{"id":8424,"date":"2017-05-24T17:31:46","date_gmt":"2017-05-24T15:31:46","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=8424"},"modified":"2024-11-12T09:45:03","modified_gmt":"2024-11-12T08:45:03","slug":"privacy-un-anno-adeguarsi-al-gdpr","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/privacy-un-anno-adeguarsi-al-gdpr\/","title":{"rendered":"Privacy: un anno per adeguarsi al GDPR"},"content":{"rendered":"<p style=\"text-align: justify;\">Esattamente un anno fa \u00e8 entrato in vigore il <strong>GDPR<\/strong> (Regolamento europeo n. 679 del 27 aprile 2016, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi), che <strong>diventer\u00e0 direttamente applicabile in tutti gli Stati membri decorsi due anni dall\u2019entrata in vigore, ovvero a decorrere dal 25 maggio 2018.<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento \u00e8 destinato ad abrogare la Direttiva 95\/46\/CE, che ha portato in Italia all\u2019adozione del D.Lgs. n. 196 del 30.06.2003 (c.d. <strong>Codice Privacy<\/strong>).<\/p>\n<p style=\"text-align: justify;\"><strong><u>Entro il 25 maggio 2018 sar\u00e0<\/u>, quindi, <u>necessario adeguarsi<\/u>, allineandosi alla nuova disciplina.<\/strong><\/p>\n<p style=\"text-align: justify;\">Di seguito gli aspetti di maggiore interesse.<\/p>\n<p style=\"text-align: justify;\"><strong>AMBITO DI APPLICAZIONE MATERIALE<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento si applica al <u>trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi<\/u>.<\/p>\n<p style=\"text-align: justify;\">Occorre, quindi, che vi sia un\u00a0trattamento di dati personali.<\/p>\n<p style=\"text-align: justify;\">L\u2019art. 4 del Regolamento definisce <strong>\u201c<em><u>dato personale<\/u><\/em>\u201d<\/strong>, conformemente a quanto previsto nel nostro Codice privacy, <strong>\u201c<em><u>qualsiasi informazione riguardante una persona fisica<\/u><\/em><em> identificata o identificabile<\/em>\u201d.<\/strong> Sono dati personali, ad esempio, i dati anagrafici di una persona fisica, l\u2019indirizzo di posta elettronica e i suoi recapiti.<\/p>\n<p style=\"text-align: justify;\">Per <strong>\u201c<em><u>Trattamento<\/u><\/em><u>\u201d<\/u> <\/strong>si intende, invece, <strong>\u201c<em><u>qualsiasi operazione o insieme di operazioni, compiute con o senza l\u2019ausilio di processi automatizzati<\/u><\/em><\/strong><em> e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l\u2019organizzazione, la strutturazione, la conservazione, l\u2019adattamento o la modifica, l\u2019estrazione, la consultazione, l\u2019uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l\u2019interconnessione, la limitazione, la cancellazione o la distruzione<\/em>\u201d.<\/p>\n<p style=\"text-align: justify;\">La novit\u00e0 rispetto alla vigente normativa \u00e8 che essa trova applicazione anche nel caso di trattamento non automatizzato che riguardi \u201c<em>dati personali contenuti in un archivio o destinati a figurarvi<\/em>\u201d (intendendosi per \u201c<em><u>archivio<\/u><\/em>\u201d: \u201c<em>qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico<\/em>\u201d).<\/p>\n<p style=\"text-align: justify;\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-8425\" src=\"https:\/\/www.albeeassociati.it\/wp-content\/uploads\/2017\/05\/Fotolia_64104245_L-1024x683.jpg\" alt=\"\" width=\"422\" height=\"281\" \/><\/p>\n<p style=\"text-align: justify;\"><strong>AMBITO DI APPLICAZIONE TERRITORIALE<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento trova applicazione &#8211; oltre che al trattamento dei dati personali effettuato <strong><u>da chi \u00e8 stabilito nell\u2019Unione europea<\/u> &#8211; <u>anche nel caso di\u00a0trattamento di dati di interessati che si trovano nell\u2019Unione<\/u><\/strong>, effettuato da un titolare o da un responsabile che non \u00e8 stabilito nell\u2019Unione, <strong><u>quando le attivit\u00e0 di trattamento riguardano: a) l\u2019offerta di beni o la prestazione di servizi ai suddetti interessati, indipendentemente dall\u2019obbligatoriet\u00e0 di un pagamento dell\u2019interessato<\/u><\/strong>, oppure b)<strong> <u>il monitoraggio del loro comportamento<\/u><\/strong> nella misura in cui tale comportamento ha luogo all\u2019interno dell\u2019Unione (cfr. art. 3 Regolamento).<\/p>\n<p style=\"text-align: justify;\">\u00c8 stato dunque mantenuto il criterio dello stabilimento (per cui la normativa europea dovr\u00e0 essere osservata dall\u2019impresa con sede in Italia o in altro paese UE), ma al contempo <strong><u>viene dato rilievo anche al luogo in cui si trovano gli interessati<\/u>,<\/strong> con la conseguenza che anche una societ\u00e0 con stabilimento extra UE sar\u00e0 tenuta a rispettare il Regolamento quando il trattamento riguardi l\u2019offerta di beni o servizi a soggetti che siano nell\u2019Unione oppure il monitoraggio del loro comportamento.<\/p>\n<p style=\"text-align: justify;\">Per comprendere quando un\u2019impresa offra\u00a0beni o servizi ad interessati che si trovano nell\u2019Unione, baster\u00e0 leggere il considerando 23): \u201c<em>mentre la semplice accessibilit\u00e0 del sito web del titolare del trattamento, del responsabile del trattamento o di un intermediario nell\u2019Unione, di un indirizzo di posta elettronica o di altre coordinate di contatto o l\u2019impiego di una lingua abitualmente utilizzata nel paese terzo in cui il titolare del trattamento \u00e8 stabilito sono insufficienti per accertare tale intenzione, <strong><u>fattori quali l\u2019utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o pi\u00f9 Stati membri, con la possibilit\u00e0 di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell\u2019Unione possono evidenziare l\u2019intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell\u2019Unione<\/u><\/strong><\/em><strong>\u201d.<\/strong><\/p>\n<p style=\"text-align: justify;\">\u00c8 stato quindi ampliato l\u2019ambito di applicazione della normativa in materia di privacy, venendo estese le garanzie ivi previste in capo agli interessati\/cittadini europei anche nel caso di trattamento effettuato al di fuori dell\u2019Unione.<\/p>\n<p style=\"text-align: justify;\"><strong>CASI DI ESCLUSIONE<\/strong><\/p>\n<p style=\"text-align: justify;\">La nuova disciplina non trova applicazione nelle ipotesi elencate all\u2019art. 2 comma 2 del Regolamento, ovvero nel caso di trattamenti effettuati:<\/p>\n<ol style=\"text-align: justify;\">\n<li>per attivit\u00e0 che non rientrano nell\u2019ambito di applicazione del diritto dell\u2019Unione;<\/li>\n<li>dagli Stati membri nell\u2019esercizio di attivit\u00e0 che rientrano nell\u2019ambito di applicazione del titolo V, capo 2, Trattato UE (politica estera e sicurezza);<\/li>\n<li>da una persona fisica per l\u2019esercizio di attivit\u00e0 a carattere esclusivamente personale o domestico;<\/li>\n<li>dalle autorit\u00e0 competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.<\/li>\n<\/ol>\n<p style=\"text-align: justify;\"><strong>LE FIGURE PREVISTE DAL REGOLAMENTO<\/strong><\/p>\n<p style=\"text-align: justify;\">Accanto alle tradizionali figure del Titolare (coincidente con il soggetto cui competono le decisioni in ordine ad un determinato trattamento), del Responsabile (ovvero il soggetto preposto dal Titolare ad un trattamento di dati) e dell\u2019Incaricato (seppur non specificatamente menzionato dalla nuova normativa, comunque ricavabile dalla definizione di \u201cterzo\u201d all\u2019art. 4 n. 10, ove \u00e8 fatto riferimento a qualsiasi persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal Responsabile), il Regolamento ha introdotto all\u2019art. 37 la figura del <strong><u>Responsabile della protezione dei dati personali (Data Protection Officer &#8211; DPO)<\/u>.<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>Il titolare del trattamento e il responsabile sono tenuti a designare un DPO dei dati personali quando:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li><strong><u>il trattamento \u00e8 effettuato da un&#8217;autorit\u00e0 pubblica o da un organismo pubblico<\/u><\/strong>, eccettuate le autorit\u00e0 giurisdizionali quando esercitano le loro funzioni giurisdizionali;<\/li>\n<li>le attivit\u00e0 principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e\/o finalit\u00e0, richiedono<strong> <u>il monitoraggio regolare e sistematico degli interessati su larga scala<\/u>;<\/strong><\/li>\n<li>le attivit\u00e0 principali del titolare del trattamento o del responsabile del trattamento consistono <strong><u>nel trattamento, su larga scala, di dati sensibili e giudiziari<\/u>.<\/strong><\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>Il DPO dovr\u00e0 possedere un&#8217;adeguata conoscenza della normativa e delle prassi di gestione dei dati personali<\/strong>; adempiere alle sue funzioni in piena autonomia e senza ricevere istruzioni.<\/p>\n<p style=\"text-align: justify;\"><strong>Nello svolgimento dei suoi compiti, dovr\u00e0 principalmente: \u00a0<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li><strong>informare e consigliare il titolare o il responsabile del trattamento,<\/strong> nonch\u00e9 i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo;<\/li>\n<li><strong>verificare l\u2019attuazione e l\u2019applicazione della normativa,<\/strong> compresi la sensibilizzazione e la formazione del personale e gli audit relativi;<\/li>\n<li><strong>fornire, se richiesto, pareri in merito alla valutazione d&#8217;impatto sulla protezione dei dati<\/strong> e sorvegliare i relativi adempimenti;<\/li>\n<li><strong>fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati<\/strong> o all\u2019esercizio dei loro diritti;<\/li>\n<li><strong>fungere da punto di contatto per il Garante<\/strong> per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Quanto alle figure tradizionali, il nuovo impianto normativo e l\u2019introduzione di nuovi principi (quali quello di accountability, di privacy by design e by default, di cui si dir\u00e0 nel prosieguo) richieder\u00e0 un maggior grado di preparazione e competenze specifiche (si pensi, a titolo meramente esemplificativo, in ambito di conservazione digitale dei documenti) a tutti i soggetti coinvolti, con la conseguenza che dovr\u00e0 essere attuata un\u2019adeguata e specifica formazione del personale.<\/p>\n<p style=\"text-align: justify;\"><strong>Principali novit\u00e0:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>l\u2019art. 28 del Regolamento specifica pi\u00f9 dettagliatamente, rispetto all\u2019art. 29 del Codice Privacy, le caratteristiche dell\u2019atto con cui il titolare designa il responsabile del trattamento (\u201ccontratto o altro atto giuridico a norma del diritto dell\u2019Unione o degli Stati membri\u201d) ed il suo contenuto;<\/li>\n<\/ul>\n<ul style=\"text-align: justify;\">\n<li>\u00e8 prevista la nomina di sub-responsabili del trattamento, previa autorizzazione scritta del titolare, nel rispetto degli stessi obblighi contrattuali che vincolano titolare e responsabile.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>verificare che i contratti che attualmente disciplinano i rapporti con i responsabili del trattamento siano conformi alle previsioni di cui all\u2019art. 28;<\/li>\n<li>designare un DPO, oltre che nei casi in cui vi \u00e8 l\u2019obbligo, anche per le aziende che non sono espressamente tenute, come suggerito anche dai Garanti europei (vedi Linee Guida sui responsabili della protezione dei dati del 13 dicembre 2016 https:\/\/www.garanteprivacy.it.<\/li>\n<\/ul>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-8426\" src=\"https:\/\/www.albeeassociati.it\/wp-content\/uploads\/2017\/05\/Fotolia_97228711_S.jpg\" alt=\"\" width=\"425\" height=\"247\" \/><\/p>\n<p style=\"text-align: justify;\"><strong>CONSENSO<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>L&#8217;art. 6 del Regolamento specifica i presupposti di liceit\u00e0 del trattamento, che coincidono sostanzialmente con quelli attualmente previsti dal Codice<\/strong> Privacy (consenso, esecuzione di un contratto, adempimento di un obbligo di legge, salvaguardia degli interessi vitali dell\u2019interessato o di terzi, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi).<\/p>\n<p style=\"text-align: justify;\">In particolare, il Regolamento esplicita la definizione di consenso come \u201c<em>qualsiasi manifestazione di volont\u00e0 libera, specifica, informata e <strong><u>inequivocabile dell\u2019interessato<\/u>,<\/strong> con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o <strong><u>azione positiva\u00a0inequivocabile<\/u><\/strong><\/em><strong>,<\/strong><em> che i dati personali che lo riguardano siano oggetto di trattamento<\/em>\u201d.<\/p>\n<p style=\"text-align: justify;\">La richiesta di una manifestazione di volont\u00e0 inequivocabile potrebbe avere un grosso impatto nella prassi, posto che, ad esempio, un semplice flag potrebbe non essere ritenuto pi\u00f9 sufficiente per la manifestazione di consenso.<\/p>\n<p style=\"text-align: justify;\"><strong>Principali novit\u00e0:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>l\u2019art. 7 del Regolamento prevede, qualora il trattamento sia basato sul consenso, che il responsabile del trattamento debba essere in grado di <u>dimostrare<\/u> la volont\u00e0 espressa dall&#8217;interessato;<\/li>\n<li>se il consenso dell&#8217;interessato \u00e8 manifestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere presentata in modo <strong><u>chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro<\/u><\/strong>. Il consenso reso in violazione al Regolamento non \u00e8 vincolante, nemmeno in parte;<\/li>\n<li>quando il trattamento riguarda dati sensibili, il Regolamento stabilisce che il consenso venga prestato dall\u2019interessato, oltre che in maniera preventiva e inequivocabile, anche in modo <u>esplicito<\/u>. Lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione, art. 22);<\/li>\n<li>il consenso non deve essere necessariamente documentato per iscritto, n\u00e9 \u00e8 richiesta la forma scritta (anche se questa modalit\u00e0 \u00e8 idonea a configurare il consenso esplicito e la sua inequivocabilit\u00e0).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>entro il 25 maggio 2018 raccogliere il consenso degli interessati in conformit\u00e0 a quanto prescritto dal Regolamento;<\/li>\n<li>esaminare la modulistica e verificare che la richiesta di consenso sia <strong>chiaramente distinguibile<\/strong> da altre richieste rivolte all&#8217;interessato, sia comprensibile ed utilizzi un linguaggio semplice e chiaro.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>\u00a0INFORMATIVA<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento stabilisce all&#8217;art. 12 l&#8217;adozione di misure appropriate a fornire all&#8217;interessato tutte le informazioni necessarie e le comunicazioni relative al trattamento<strong> \u201c<em><u>in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro<\/u>, in particolare nel caso di informazioni destinate specificamente ai minori<\/em>\u201d.<\/strong><\/p>\n<p style=\"text-align: justify;\">Le informazioni dovranno essere fornite per iscritto o con altri mezzi, se del caso anche mediante strumenti elettronici. Se richiesto dall&#8217;interessato, le informazioni potranno essere fornite oralmente, purch\u00e9 l&#8217;identit\u00e0 dell&#8217;interessato sia provata con altri mezzi.<\/p>\n<p style=\"text-align: justify;\">L\u2019informativa, quindi, continuer\u00e0 a rivestire rilevanza fondamentale, prevedendo un contenuto molto pi\u00f9 dettagliato, come specificato agli artt. 13 e 14 del Regolamento.<\/p>\n<p style=\"text-align: justify;\"><strong>Principali novit\u00e0:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>nel caso di dati personali <u>non raccolti direttamente presso l&#8217;interessato<\/u> <em>(art. 14)<\/em><em>,<\/em> l&#8217;informativa deve essere fornita <strong><u>entro un termine ragionevole e, comunque, non oltre 1 mese<\/u><\/strong> <u>dalla raccolta, oppure <strong>al momento della comunicazione<\/strong><\/u> (<strong>non <\/strong>della registrazione) dei dati (a terzi o all&#8217;interessato).<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>verificare la rispondenza <strong>delle informative<\/strong> al contenuto delineato dagli artt. 13 e 14, apportando modifiche ed integrazioni entro il 25 maggio 2018;<\/li>\n<li>adottare le <strong><u>misure organizzative interne<\/u><\/strong> idonee a garantire il rispetto della tempistica prevista per l\u2019informativa nel caso di dati personali non raccolti direttamente presso l\u2019interessato.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\"><strong>\u00a0NUOVI DIRITTI DELL\u2019INTERESSATO<\/strong><\/p>\n<ol style=\"text-align: justify;\">\n<li><strong>DIRITTO ALL\u2019OBLIO<\/strong><\/li>\n<\/ol>\n<p style=\"text-align: justify;\">L\u2019art. 17 del Regolamento riconosce espressamente il diritto all\u2019oblio, definito dalla giurisprudenza come il diritto di un individuo ad essere dimenticato. La norma prevede che l\u2019interessato abbia il diritto di ottenere la cancellazione (anche on-line) dei propri dati personali, ove ricorrano i seguenti motivi:<\/p>\n<ul style=\"text-align: justify;\">\n<li><strong>i dati personali non sono pi\u00f9 necessari<\/strong> rispetto alle finalit\u00e0 per le quali sono stati raccolti o altrimenti trattati;<\/li>\n<li><strong>l\u2019interessato revoca il consenso su cui si basa il trattamento<\/strong> e se non sussiste altro fondamento giuridico per il trattamento;<\/li>\n<li><strong>l\u2019interessato si oppone al trattamento<\/strong> e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;<\/li>\n<li><strong>i dati personali sono trattati illecitamente;<\/strong><\/li>\n<li><strong>i dati personali devono essere cancellati per adempiere un obbligo legale<\/strong> previsto dal diritto dell\u2019Unione o dello Stato membro cui \u00e8 soggetto il titolare del trattamento;<\/li>\n<li><strong>i dati personali sono stati raccolti relativamente all\u2019offerta di servizi della societ\u00e0 di informazione ai minori.<\/strong><\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Accanto al predetto diritto, sorge <u>in capo al titolare<\/u> del trattamento <u>l\u2019obbligo di informare della richiesta di cancellazione gli altri titolari<\/u> che trattano i dati personali.<\/p>\n<p style=\"text-align: justify;\">La norma prevede alcuni casi in cui l\u2019interessato non pu\u00f2 esercitare tale diritto; ad esempio, quando il trattamento \u00e8 necessario a garantire l\u2019esercizio della libert\u00e0 di espressione e di informazione o il diritto di difesa in sede giudiziaria, ovvero per tutelare un interesse generale, quale la salute pubblica, oppure quando i dati, resi anonimi, sono necessari per la ricerca storica o per finalit\u00e0 statistiche o scientifiche.<\/p>\n<p style=\"text-align: justify;\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-8427\" src=\"https:\/\/www.albeeassociati.it\/wp-content\/uploads\/2017\/05\/privacy-ss.jpg\" alt=\"\" width=\"349\" height=\"196\" \/><\/p>\n<ol style=\"text-align: justify;\">\n<li><strong>ii) DIRITTO ALLA PORTABILITA\u2019 DEI DATI<\/strong><\/li>\n<\/ol>\n<p style=\"text-align: justify;\">Introdotto all\u2019art. 20 del Regolamento, consiste nel diritto dell\u2019interessato a ricevere &#8211; in formato strutturato, di uso comune e leggibile da dispositivo automatico &#8211; i dati personali che lo riguardano forniti a un titolare del trattamento, con il fine di trasmetterli ad un altro titolare.<\/p>\n<p style=\"text-align: justify;\"><strong>Non si applica ai trattamenti non automatizzati<\/strong> (archivi o registri cartacei).<\/p>\n<p style=\"text-align: justify;\">Sono portabili solo i dati trattati in forza del consenso dell\u2019interessato o di un contratto stipulato con lo stesso (non si applica, quindi, al trattamento effettuato per adempiere ad un obbligo di legge, basato sull\u2019interesse pubblico oppure sull\u2019interesse legittimo del titolare).<\/p>\n<p style=\"text-align: justify;\">Quando tecnicamente possibile, l\u2019interessato ha diritto ad ottenere che i dati siano trasferiti direttamente da un titolare ad un altro.<\/p>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong><u>predisporre le misure tecniche e organizzative necessarie a favorire l&#8217;esercizio dei diritti e il riscontro alle richieste presentate dagli interessati<\/u><\/strong> in conformit\u00e0 alle previsioni introdotte dal Regolamento.<\/li>\n<\/ul>\n<p><strong>NUOVI OBBLIGHI<\/strong><\/p>\n<p><strong>i) PRINCIPIO DI ACCOUNTABILITY<\/strong><\/p>\n<p>Il principio di accountability (rendicontazione\/responsabilizzazione), contemplato dalla nuova normativa europea, si traduce in un <strong><u>approccio proattivo ed obblighi pi\u00f9 pregnanti<\/u>,<\/strong> i quali si concretizzano nel dimostrare l\u2019adozione delle misure tecniche ed organizzative atte a garantire l\u2019applicazione del Regolamento.<\/p>\n<p><strong>ii) PRIVACY BY DESIGN e BY DEFAULT<\/strong><\/p>\n<p style=\"text-align: justify;\">Sono i due principi chiave, previsti all\u2019art. 25 del Regolamento, di cui il titolare deve tenere conto nell\u2019adozione di misure tecniche ed organizzative.<\/p>\n<p>Il primo significa <strong><u>protezione dei dati sin dal momento della progettazione<\/u>.<\/strong> Il secondo richiede, invece, l\u2019adozione di misure tecniche ed organizzative adeguate a garantire che siano trattati, <strong><u>per impostazione predefinita, solo i dati personali necessari<\/u> per ogni specifica finalit\u00e0 del trattamento.<\/strong><\/p>\n<p><strong>iii) REGISTRI DELLE ATTIVITA\u2019 DI TRATTAMENTO<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong><u>Il titolare e il responsabile hanno l\u2019obbligo di tenere un registro delle rispettive attivit\u00e0 di trattamento svolte<\/u> sotto la loro responsabilit\u00e0,<\/strong> contenente le informazioni indicate all\u2019art. 30 del Regolamento (tra cui vi sono, ad esempio, le finalit\u00e0 del trattamento, una descrizione delle categorie di interessati e di dati personali, i destinatari a cui i dati sono stati comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali e, ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati etc\u2026).<\/p>\n<p style=\"text-align: justify;\">I registri devono essere tenuti in forma scritta (anche in formato elettronico) ed essere esibiti su richiesta al Garante.<\/p>\n<p style=\"text-align: justify;\">L\u2019obbligo non si applica alle imprese od organizzazioni con meno di 250 dipendenti, salvo che il trattamento effettuato dalle stesse presenti un rischio per i diritti e le libert\u00e0 dell\u2019interessato, il trattamento non sia occasionale o comprenda il trattamento di categorie particolari di dati indicati all\u2019art. 9 paragrafo 1, pressoch\u00e9 coincidenti con l\u2019attuale definizione di dati sensibili, o i dati personali relativi a condanne penali e a reati di cui all\u2019art. 10 del Regolamento.<\/p>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>si consiglia a tutti i titolari e responsabili, a prescindere dalle dimensioni delle aziende, di dotarsi di tali registri ed effettuare una ricognizione dei trattamenti effettuati, anche nell\u2019ottica della valutazione di impatto e dell\u2019analisi dei rischi.<\/li>\n<\/ul>\n<p><strong>iv) SICUREZZA DEI DATI<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento innalza il livello di sicurezza del trattamento dei dati. Non si parla pi\u00f9 di misure minime &#8211; che non saranno ritenute sufficienti -, bens\u00ec di misure adeguate, essendo quindi richiesto alle aziende di fare di pi\u00f9.<\/p>\n<p style=\"text-align: justify;\">Precisamente, il titolare e il responsabile dovranno mettere \u201c<em>in atto <strong><u>misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio<\/u><\/strong><\/em><strong>\u201d.<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>Il Regolamento non prevede un elenco esaustivo di misure di sicurezza, ma un&#8217;esemplificazione, all&#8217;art. 32, che annovera:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>la pseudonimizzazione e la cifratura dei dati personali;<\/li>\n<li>la capacit\u00e0 di assicurare su base permanente la riservatezza, l\u2019integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi e dei servizi di trattamento;<\/li>\n<li>la capacit\u00e0 di ripristinare tempestivamente la disponibilit\u00e0 e l\u2019accesso dei dati personali in caso di incidente fisico o tecnico;<\/li>\n<li>una procedura per testare, verificare e valutare regolarmente l\u2019efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Per valutare l\u2019adeguato livello di sicurezza occorrer\u00e0 tenere conto, in particolare, dei rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.<\/p>\n<p style=\"text-align: justify;\">L&#8217;applicazione di un <strong><u>codice di condotta<\/u> <\/strong>(disciplinato all&#8217;art. 40) <strong>o a un <u>meccanismo di certificazione<\/u><\/strong> (art. 42) potranno essere utilizzati come elemento per dimostrare la conformit\u00e0 ai requisiti delle misure di sicurezza.<\/p>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>verificare l&#8217;adozione delle prescrizioni contenute nell&#8217;Allegato B del Codice, che potranno essere valutate dall&#8217;Autorit\u00e0 nella definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti negli anni;<\/li>\n<li>valutare l\u2019adozione di misure di sicurezza pi\u00f9 efficaci, che garantiscano un livello di sicurezza adeguato al rischio.<\/li>\n<\/ul>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-8428\" src=\"https:\/\/www.albeeassociati.it\/wp-content\/uploads\/2017\/05\/news-ff-gg-lavoro.jpg\" alt=\"\" width=\"424\" height=\"283\" \/><\/p>\n<p><strong>\u00a0v) DATA BREACH<\/strong><\/p>\n<p style=\"text-align: justify;\">Il Regolamento introduce l&#8217;obbligo per tutti i titolari &#8211; attualmente previsto solo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico &#8211; di <strong><u>notificare all&#8217;autorit\u00e0 di controllo<\/u> (i.e. al Garante della Privacy) <u>ogni violazione di dati personali &#8220;<em>senza ingiustificato ritardo<\/em>&#8221; e comunque <\/u><u>entro 72 ore<\/u> <\/strong>da quando ne hanno conoscenza. Ci\u00f2, salvo essi ritengano improbabile che da tale violazione derivino rischi per i diritti e le libert\u00e0 delle persone fisiche.<\/p>\n<p style=\"text-align: justify;\"><strong>La notifica dovr\u00e0 contenere:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>la descrizione della natura della violazione e, se possibile, le categorie e il numero approssimativo di interessati;<\/li>\n<li>i dati di contatto del DPO o di altro punto di contatto presso cui ottenere ulteriori informazioni;<\/li>\n<li>l\u2019indicazione delle probabili conseguenze dalla violazione;<\/li>\n<li>la descrizione delle misure adottate o di cui si propone l\u2019adozione per porre rimedio alla violazione e, se del caso, per attenuare i possibili effetti negativi.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Qualora la violazione dei dati rappresenti sia suscettibie di presentare un <u>rischio elevato<\/u> (un rischio maggiore quindi a quello richiesto per la notifica all&#8217;autorit\u00e0) per i diritti e le libert\u00e0 delle persone fisiche, <u>il titolare dovr\u00e0, altres\u00ec, informare in modo chiaro, semplice e immediato gli interessati, offrendo loro delle indicazioni su come limitare le possibili conseguenze negative.<\/u><\/p>\n<p style=\"text-align: justify;\">Tale informazione non sar\u00e0, tuttavia, necessaria quando:<\/p>\n<ul style=\"text-align: justify;\">\n<li>siano state messe in atto misure di sicurezza adeguate a tutelare i dati violati;<\/li>\n<li>siano state successivamente adottate misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libert\u00e0 degli interessati;<\/li>\n<li>comporti uno sforzo sproporzionato. Si procede comunque ad una comunicazione pubblica e\/o adatta a raggiungere quanti pi\u00f9 interessati possibile.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">L&#8217;autorit\u00e0 di controllo pu\u00f2, in ogni caso, chiedere al titolare di provvedere alla comunicazione agli interessati.<\/p>\n<p style=\"text-align: justify;\"><strong>Adempimenti:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>adottare le misure necessarie a documentare eventuali violazioni, atteso che il Garante potrebbe richiedere tale documentazione in caso di accertamenti.<\/li>\n<\/ul>\n<p><strong>vi) VALUTAZIONE DI IMPATTO<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>La valutazione di impatto<\/strong> (data protection impact assessment e\/o privacy impact assessment) <strong>\u00e8 una delle novit\u00e0 pi\u00f9 rilevanti del Regolamento e trova un\u2019espressa disciplina all\u2019art. 35.<\/strong> Sostituisce l&#8217;obbligo generale di notificare alle autorit\u00e0 di controllo il trattamento dei dati personali, in applicazione del principio di responsabilizzazione.<\/p>\n<p style=\"text-align: justify;\">Prima di procedere al trattamento e ogniqualvolta si ravvisi che un trattamento possa comportare rischi ai diritti e alle libert\u00e0 dei singoli individui, il titolare (coadiuvato dal DPO) dovr\u00e0 effettuare la valutazione di impatto del trattamento. Nell\u2019effettuare ci\u00f2 dovranno essere tenuti in considerazione: la natura e il tipo di dati, la finalit\u00e0 del trattamento e l\u2019uso delle tecnologie coinvolte.<\/p>\n<p style=\"text-align: justify;\"><strong>La valutazione d&#8217;impatto \u00e8 obbligatoria nei casi di:<\/strong><\/p>\n<ul style=\"text-align: justify;\">\n<li>valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici e incidono su dette persone fisiche;<\/li>\n<li>trattamento su larga scala di categorie particolari di dati personali;<\/li>\n<li>sorveglianza sistematica su larga scala di una zona accessibile al pubblico.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">All&#8217;esito di questa valutazione il titolare potr\u00e0 decidere in autonomia se iniziare il trattamento (avendo adottato le misure adeguate a attenuare il rischio per la protezione dei dati), ovvero consultare l&#8217;autorit\u00e0 di controllo per ottenere indicazioni su come gestire il rischio residuale.<\/p>\n<p style=\"text-align: justify;\"><strong>\u00a0SANZIONI<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>L\u2019impianto sanzionatorio viene uniformato per tutti gli Stati membri dell\u2019UE e inasprito: sono previste sanzioni fino ad \u20ac 20.000.000,00 o, per le imprese, fino al 4% del fatturato annuo dell\u2019esercizio precedente.<\/strong><\/p>\n<p style=\"text-align: justify;\">Nella determinazione della sanzioni amministrative l&#8217;autorit\u00e0 di controllo dovr\u00e0 considerare diversi elementi, tra cui: la natura, la gravit\u00e0 e la durata della violazione, il carattere colposo o doloso della stessa e le misure adottate dal titolare.<\/p>\n<p style=\"text-align: justify;\">Saranno, inoltre, <strong>gli Stati membri a stabilire le norme relative alle altre tipologie di sanzioni,<\/strong> assicurando la proporzionalit\u00e0 e l\u2019efficacia dissuasiva. In Italia, in particolare, si ritiene verr\u00e0 mantenuto l&#8217;attuale quadro sanzionatorio degli illeciti penali di cui al Codice Privacy, con le modifiche necessarie in conformit\u00e0 al Regolamento.<\/p>\n<p style=\"text-align: justify;\">\n<p style=\"text-align: justify;\">Iscriviti alla <a href=\"https:\/\/www.albeeassociati.it\/newsletter\/\">Newsletter<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Esattamente un anno fa \u00e8 entrato in vigore il GDPR (Regolamento europeo n. 679 del 27 aprile 2016, concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione degli stessi), che diventer\u00e0 direttamente applicabile in tutti gli Stati membri decorsi due anni dall\u2019entrata in vigore, ovvero a decorrere [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":11119,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[11],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/8424"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=8424"}],"version-history":[{"count":1,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/8424\/revisions"}],"predecessor-version":[{"id":19592,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/8424\/revisions\/19592"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/11119"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=8424"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=8424"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=8424"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}