Effe Diligence

Headquarter

Via Partigiani d’Italia, 113
50053 Empoli (FI)
(+39) 0571 546352
info@effediligence.it

4

Maggio, 2021

La GDPR riguarda tutte le imprese.

Dal 2018 è divenuto ufficialmente applicabile in tutti gli stati membri dell’Unione Europea Il Reg. UE 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Tutti i soggetti che effettuano il trattamento di dati altrui hanno l’obbligo di adottare misure di sicurezza al fine di tutelare l’interesse della clientela e del proprio personale. Quindi la normativa riguarda tutte le imprese.

La parola chiave del regolamento è responsabilizzazione, in quanto vengono esaminati tutti i processi e non viene promossa solo ed esclusivamente la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.

E’ di fondamentale importanza riuscire a identificare sia le figure esterne che le figure interne che trattano dati per conto del titolare, che nella maggior parte dei casi è l’azienda stessa.

LE FIGURE

Le figure principali identificate dal GDPR sono:

  • Titolare del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’UE o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri

Quindi, la norma dà la possibilità anche all’azienda stessa di essere titolare del trattamento. La figura mette in atto tutte le misure necessarie a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure possono essere aggiornate quando necessario.

  • Responsabile del trattamento: è la persona fisica o giuridica, l’autorità pubbica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Nel momento in cui un trattamento deve essere effettuato per conto del titolare del trattamento del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.  La nomina di questa figura è riservata ad una figura esterna all’azienda (commercialisti, legali, consulenti del lavoro ecc…)

  • Persona autorizzata: è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

In questo caso, la persona autorizzata è solitamente un dipendente dell’azienda e per svolgere la mansione ha ricevuto opportuna formazione.

 

  • DPO (Data Protection Officer): Il DPO non deve essere sempre presente. L’obbligo nasce esclusivamente per le aziende pubbliche e/o che trattano dati sensibili su larga scala.
  • Amministratore di sistema: pur non essendo esplicitamente richiamato nel gdpr, ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo all’interno dell’azienda.
  • Medico competente: Questa figura riveste il ruolo di titolare autonomo del trattamento dei dati.

    “Il regolamento si applica a tutte le aziende o enti che trattano dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati.”

    I REGISTRI

    Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Questi registri sono suddivisi per categorie e contengono tutte le informazioni necessarie a tutelare i dati dell’interessato.

    DPIA

    La valutazione di impatto sulla protezione dei dati è necessaria quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

    DATA BREACH

    Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

    Il titolare del trattamento che subisce un data breach senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

    LE INFORMATIVE

    In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, l’informativa riguardante:

    • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridicadel trattamento;
    • i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
    • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

    In aggiunta alle suddette informazioni, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

    • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità deidati;
    • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
    • il diritto di proporre reclamo a un’autorità di controllo;
    • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    • l’esistenza di un processo decisionale automatizzato e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

    L’informativa è obbligatoria ogniqualvolta vi sia un trattamento di dati.

    L’informativa è indispensabile anche nel caso in cui vengano raccolti dati all’interno del sito web. In questo caso è obbligatorio inserire al suo interno la privacy policy e la cookie policy.

    LE SANZIONI

    Gli importi delle sanzioni previsti dal nuovo Regolamento UE sono pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o se l’importo è maggiore possono arrivare fino al 2% o 4% del fatturato.

    Il GDPR parla soltanto delle sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

    • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
    • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

    In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

    • sanzioni penali;
    • sanzioni amministrative;
    • risarcimento del danno in favore dell’interessato;
    • divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.