COS’È IL GDPR PRIVACY

Il regolamento generale sulla protezione dei dati è un regolamento europeo che disciplina il modo in cui le aziende e altre organizzazioni gestiscono i dati personali. Questa è la misura di protezione dei dati più importante degli ultimi 20 anni ed è vitale per qualsiasi organizzazione nel mondo che serve i cittadini dell’Unione Europea.

La legge mira a conferire a ciascun individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”: a tal fine, stabilisce requisiti precisi e rigorosi rispetto al trattamento dei dati, alla trasparenza, ai documenti creati e conservati e all’utente consenso.

Ogni organizzazione deve documentare e monitorare le proprie attività di trattamento dei dati personali. In qualità di titolare del trattamento, ciascuna organizzazione deve registrare e monitorare le attività di trattamento dei dati personali. Sono inclusi i dati personali trattati non solo all’interno dell’organizzazione ma anche da soggetti terzi – i cosiddetti responsabili del trattamento.

Tra i responsabili del trattamento possono esserci figure di diversa natura, dai fornitori di Software as a Service ai servizi incorporati di terze parti che monitorano e dichiarano i visitatori del sito web dell’organizzazione.

Sia il titolare che il responsabile del trattamento devono poter tenere conto delle tipologie di dati trattati, delle finalità del loro trattamento, nonché dei paesi e dei terzi ai quali i dati vengono trasmessi.

Se i dati personali vengono inviati a organizzazioni o giurisdizioni che non sono coperte dal GDPR o non sono considerate “adeguate” dal GDPR stesso, gli utenti devono essere specificamente informati di ciò e dei rischi ad esso associati.

Tutti i consensi devono essere registrati come prova che il consenso è stato dato.

Il 4 maggio 2020, il Comitato europeo per la protezione dei dati ha adottato le linee guida per il consenso valido ai sensi del GDPR.

Il consenso valido deve essere un’indicazione libera, specifica, informata e inequivocabile dell’intenzione dell’utente, ovvero un’azione chiara e affermativa da parte dell’utente.

Le linee guida dell’EDPB affermano che lo scorrimento o la continuazione della navigazione su una pagina web non costituisce un consenso valido e i cookie banner non devono avere preventivamente una casella di controllo.

Anche i cookie sono valutati come non conformi.

L’EDPB, il massimo organo di controllo responsabile dell’adozione del GDPR in tutta l’UE, è composto da rappresentanti dell’autorità per la protezione dei dati di ciascuno Stato membro dell’UE. Le sue linee guida e decisioni costituiscono la base per l’attuazione del GDPR a livello nazionale.

Le persone ora hanno un “diritto alla portabilità dei dati”, “un migliore accesso ai propri dati”, oltre a un “diritto all’oblio” e possono revocare il proprio consenso in qualsiasi momento. In tal caso, il titolare del trattamento è tenuto a cancellare i dati personali dell’interessato se non sono più necessari allo scopo per il quale sono stati raccolti.

In caso di violazione dei dati, l’azienda deve essere in grado di informare le autorità per la protezione dei dati e gli interessati entro 72 ore.

Inoltre, il GDPR impone alle pubbliche amministrazioni, alle organizzazioni con più di 250 dipendenti e alle aziende che trattano dati personali sensibili su larga scala l’obbligo di assumere o formare personale addetto alla sicurezza. Il DPO deve adottare misure per garantire la conformità al GDPR in tutta l’organizzazione.

COSA PREVEDE IL GDPR?

Il GDPR, come dice l’acronimo, è un testo che cerca di standardizzare le leggi europee sull’elaborazione dei dati e il diritto ad avere il pieno controllo delle informazioni su di noi. Il regolamento si compone di 99 articoli e apporta alcune novità come il diritto all’oblio, la “portabilità” dei dati e l’obbligo di notifica in caso di violazione dei dati. I destinatari sono i “titolari del trattamento”, ovvero coloro che gestiscono le informazioni: le persone fisiche e soprattutto le aziende..

Il Regolamento UE 2016/679 si pone i seguenti obiettivi:

  • Egualizzare la normativa privacy a tutto il territorio dell’Unione Europea;
  • Introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).
  • Rafforzare e introdurre nuovi diritti degli interessati;
  • Disciplinare il concetto di Privacy;
  • Inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo;

Dunque, per essere conformi al GDPR, enti ed organizzazioni devono obbligatoriamente configurare un c.d. «sistema privacy», costituito dai seguenti componenti:

  1. Registro dei Trattamenti, che il Titolare del Trattamento deve possedere;
  2. Informativa da fornire all’interessato;
  3. Lettera di Designazione, qualora colui che tratta i dati sia diverso dal Titolare del Trattamento;
  4. Procedure di consuetudine per adattare l’attività al GDPR;
  5. Registro Data Breach, per la violazione dei dati personali;
  6. Analisi dei Rischi;
  7. Privacy by Design/Default e DPIA;
  • SANZIONI PREVISTE
  • Le violazioni della legge privacy di tipo meno gravi prevedono un’ammenda fino a 10 milioni di euro, o una sanzione amministrativa fino al 2% del fatturato mondiale dell’impresa (intesa come gruppo);
  • Le violazioni della privacy più gravi prevedono una multa fino a 20 milioni di euro, o una sanzione amministrativa fino al 4% del fatturato mondiale dell’impresa (intesa come gruppo);
  • SOLUZIONE

S.A.I. CONSULTING SUPPORTA QUANTI VOGLIANO ADEGUARSI ALLA PREDETTA NORMATIVA, FORNENDO CONSULENZA PRIVACY ALLE IMPRESE, FORMANDO IL PERSONALE, FORNENDO LA NECESSARIA MODULISTICA, COMPILANDOLA E VERIFICANDO PERIODICAMENTE L’ESATTEZZA DELL’INTERA PRATICA

 

Richiedi una consulenza gratuita per questo servizio compilando il form di contatto sottostante

[forminator_form id="9070"]