Normativa europea sulla privacy in sintesi

  1. Home /
    2. La Privacy in azienda /
  2. Normativa europea sulla privacy in sintesi
Normativa europea sulla privacy in sintesi
La Privacy in azienda

Normativa europea sulla privacy in sintesi

Normativa europea sulla privacy in sintesi

La nuova normativa europea sulla privacy, il GDPR (General Data Protection Regulation) è il nuovo Regolamento sul trattamento dei dati introdotto all’interno dell’Unione Europea il 25 maggio 2018.

Questo nuovo regolamento sulla privacy dell’Unione Europea ha creato dei veri e propri attacchi di panico nelle persone e nelle aziende o pubbliche amministrazioni che hanno a che fare con il trattamento dei dati. Una fobia per lo più immotivata.

Cominciamo con lo specificare che il GDPR si applica alle persone fisiche e giuridiche che trattano i dati personali dei cittadini dell’Unione Europea, anche se non residenti in Europa.

Dunque aziende, privati e professionisti che svolgono attività commerciali e professionali, devono rispettare gli adempimenti previsti dal GDPR, i quali sono spesso demandati a dei soggetti esterni all’azienda.

Per questo il nostro team di professionisti fornisce il servizio di consulenza GDPR 2016/679 affiancando le imprese e le Pubbliche amministrazioni negli adempimenti necessari.

Normativa Europea sulla privacy 1 - ARETHUSEA

Il GDPR però non si applica ai privati che svolgono attività personali e che dunque non trattano dati di altre persone.

Per essere sicuri di rispettare tutti i nuovi adempimenti, specialmente gli addetti al trattamento dei dati personali, ma anche perché esiste l’obbligo formativo per questa materia, abbiamo messo a disposizione degli interessati un corso sicurezza specifico: il corso di formazione alla privacy.

Quella del nuovo regolamento sulla privacy della Comunità Europea è quindi una questione complessa che merita di essere affrontata insieme a voi. Per questo abbiamo cercato di semplificare il tutto cercando di riassumere cosa sia il GDPR in breve.

GDPR in breve: ruoli e principi fondanti

Normativa europea sulla Privacy GDPR

Il GDPR è caratterizzato da due aspetti:

  1. Privacy by design: sin dall’inizio del progetto, bisogna stabilire le misure e le procedure adeguate per garantire la tutela dei dati trattati.
  2. Privacy by default: i dati devono essere trattati con la massima chiarezza, indicando le finalità, le modalità e la durata del trattamento degli stessi.

Principi del GDPR

Il GDPR si fonda su 5 punti:

  • Liceità, correttezza e trasparenza: i dati personali dell’utente devono essere trattati in modo lecito, e con la massima correttezza e trasparenza, indicando in modo esplicito le finalità previste.
  • Minimizzazione dei dati: deve essere raccolta e trattata la quantità di dati strettamente necessaria alle finalità previste.
  • Esattezza: i dati personali devono essere esatti e aggiornati, in caso contrario bisogna provvedere a cancellare o a modificare i dati inesatti.
  • Limitazione della conservazione: i dati personali devono essere archiviati solo per il periodo necessario al raggiungimento delle finalità previste.
  • Integrità, sicurezza e riservatezza: devono essere eseguite tutte le misure adeguate per garantire la riservatezza, la sicurezza e l’integrità dei dati, in modo da proteggerli da furti o altri eventi accidentali.

Il titolare del trattamento dei dati

Uno dei punti focali della nuova normativa GDPR è che questa aumenta gli obblighi del Titolare del trattamento dei dati per garantire la tutela dei dati e i diritti del soggetto interessato.

Nello specifico il titolare del trattamento dei dati deve:

  • spiegare con chiarezza come sono stati violati i dati personali;
  • comunicare il nome e i contatti del titolare o del responsabile del trattamento dei dati a cui rivolgersi per chiarimenti;
  • spiegare le conseguenze della violazione dei dati personali;
  • indicare le misure prese, per rimediare alla violazione dei dati personali.
  • deve inviare una notifica agli utenti e all’autorità di controllo entro 72 ore, se avviene una violazione o un furto dei dati personali (Data Breach).

Per adempiere alla normativa GDPR la formazione è obbligatoria e permette di apprendere agli addetti il modo migliore di adempiere alle volontà legislative di protezione della privacy.

Normativa Europea sulla privacy 2 - ARETHUSEA

Il DPO

Il DPO, cioè il Data Protection Officer, è un ruolo introdotto dal nuovo Regolamento Europeo. Il DPO è il Responsabile della Protezione dei Dati e può essere un dipendente o un collaboratore esterno (abbiamo scritto un approfondimento, per chi fosse interessato su “Come diventare DPO“).

  • Si tratta di una figura obbligatoria solo per le grandi aziende. Si occupa principalmente di:
  • assicurare la protezione e la tutela dei dati;
  • dare informazioni e fornire consulenza al titolare o al responsabile del trattamento dei dati;
  • svolgere attività di formazione al personale o ai collaboratori che accedono o controllano i dati;
  • relazionarsi con l’autorità di controllo.

GDPR in sintesi: i diritti del soggetto interessato

Nonostante le apparenti complicazioni comunque il GDPR garantisce una maggiore tutela dei diritti dei cittadini europei attraverso il rafforzamento dei seguenti diritti:

  • diritto alla trasparenza: l’informativa sulla privacy deve essere facilmente accessibile e con un linguaggio semplice e trasparente, indicando le finalità del trattamento, il periodo di conservazione dei dati, i nominativi e i contatti del responsabile del trattamento, le modalità per richiedere la cancellazione o la modifica;
  • diritto di accesso: l’utente può chiedere l’accesso ai propri dati e chiederne informazioni;
  • diritto di opposizione: l’interessato può opporsi al trattamento dei propri dati;
  • diritto alla portabilità dei dati: i dati devono essere esportabili in un determinato formato, in modo da garantire all’utente la possibilità di poter trasferire i propri dati da un fornitore all’altro;
  • diritto all’oblio o alla modifica dei dati: l’interessato può richiedere la cancellazione o la modifica dei propri dati in qualsiasi momento.

GDPR in breve: Registro delle attività del trattamento dei dati

Le grandi imprese che hanno più di 250 dipendenti o che comunque trattano una grande quantità di dati, sono obbligate alla redazione del Registro delle Attività di Trattamento dei dati.

In questo registro vengono spiegate le procedure, le responsabilità, le misure di sicurezza, le finalità, le persone coinvolte e i software usati riguardo al trattamento dei dati.

Inoltre l’azienda deve redigere l’Inventario degli Asset Tecnologici,utilizzato per la gestione e sicurezza dei dati. Esso deve contenere:

  • archivi: database e file esportabili dei dati trattati;
  • dispositivi: server, computer, smartphone e qualsiasi dispositivo di rete presente nell’azienda;
  • software: tutti i software installati nei dispositivi di rete;
  • utenti: elenco degli utenti che accedono ai dispositivi e ai software dell’azienda.

CONTATTACI

    L'informativa completa sul trattamento dati è consultabile al seguente link
    Privacy Policy