GDPR & Privacy compliance
Indice dei contenuti
1. Cos’è il GDPR
Il Regolamento sulla Protezione dei Dati (General Data Protection Regulation o più comunemente detto GDPR) 27 aprile 2016 n. 2016/679/UE è entrato in vigore il 25 maggio 2018 ed è stato pensato per rafforzare e armonizzare le normative sulla protezione dei dati personali in tutti gli Stati membri dell’Unione Europea (UE). Il GDPR ha introdotto importanti cambiamenti nel modo in cui devono essere trattati i dati personali e ha messo una maggiore enfasi sulla responsabilità e sulla tutela della privacy. Da tener presente il fatto che il Codice Privacy, cioè il decreto legislativo n. 196 del 2003 non è stato abrogato del tutto. Molte disposizioni del Codice Privacy sono tuttora in vigore e bisogna tenere conto anche di queste norme per verificare correttamente gli obblighi a proprio carico.
Il GDPR non si applica ai trattamenti di dati personali
2. Principi GDPR
Il Regolamento Generale sulla Protezione dei Dati (GDPR) si basa su una serie di principi fondamentali che guidano il trattamento dei dati personali. Questi principi sono progettati per garantire la protezione della privacy e dei diritti delle persone.
Ecco una sintesi dei principi fondamentali su cui si basa il GDPR:
- -Legittimità, correttezza e trasparenza: è necessario informare le persone in modo chiaro e comprensibile su come vengono trattati i loro dati personali e sulle finalità, anche al fine di ottenere il consenso al trattamento;
- -Finalità: i dati personali possono essere raccolti e trattati solo per scopi specifici, espliciti e legittimi; i fini perseguiti devono essere legittimi e non devono violare i diritti dell’interessato;
- -Consenso al trattamento dei dati;
- -Minimizzazione: devono essere raccolti solo i dati personali strettamente necessari per il raggiungimento delle finalità dichiarate. I dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario;
- -Conservazione: i dati personali devono essere conservati solo per il tempo necessario per il raggiungimento delle finalità per le quali sono stati raccolti;
- -Integrità e riservatezza: devono essere adottare misure tecniche e organizzative adeguate per proteggere i dati personali da perdite, accessi non autorizzati o trattamenti illeciti;
- -Accountability (responsabilizzazione): il GDPR pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento.
- -Proporzionalità: deve esistere proporzionalità tra i dati trattati e gli strumenti utilizzati nel trattamento e le finalità che si perseguono.
- -Necessità: i trattamenti dei dati personali devono essere fondamentali per raggiungere le proprie finalità.
4. Analisi dell’attività
L’unico modo per accertare se sussistano o meno obblighi ai sensi del GDPR è quello di analizzare l’attività commerciale e le operazioni poste in essere dal personale. In altre parole, una vera e propria due diligence che riveli se e come i dati personali sono trattati. Effettuata l’analisi, sarà possibile decidere se e quali interventi eseguire per un corretto trattamento dei dati personali.
3. Sanzioni
Le sanzioni per violazione della Privacy possono arrivare:
– fino a 10.000.000,00 o fino al 2% del fatturato mondiale;
– fino a 20.000.000,00 EUR o fino al 4 % del fatturato mondiale d’impresa annuo in caso di violazione dei principi base del trattamento o delle condizioni relative al consenso e i diritti dell’interessato.