Regolamento UE 679/2016

Novità introdotte
Tre importanti aspetti risaltano all’interno del GDPR: in esso si dà rilievo ai concetti di privacy by default e privacy by design, si introduce la nuova figura del DPO e si pone focus sul principio dell’accountability.

Privacy by default e
privacy by design

Un duplice approccio
Le imprese hanno l’obbligo di predisporre misure tecniche predefinite che garantiscano il rispetto delle modalità di acquisizione dei dati, il loro trattamento, nonché la loro diffusione (by default); inoltre, la protezione dei dati deve essere presa in considerazione sin dal momento del disegno e della progettazione dei processi aziendali (by design).

DPO

Data Protection Officer

Questa nuova figura ha il compito di vigilare se l’azienda dalla quale è stato incaricato rispetti effettivamente le previsioni della normativa privacy: egli deve pertanto vantare un’approfondita conoscenza della normativa di cui trattasi e funge da tramite tra l’azienda e l’Autorità Garante per la Privacy; deve interagire anche con le figure preesistenti (Titolare e Responsabile del Trattamento dei Dati) informandole sugli obblighi derivanti dal GDPR, delineandone la corretta esecuzione e vigilando sui dovuti adempimenti.

Accountability

Responsabilizzazione
Con il nuovo Regolamento le organizzazioni dovranno essere in grado di motivare all’Authority le scelte effettuate. La valutazione primaria dell’Authority, in caso di violazione, verterà sull’impegno profuso dall’azienda nella preservazione del suo patrimonio di dati.

Richiedi un assessment

La tua azienda rispetta i dettami del GDPR?
Che cos’è il GDPR? Chi riguarda? Che obblighi comporta?
Sarò/sono in grado di assolvere autonomamente a questi adempimenti?
Se ancora ti trovi in difficoltà a rispondere ad almeno una di queste domande e vuoi vederci più chiaro, lascia i tuoi recapiti e un nostro esperto ti contatterà quanto prima.
Accetto le normative sulla Privacy Policy

Garante per la protezione dei dati personali

Guida all´applicazione del Regolamento europeo UE 679/2016

FAQ

Domande frequenti

Il GDPR non viene applicato alle sole aziende all’interno dell’Unione Europea, ma riguarda anche le imprese al di fuori dell’UE se offrono beni o servizi o controllano i dati di soggetti all’interno dell’UE. Viene quindi applicato a tutte le imprese che possiedono e processano dati personali di soggetti residenti nell’Unione Europea.

Le imprese possono essere multate fino a 20 milioni di Euro o il 4% del fatturato annuo se non rispettano le disposizioni del GDPR. Questa è l’ammenda massima che può essere imposta per le infrazioni più gravi, ad esempio non avere il consenso del cliente per elaborare dati o violare il concetto di Privacy by Design. Esiste un approccio graduale alle multe, ad esempio una società può essere soggetta a una penale del 2% per non avere i propri documenti in ordine (articolo 28), oppure per non aver avvisato l’autorità di vigilanza e il soggetto interessato circa la violazione dei dati o la mancata valutazione d’impatto della violazione stessa. È importante notare che queste regole si applichino sia ai titolari sia ai responsabili dei dati, il che significa che il cloud non sarà esente dall’applicazione del GDPR.

Si tratta di ogni informazione relativa a una persona fisica o soggetto che può essere utilizzata direttamente o indirettamente per identificare la persona stessa. Può essere qualsiasi cosa, da un nome, a una foto, un indirizzo e-mail, dettagli bancari, post su social network, informazioni mediche o indirizzi IP dei computer.

Il titolare è l’entità che determina le misure, condizioni e mezzi di elaborazioni dei dati personali, mentre il responsabile è l’entità che elabora i dati personali per conto del titolare.

Le condizioni per il consenso sono state rafforzate, in quanto le aziende non saranno più in grado di utilizzare termini e condizioni lunghi, illeggibili e pieni di termini del gergo legale: la richiesta di consenso deve essere data in una forma intelligibile e facilmente accessibile allo scopo di elaborare i dati allegati. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in maniera facile e intelligibile utilizzando un linguaggio di facile comprensione. Deve essere altrettanto facile ritirare il consenso dato. Si richiede un’esplicita approvazione, c.d. “consenso esplicito”, per l’elaborazione di dati personali sensibili.

In questo caso il consenso del genitore sarà richiesto per l’elaborazione dei dati personali per servizi online; gli Stati Membri possono legiferare per il consenso in caso di minori purché non inferiori ai 13 anni di età.

Un regolamento è un atto legislativo vincolante: esso deve essere applicato nella sua completezza in tutta l’Unione Europea, mentre una direttiva è un atto legislativo che definisce un obiettivo che tutti i paesi dell’UE devono raggiungere. È importante notare che il GDPR è un regolamento, in contrasto alla precedente legislazione che è invece una direttiva.

Il DPO deve essere nominato in caso di: autorità pubbliche; organizzazioni/aziende che effettuano un monitoraggio sistematico su larga scale; organizzazioni/aziende che si occupano del monitoraggio su larga scala di dati personali sensibili (art. 37). Se la tua attività non rientra tra queste categorie allora non sei tenuto a nominare un DPO.

Le regolamentazioni proposte riguardanti le violazioni dei dati riguardano principalmente le politiche di notifica delle aziende che sono state violate. Le violazioni dei dati che possono rappresentare un rischio per gli individui devono essere notificate alla DPA entro 72 ore e agli individui interessati senza indebito ritardo.