Il Regolamento Europeo n. 679/2016 sulla protezione dei dati personali, noto come GDPR (General Data Protection Regulation), è entrato in vigore il 24 maggio 2016 ed è diventato applicabile dal 25 maggio 2018 (termine per l’adeguamento), abrogando di fatto la Direttiva 95/46/CE. Il nuovo quadro normativo prevede una maggiore protezione nel trattamento dei dati personali, requisiti più complessi e sanzioni più pesanti. Il trattamento dei dati personali è posto al centro delle organizzazioni aziendali e in questo ambito sono previste nuove figure professionali.
Il Regolamento generale sulla protezione dei dati impone a tutte le aziende e professionisti che operano nei paesi membri dell’UE una serie di innovazioni di assoluta rilevanza in merito al trattamento dei dati personali. Laddove per trattamento dati si intenda qualunque informazione riguardante una persona fisica identificata o identificabile (quindi, ad esempio, si tratta di dati personali: l’indirizzo e-mail fornito, i dati personali forniti, il numero di cellulare fornito …)
Il GDPR introduce modifiche rispetto alla normativa precedente, quali:
1 ▪ RESPONSABILITÀ DEL TITOLARE DEL TRATTAMENTO (RESPONSABILITÀ):
La persona che determina le finalità e i mezzi del trattamento dei dati personali è definita “titolare del trattamento” e può essere una persona fisica o giuridica, un’autorità pubblica o ancora un altro ente di servizio. Ha il compito di porre in essere tutte le misure tecniche e organizzative idonee a garantire che tale trattamento venga effettuato nel rispetto del Regolamento. Il titolare deve dimostrare la concreta adozione di misure tecniche ed organizzative atte a garantire che tale trattamento sia coerente con la norma. A tal fine, il proprietario deve rispettare i seguenti principi:
• Principio della privacy by design: il trattamento dei dati deve fornire sin dall’inizio le garanzie essenziali per tutelare i diritti e le libertà dei diretti interessati;
• Principio della privacy by default: ovvero la necessità di attuare misure tecniche e organizzative adeguate per garantire che in tale contesto siano trattati solo i dati personali necessari allo scopo specifico del trattamento.
2 ▪ LICEITÀ DEL TRATTAMENTO:
Il Regolamento pone particolare attenzione al principio di liceità, correttezza e trasparenza. I fondamenti di liceità del trattamento sono:
• Il consenso esplicito dell’interessato;
• l’adempimento degli obblighi contrattuali;
• L’adempimento di obblighi di legge a cui è tenuto il Titolare;
• La salvaguardia degli interessi vitali per una persona fisica;
• L’interesse pubblico o l’esercizio di pubblici poteri;
• Il perseguimento di un legittimo interesse del Titolare o di terzi ai quali i dati sono comunicati. Non è più consentito il tacito o presunto consenso. Il titolare del trattamento deve sempre poter dimostrare che l’interessato ha prestato il consenso al trattamento dei dati.
3 ▪ INFORMAZIONI:
L’informativa deve essere fornita all’interessato prima della raccolta dei dati. Il titolare deve fornire all’interessato una lunga serie di informazioni, elencate tassativamente agli artt.13 e 14 del Regolamento. Le informazioni che il titolare del trattamento deve fornire all’interessato devono essere sempre rese in forma sintetica, trasparente, intelligibile e facilmente accessibile, in un linguaggio semplice e chiaro.
4 ▪ I DIRITTI DEGLI INTERESSATI E LE MODALITÀ DI ESERCIZIO:
Il GDPR disciplina il trattamento dei dati su cinque diritti fondamentali:
• Diritto di accesso: si configura come il diritto dell’interessato di richiedere ed ottenere dal titolare del trattamento informazioni sul trattamento dei propri dati personali;
• Diritto all’oblio: ovvero il diritto dell’interessato alla cancellazione dei propri dati personali;
• Diritto di rettifica: diritto dell’interessato di chiedere che i dati che lo riguardano siano modificati, rettificati o aggiornati;
• Il diritto di limitazione consiste nel diritto riconosciuto all’interessato di richiedere al titolare che il trattamento dei suoi dati sia limitato alla sola conservazione;
• Diritto alla portabilità dei dati: l’interessato ha diritto di ricevere dal titolare una copia dei dati personali oggetto di trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Qualora l’interessato sia la persona fisica cui si riferiscono i dati personali (esempio: persona fisica cliente, azienda cliente o dipendente). In particolare, si sottolinea che il titolare del trattamento è tenuto a facilitare l’esercizio dei diritti dell’interessato. Qualora l’interessato ne faccia richiesta al titolare, il periodo di risposta è per tutti i diritti di 1 mese, prorogabile di 3 mesi in casi di particolare complessità.
5 ▪ VALUTAZIONE DELL’IMPATTO SULLA PRIVACY:
“Valutazione dell’impatto” indica l’analisi dell’origine, della natura e della gravità del rischio per la tutela del diritto alla protezione dei dati. Solo all’esito di tale valutazione il titolare potrà decidere se procedere al trattamento dei dati secondo le misure da lui predisposte. Se lo ritiene necessario, può consultare le autorità di vigilanza per informazioni sulla gestione del rischio residuo.
6 ▪ RESPONSABILE DELLA PROTEZIONE DEI DATI:
Il Regolamento introduce la figura del “Data Protection Officer” (DPO) o del “Data Protection Officer” (DPO) a cui sono affidati importanti compiti ai fini della protezione dei dati e, primo fra tutti, quello di monitorare il rispetto del Regolamento . Il responsabile della protezione dei dati deve possedere una conoscenza specialistica della legislazione e delle pratiche in materia di protezione dei dati e deve possedere le competenze necessarie per svolgere i compiti di cui è investito. La nomina del DPO è obbligatoria:
• Quando il trattamento è svolto da una pubblica autorità o da un ente pubblico (fatta eccezione per le autorità giudiziarie nell’esercizio di tali funzioni);
• Laddove i trattamenti, per loro natura, ambito e / o finalità, richiedano un monitoraggio regolare e sistematico degli interessati su larga scala;
• Quando le attività principali del titolare o del titolare del trattamento consistono nel trattamento, su larga scala, di particolari categorie di dati personali (dati sensibili) o dati relativi a condanne penali.
7 ▪ RESPONSABILE DEL TRATTAMENTO DEI DATI:
Il titolare del trattamento può designare un responsabile del trattamento, che proteggerà i dati personali per suo conto. Quest’ultimo deve fornire garanzie sufficienti per attuare misure tecniche e organizzative adeguate, al fine di garantire la tutela dei diritti dell’interessato. L’affidamento del trattamento al responsabile deve avvenire con contratto stipulato con informativa scritta e che disciplina rigorosamente le materie indicate nel Regolamento.
8 ▪ NOTIFICA DI VIOLAZIONI DEI DATI PERSONALI:
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza, a meno che non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà di individui.
9 ▪ REGISTRO DEL TRATTAMENTO:
Il titolare deve tenere un registro delle operazioni di trattamento. Sebbene il GDPR escluda da tale obbligo soggetti con meno di 250 dipendenti (solo se non effettuano trattamenti a rischio o limitano i diritti e le libertà dell’interessato), il Garante della Privacy ne raccomanda vivamente la conservazione da parte di tutti i soggetti che trattano dati personali in quanto è uno strumento fondamentale per avere un elenco aggiornato di tutti i trattamenti effettuati.
In relazione alla necessità di adeguarsi al nuovo Regolamento Europeo, è prevista la seguente modalità di funzionamento:
• PRIVACY ASSESTMENT nuova mappatura dei trattamenti e dei ruoli al fine di programmare l’implementazione di un Sistema di Governance Privacy strutturato in grado di aumentare il livello di protezione dei dati e la consapevolezza dei trattamenti, con particolare attenzione:
▫ Identificazione di banche dati;
▫ Vulnerabilità e criticità dei trattamenti operati;
▫ procedure e politiche Internet;
▫ Gestione e disciplina dei trattamenti;
▫ Gestione e disciplina dei dipendenti;
▫ Documentazione di sistema;
▫ Analisi del sistema informativo e delle misure di sicurezza attuate secondo le disposizioni di legge finalizzate alla definizione di una gap analysis volta ad evidenziare gli scostamenti dall’attuazione in ottemperanza al nuovo Regolamento sopra richiamato.
• Valutazione e definizione applicativa del principio “Privacy by Default e Privacy By Design” su cui si basa il nuovo Regolamento;
• Valutazione del rischio per i trattamenti effettuati;
• Individuazione, pianificazione e applicazione delle misure di sicurezza fisiche e logiche minime per la protezione dei dati;
• Redazione documentazione di sistema (registro dei trattamenti, incarichi interni di trattamento, incarichi e incarichi esterni al trattamento, incarichi tecnici, informativi, ecc.);
• Definizione e implementazione delle attività relative al “Data Breach” (violazione dei dati) inclusa la definizione del sistema di allerta;
• Formazione dei responsabili del trattamento;
• Nomina del DPO (se necessario).
Il regolamento prevede solo sanzioni amministrative. Le sanzioni previste devono essere efficaci, proporzionate e dissuasive in ogni singolo caso. Sono state distinte due tipologie di sanzioni in relazione al tipo di violazione:
• Sanzioni amministrative fino a 10.000.000 di euro, o per le imprese, fino al 2% del fatturato globale annuo totale dell’anno precedente, se superiori (es. Se non vengono attuate adeguate misure di sicurezza dei dati);
• Sanzioni amministrative fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato globale annuo totale dell’anno precedente, se superiori (es. In caso di violazione dei principi base del trattamento, comprese le condizioni relative al consenso).
Le singole leggi nazionali possono prevedere sanzioni penali.
NOTA SUL TRATTAMENTO DEI DATI PERSONALI E LORO CANCELLAZIONE:
Quando l’utente naviga sul sito web www.physiosteoworks.it verrà informato che proseguendo con la navigazione acconsente al trattamento dei dati personali, per le finalità indicate nella privacy policy del sito web, solo previo esplicito consenso. Ciò sta a significare che qualora l’utente non andrà ad effettuare alcun clic sul pulsante “OK” posto all’interno del banner informativo, nessun dato personale verrà conservato da physiosteoworks.it.
Inoltre, l’utente potrà personalizzare e gestire i propri consensi cliccando sulle varie voci presenti nel banner e potrà in qualsiasi momento cancellare le proprie preferenze di navigazione cancellando i cookie salvati sul proprio pc, relativi appunto al sito web physiosteoworks.it.