e di contatto rispetto agli interessati e alle autorità garanti. Il DPO è una persona fisica, generalmente un dipendente del titolare, oppure un soggetto esterno, vincolato in tal caso da un contratto di servizi che agisce in completa autonomia nelle sue funzioni.

[/fusion_flip_box][fusion_flip_box title_front=”Garantire i diritti agli interessati” title_back=”” text_front=”Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura tecnica e organizzativa a ciò idonea. Anche se è solo titolare a dover dare riscontro agli interessati, il responsabile è tenuto a collaborare con il titolare. ” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-users” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

Il titolare deve render conto all’interessato dei dati che tratta, del perché e del come li tratta. Se l’interessato ne fa richiesta il titolare è tenuto a rettificare, aggiornare o cancellare i suoi dati. Se il trattamento si basa sul consenso o su un contratto, il titolare è tenuto a fornire, tramite un formato strutturato e di uso comune, copia dei dati dell’interessato e a trasmetterli ad altro titolare.

[/fusion_flip_box][fusion_flip_box title_front=”Misure di sicurezza adeguate” title_back=”” text_front=”Le misure di sicurezza, previste dall’art. 32 del GDPR, devono garantire un livello di sicurezza adeguato al rischio del trattamento, in particolar modo devono garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.” background_color_front=”#ffffff” title_front_color=”#001e5b” text_front_color=”#001e5b” background_color_back=”#ffffff” title_back_color=”#ffffff” text_back_color=”#001e5b” border_size=”2″ border_color=”#00a7ad” border_radius=”” icon=”fa-unlock-alt” icon_color=”” circle=”no” circle_color=”” circle_border_color=”” icon_flip=”” icon_rotate=”” icon_spin=”no” image=”” image_width=”35″ image_height=”35″ animation_type=”” animation_direction=”left” animation_speed=”0.1″ animation_offset=””]

La valutazione delle misure da adottare sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. Le misure di sicurezza adeguate saranno valutate in base allo stato dell’arte e delle prassi consolidate. Le misure di sicurezza devono tener conto dei rischi presentati dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso accidentale o illegale ai da

[/fusion_flip_box][/fusion_flip_boxes][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]