GDPR – Memorandum Privacy

CHE COS’E’ IL GDPR
Per GDPR (acronimo di General Data Protection Regulation) si intende il regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali, direttamente applicabile in tutti i paesi membri dell’Unione Europea a partire dal 25 maggio 2018, senza necessità di una legge di recepimento nazionale. Il regolamento ha abrogato la direttiva 95/46/CE, recepita in Italia con il D. Lgs 196/2003, Codice della Privacy.
Con il D. Lgs n. 101 del 10 agosto 2018, il Codice della privacy è stato aggiornato alla luce del GDPR.
Per trattamento di dati personali si intende qualsiasi operazione applicata a informazioni riguardanti una persona fisica identificata o identificabile (quali nome, numero di identificazione, dato relativo all’ubicazione, identificativo online…)
A CHI SI APPLICA IL GDPR?
Il GDPR si applica a chiunque svolga trattamento automatizzato di dati personali e trattamento non automatizzato di dati personali, e pertanto a qualsiasi realtà aziendale che necessariamente tratta dati personali di dipendenti, clienti, fornitori ecc.
Restano esclusi dal suo ambito di applicazione, ad esempio, i trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale.
Dal punto di vista territoriale il GDPR ha un ambito di applicazione più ampio rispetto alla direttiva 95/46/CE. Si applica cioè non solo ai trattamenti effettuati da parte di un titolare o responsabile stabilito nell’Unione Europea, ma anche ai trattamenti di dati personali di interessati che si trovano nell’Unione Europea effettuati da un titolare o responsabile che non è stabilito nell’Unione quando il trattamento riguarda:
a) l’offerta di beni o di servizi (indipendentemente dall’obbligatorietà di un pagamento)
b) il monitoraggio del loro comportamento se tale comportamento ha luogo nell’Unione Europea.
FAQ
Tutte le informative predisposte ai sensi del Codice della Privacy, prima dell’aggiornamento D. Lgs n. 101 del 10 agosto 2018, devono essere aggiornate alla luce dei contenuti previsti dall’articolo 13 del GDPR, per il caso in cui i dai personali siano raccolti presso l’interessato, e dall’articolo 14 del GDPR, per il caso in cui i dati personali non siano raccolti presso l’interessato.
In particolare il titolare del trattamento, nel momento in cui i dati personali sono ottenuti, dovrà fornire all’interessato una informativa concisa e facilmente intellegibile che indichi, tra l’altro, i dati di contatto del responsabile della protezione dei dati (DPO) se nominato, l’eventuale trasferimento dei dati personali al di fuori dell’Unione Europea e le relative garanzie, il periodo di conservazione dei dati o i criteri utilizzati per determinare tale periodo, il diritto dell’interessato di proporre reclamo a un’autorità di controllo.
Nel caso in cui i dati personali non siano stati ottenuti presso l’interessato, il titolare stesso deve inoltre informare l’interessato circa la fonte da cui hanno origine i dati personali e, se del caso, circa il fatto che i dati provengono da fonti accessibili al pubblico.
Il GDPR amplia i diritti riconosciuti all’interessato nei confronti del titolare con riferimento al trattamento di dati personali, introducendo, tra l’altro, il diritto alla portabilità dei dati e il diritto alla limitazione del trattamento.
In caso di esercizio di un diritto da parte dell’interessato il titolare deve dare riscontro senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta. Tale termine può essere prorogato di due mesi se necessario, tenuto conto della complessità e del numero delle richieste ma in questo caso il titolare deve informare l’interessato della proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.
Nel caso in cui non ottemperi alla richiesta dell’interessato il titolare informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Se le richieste dell’interessato sono manifestamente infondate o eccessive il titolare del trattamento può addebitare un contributo spese ragionevole oppure rifiutare di soddisfare la richiesta. Grava ovviamente sul titolare l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.
Il GDPR, nell’ambito del principio di responsabilizzazione che impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR, enuncia i principi di “privacy by design” e “privacy by default”.
Il principio di privacy by design si sostanzia in una modalità di riduzione del trattamento ex ante costituita dalla creazione di prodotti e servizi che tengano conto, sin dalla loro progettazione, delle regole e dei principi della protezione dei dati, in modo da minimizzare a priori la raccolta dei dati e il loro successivo trattamento.
Il principio di privacy by default si sostanzia nelle misure tecniche e organizzative adeguate a garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento.
Quali sono i rischi in caso di mancato adeguamento al GDPR?
In caso di mancato ottemperamento alle disposizioni del GDPR, potranno essere comminate sanzioni estremamente rilevanti: si parte da un importo che può arrivare sino 10 milioni di euro (oppure sino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore a 10 milioni di euro) sino, nei casi più gravi, a 20 milioni di euro (oppure sino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore a 20 milioni di euro).
È fondamentale agire tempestivamente in modo da valutare lo stato della società in termini adeguamento alla normativa sul trattamento dei dati personali ed implementare quanto necessario per essere conformi al GDPR.
Sarà quindi necessario, ad esempio:
- svolgere un audit relativo ai trattamenti di dati personali svolti dalla società
- elaborare la valutazione dei rischi
- individuare le misure di sicurezza necessarie
- rivedere le informative e le modalità di acquisizione del consenso
- rivedere le nomine
- elaborare se del caso i registri del trattamento
- elaborare le procedure interne necessarie anche alla luce della valutazione dei rischi
- formare il personale
L’attività di adeguamento alle previsioni del GDPR richiede specifiche competenze ed esperienza, oltre che un’approfondita conoscenza della materia.
Per tali motivi, Be Compliant si è dotato di un team privacy/data protection per assistere le imprese nel raggiungimento degli obiettivi, composto da professionisti di riconosciute capacità ed esperienza, costantemente aggiornati sulle novità legislative, dottrinali e giurisprudenziali e che contribuiscono con pubblicazioni, conferenze, convegni e tavole rotonde allo sviluppo dei migliori presidi.
Considerato, poi, che la privacy richiede continui aggiornamenti, assistenza informatica, supporto software e coperture assicurative, Be Compliant offre una rete di consulenti che permettono alle imprese – qualora richiesto – di ottenere anche un servizio “chiavi in mano”, con la possibilità di avere l’assistenza professionale anche nel periodo successivo all’implementazione dei presidi, in modo da mantenere efficace ed efficiente nel tempo l’acquisita protezione.