15 anni di etica

Archivio per Categoria GDPR

Ditresrl

GDPR: A quali dati si applica?

Con questo articolo cerchiamo di capire insieme a quali tipi di dati (personali) si applica il GDPR, il nuovo Regolamento Generale di Protezione dei Dati Personali in vigore da maggio 2018.

Quali dati protegge il GDPR?

Prima di tutto, si evince che la protezione del GDPR riguarda esclusivamente le persone fisiche e non anche quelle giuridiche. Su questo c’è continuità con quanto già previsto dal “vecchio” Codice della Privacy.

Questa nozione la deduciamo dall’articolo 4 del GDPR, che definisce come dato personale

“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, con l’ulteriore precisazione che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”

Per confronto, il Codice della Privacy (art. 3 c.1 lett.b) definisce come dato personale

“qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”

Quali trattamenti di dati personali sono impattati?

La disciplina introdotta dal Regolamento dovrà essere applicata ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano ad oggetto dati personali contenuti o destinati ad essere contenuti in archivi.

Stabilire in maniera così generale ha consentito anche di non dipendere esclusivamente dalle tecnologie attuali e essere poi “invalidati” oppure “superati” con eventuali nuove tecnologie.

Esistono deroghe al GDPR? Se si quali sono?

Alcune deroghe al GDPR sono state stabilie, in dettaglio sono esclusi i trattamenti dei dati personali:

  • nelle attività che non rientrano nell’ambito di applicazione del diritto europeo
  • nell’esercizio di attività riguardanti la politica estera e la sicurezza comune dell’UE (disciplinate dal Trattato sull’Unione Europea)
  • sono escluse le autorità pubbliche competenti, a fini di prevenzione, indagine, perseguimento di reati ed esecuzione di sanzioni penali (incluse misure di salvaguardia per la sicurezza pubblica), per salvaguardare l’indipendenza della magistratura ed evitare ingerenze da parte delle autorità di controllo in settori particolarmente delicati
  • nell’ambito di attività a carattere esclusivamente personale e domestico da parte di persone fisiche, senza connessioni con attività commerciali o professionali. Un esempio potrebbe essere la rubrica del proprio smartphone (come anche quelle cartacee).

All’infuori di questi precisi casi, qualsiasi azienda, piccola o grande che sia, dovrà seguire tutti i dettami del GDPR.

Ditresrl

GDPR: quali sono le multe per chi non si mette in regola

Ed ecco la domanda che ultimamente ci viene posta. “E se non mi metto in regola o faccio qualcosa di sbagliato cosa rischio?”

Cerchiamo di affrontare insieme in questo articolo i rischi per chi non adempie al Regolamento di Protezione dei Dati Personali e quali sono le possibili multe.

Principi a cui attenersi

Prima di tutto, dobbiamo ribadire che i titolari del trattamento dei dati devono attenersi a principi di trasparenza e semplificazione. Devono inoltre agevolare l’accesso ai dati da parte degli utenti e fornire una corretta informativa alle persone, per scritto, proponiamo.

Una persona che reputa di aver visto lesi i propri diritti, in forza dell’art. 82 del GDPR potrà far valere il diritto di ottenere il risarcimento integrale dei danni subito. Ogni titolare infatti è direttamente responsabile civilmente per i pregiudizi materiali e immateriali causati agli interessati nel caso di un trattamento illecito di dati personali.

Il controllo da parte del Garante

Il Garante per la protezione dei dati personali manterrà il controllo e avrà poteri sanzionatori. Tale Autorità, singolarmente e in sinergia con le altre Autorità interne di ciascuno Stato membro, è incaricata di vigilare sulla corretta applicazione del Regolamento e di assicurarne la piena attuazione.

Il Garante può intervenire nei confronti dei titolari e dei responsabili dei trattamenti ogni qualvolta sospetti la presenza o riscontri delle concrete violazioni della normativa. A tal fine, l’Autorità Garante è dotata, in forza del Regolamento, del potere di effettuare indagini e di quello di infliggere sanzioni, di tipo inibitorio, correttivo e pecuniario nei confronti dei titolari che abbiano posto in essere violazioni delle disposizioni del GDPR o ne abbiano applicato parzialmente o in modo inesatto la disciplina.

Le sanzioni applicabili dai Garanti possono variare enormemente, passando da semplici ammonimenti, a ordini di sospensione di flussi di dati o di attività di trattamento, fino all’inflizione di sanzioni pecuniarie del valore anche di 20.000.000 di euro e pari al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Le sanzioni sono pertanto molto elevate, non è sicuramente il caso di non preoccuparsi, perchè come abbiamo scritto in un altro articolo, tutte le aziende sono impattate dal GDPR e dovranno sottostarvi.

Ditresrl

L’esercito dei 40mila (consulenti privacy) per il nuovo GDPR

Riprendiamo un interessante articolo de “Il Sole 24 ore”, consultabile a questo link: http://www.ilsole24ore.com/art/norme-e-tributi/2018-03-24/privacy-ecco-chi-sono-angeli-custodi-che-aziende-e-professionisti-dovranno-avere-25-maggio-191049.shtml.

Come ben spiegato, una delle figure professionali più importanti, sopratutto nelle micro imprese e nelle piccole aziende, sarà quella del Consulente Privacy (formalmente DPO, Data Protection Officer). Designato dal titolare, avrà la responsabilità di tracciare il solco in cui l’azienda stessa dovrà muoversi per rispettare il GDPR e verificare tutti i processi aziendali.

I suoi compiti non saranno solamente questi; la materia in questione è molto vasta e consigliamo di rivolgersi ad un’azienda o ad un professionista certificato, iscritto ad esempio a FederPrivacy.

 

Ditresrl

Che cos’è il GDPR General Data Protection Regulation

Il GDPR (acronimo per General Data Protection Regulation) è il nuovo Regolamento Europeo per la protezione dei dati personali, in vigore dal 25 maggio 2018. É un vero atto legislativo di portata generale con disposizioni vincolanti in automatico subito al momento dell’applicazione e disposizioni obbligatorie totalmente.

Cerchiamo di fare più chiarezza a riguardo.

Quali sono le caratteristiche del GDPR?

Nell’introduzione di questo articolo abbiamo iniziato a parlare del GDPR, ovvero il Regolamento dell’Unione Europea n. 2016/679 del 27 aprile 2016. Questo regolamento ha come scopo quello di tutelare i dati personali di soggetti fisici entro i confini dell’Unione Europea. L’intento era quello di creare un modello unico per la raccolta, la trasmissione e la gestione dati tra gli Stati Membri, sempre nel pieno diritto del cittadino.

  • E’ definito “atto generale” perché è rivolto a soggetti non individuati nello specifico, bensì a categorie di destinatari astratti
  • Ha effetto diretto (non richiede un intervento attuativo dei legislatori)

Prima del GDPR?

Questo nuovo regolamento è ufficialmente in vigore dal 24 maggio 2018, ma verrà applicato in tutti i paesi dell’Unione dal 25 maggio 2018. Prima del GDPR era in vigore la direttiva 95/46/CE sulla protezione dei dati personali. Tale direttiva ha introdotto nell’unione un regolamento organico per tutto il processo di raccolta, gestione, analisi e comunicazione dei dati personali. Ponendo cosi le basi gli attuali testi sulla privacy.

I tempi cambiano e così anche le necessità per la protezione dei diritti dei cittadini, quindi tale direttiva si è trovata oggi ad essere obsoleta visti i veloci e grandi mutamenti del mondo digital online. Senza contare che la direttiva ormai abrogata lasciava ad ogni Stato la possibilità di emanare una disciplina legislativa nazionale creando così delle profonde differenze all’interno dell’Unione.

Perché il GDPR verrà applicato dal 25 maggio 2018?

Come dicevo prima è entrato in vigore dal 24 maggio 2016, ma entrerà a pieno titolo dal 25 maggio 2018. Questo per garantire ad ogni Stato membro la possibilità di allinearsi con il nuovo regolamento e di modificare la propria normativa.