OGGETTO: NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI PERSONALI (GDPR)

Dal 25 Maggio è entrato in vigore il nuovo Regolamento Europeo 2016/679 sulla Protezione dei Dati Personali, meglio conosciuto come GDPR (General Data Protection Regulation) o RGPD (Regolamento generale sulla Protezione dei Dati). Il nuovo Regolamento impone obblighi stringenti sul trattamento e la gestione dei dati personali dei cittadini europei e avrà un impatto legale, tecnologico ed organizzativo sia per le aziende che per gli enti non profit.

Fino ad oggi la tutela dei dati era affidata alla direttiva 46 del 1995, recepita da ogni stato membro con una propria normativa locale (in Italia con il D.Lgs. 196/2003, anche definito “Codice della Privacy”), creando però una disparità nel trattamento dei dati da paese a paese. Per rendere il livello di protezione più omogeneo si è quindi deciso di utilizzare il Regolamento europeo, immediatamente obbligatorio in tutte le sue disposizioni, con efficacia diretta e immediata, e che non prevede la possibilità di apportare modifiche o deroghe al testo originario da parte degli stati membri. Tale regolamento comunque non abroga in alcun modo la normativa attualmente in vigore negli stati membri e quindi fino a quando non vi saranno degli interventi legislativi specifici in Italia si applicheranno sia il vecchio Codice della Privacy sia il nuovo regolamento Europeo.

 

  • A chi si rivolge il GDPR?

Si rivolge a tutti coloro che trattano dati.

Il GDPR non prevede alcuna esenzione per le piccole o piccolissime imprese, l’unica esenzione riguarda le imprese che non raccolgono dati sulle persone fisiche ma solo sulle persone giuridiche (compresi i lavoratori autonomi e professionisti individuali) e che utilizzano tali dati solo ed esclusivamente per l’esecuzione di un contratto o di un incarico. A tal scopo bisogna tenere presente che il nuovo regolamento non ha abrogato le norme attualmente in vigore in Italia in materia di Privacy (D.Lgs. 196/2003) e quindi i trattamenti di dati devono comunque essere conformi anche a tale normativa . Quindi se non si raccolgono dati di persone fisiche, non si hanno dipendenti e non si raccolgono dati attraverso un sito web non si rientra nel campo di azione del nuovo regolamento ma il trattamento dei dati dovrà essere comunque conforme alla legislazione in vigore.

 

  • Cosa si intende per dati Personali?

“Qualunque informazione relativa ad un individuo, collegata alla sua vita sia privata sia professionale o pubblica”. Quindi:

– Nomi e Cognomi

– Date e anni di nascita

– Codice fiscale

– Dati bancari

– Indirizzo postale e mail

– Fotografie e video

– Indirizzi IP e cookies

– Dati sensibili (dati che possono rivelare l’origine razziale o etnica, lo stato di salute, le convinzioni religiose, le opinioni politiche, l’adesione a sindacati, la vita sessuale, ecc.

– Ogni informazione che associa un elemento potenzialmente identificativo con un dato caratteristico della sua “identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

 

  • Cosa vuol dire trattare dati personali?

Trattare dati non vuol dire necessariamente “utilizzare”; molto spesso la maggior parte dei dati personali viene raccolta senza essere effettivamente utilizzata, ma questo non esime dal rispettare il GDPR.

Si considera “Trattamento” infatti non solo “l’uso o la comunicazione” dei dati: si considera trattamento anche solo la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’estrazione, la consultazione, ecc.

 

  • A quale titolo posso trattare dati personali?

Il nuovo regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica, i “fondamenti di liceità del trattamento”. Tali fondamenti coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy e cioè: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

 

  • Cosa rischio se non faccio nulla?

Molti sono portati a pensare che nessuno verrà mai a controllare che dati raccolgo, che uso ne faccio, come li custodisco, ecc. oppure che nessuno mi denuncerà perché ho raccolto dei dati personali che probabilmente mi ha rilasciato volontariamente. Nel caso dovesse succedere però quello che si rischia non è poco perché le sanzioni previste dal GDPR possono arrivare fino a 20 milioni di euro o fino al 4% del volume d’affari dell’anno precedente. Ovviamente le sanzioni sono proporzionate alla “natura, gravità e durata della violazione” e al carattere “doloso o colposo della violazione”.

 

  • Cosa cambia, quindi, con il Regolamento Generale sulla Protezione dei Dati rispetto alla normativa attualmente in vigore (D.Lgs. 196/2003)?

In estrema sintesi col GDPR:

  • Si introducono regole più chiare su informativa e consenso e vengono introdotti nuovi principi che devono trovare spazio all’interno dell’informativa;
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali;
  • Poste le basi per l’esercizio di nuovi diritti: portabilità dei dati, diritto all’oblio;
  • Stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue;
  • Fissate norme rigorose per la violazione dei dati (Data Breach).

 

Per comprendere meglio la portata dei cambiamenti introdotti alleghiamo alla presente un estratto della “Guida all’applicazione del regolamento Europeo in materia di protezione dei dati personali” pubblicata recentemente dal Garante per la Protezione dei Dati Personali che sintetizza in maniera semplice ed immediata le principali problematiche che le imprese dovranno affrontare per essere conformi al nuovo regolamento.

Sicuramente le aziende che nonostante le semplificazioni hanno continuato ad applicare la disciplina prevista dal D.Lgs. 196/2003, compresa la redazione del DPS (Documento Programmatico per la Sicurezza), saranno agevolate nell’affrontare il nuovo regolamento in quanto dispongono già di una Privacy Policy aziendale. Le altre aziende invece avranno senz’altro qualche difficoltà in più in quanto dovranno gestire un processo di cambiamento nella gestione dei dati partendo da zero. In ogni caso, per evitare di incorrere in sanzioni, tutti dovranno verificare con attenzione la compliance al GDPR dei trattamenti di dati personali effettuati durante lo svolgimento della propria attività.

Nel caso desideriate verificare la conformità dei vostri trattamenti al nuovo regolamento, lo Studio Martelossi si rende disponibile a darvi informazioni in merito.

 

Rimanendo a disposizione per qualsiasi chiarimento, salutiamo cordialmente.

 

Studio Martelossi Srl

 

VUOI RIMANERE AGGIORNATO? 
ISCRIVITI ALLA NEWS LETTER!

Please add MailChimp API Key in Settings
Post recenti
YouTube
LinkedIn
LinkedIn
Share
Instagram