Il 25 maggio 2018 entra in vigore il GDPR – General Data Protection Regulation, ovvero il Regolamento europeo sulla privacy approvato il 14 aprile 2016 con il quale è stato delineato un nuovo quadro normativo in materia di protezione dei dati personali che impone nuove regole e importanti adempimenti da rispettare.
Il GDPR avrà un impatto su tutti i professionisti e le imprese che vengano in contatto con i dati personali dei cittadini europei.
Le nuove norme interessano tutti i professionisti e le imprese che trattano i dati personali delle persone fisiche.
Sono esclusi dal campo di applicazione del GDPR:
-
i trattamenti di dati personali che non rientrano nel campo di applicazione del diritto UE;
-
i trattamenti di dati personali che sono effettuati dagli Stati membri nell'esercizio di attività rientranti nell'ambito della politica estera e di sicurezza comune;
-
i trattamenti di dati personali che sono effettuati da una persona fisica nell'esercizio di attività a carattere esclusivamente personale o domestico;
-
i trattamenti di dati personali che sono effettuati dalle autorità competenti con finalità di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Pertanto i dati personali:
-
devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza;
-
devono essere raccolti per finalità determinate, esplicite e legittime e trattati in maniera compatibile con tali finalità;
-
devono rispondere al principio di minimizzazione e, quindi, essere adeguati, pertinenti e limitati a quanto necessario per rispettare le finalità del trattamento;
-
devono essere esatti e, quindi, eventualmente aggiornati;
-
devono essere conservati in maniera da consentire l'identificazione degli interessati solo per il tempo necessario al conseguimento delle finalità del trattamento e per periodi più lunghi solo per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica, statistici;
-
devono essere trattati in maniera tale che sia garantita una loro adeguata sicurezza.
Il GDPR stabilisce che l'onere di dimostrare che l'interessato ha prestato il proprio consenso al trattamento grava sul titolare, il quale deve avere cura di fornire una richiesta di consenso chiara. La richiesta, laddove la dichiarazione da far sottoscrivere all'interessato riguardi anche altre questioni, deve inoltre essere agevolmente distinguibile dalle altre materie, comprensibile, facilmente accessibile e fatta con un linguaggio semplice e chiaro.
Nel caso in cui l'interessato revochi il proprio consenso , il trattamento effettuato prima della revoca resta comunque lecito e di tale circostanza l'interessato deve essere informato prima di esprimere il proprio consenso.
Il Regolamento introduce una nuova figura: il DPO – Data Protection Officer, al quale viene affidato il compito di garantire che le imprese e gli enti gestiscano i dati personali trattati in maniera corretta.
Il DPO (o responsabile della protezione dei dati), deve essere necessariamente nominato dal titolare e dal responsabile del trattamento nei seguenti casi:
-
quando il trattamento è effettuato da un'autorità pubblica o un organismo pubblico diverso dalle autorità giurisdizionali nell'esercizio delle loro funzioni;
-
quando le attività principali poste in essere dal titolare o dal responsabile del trattamento richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
-
quando le attività principali poste in essere dal titolare o dal responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a specifici reati.
DPO può essere sia un dipendente del titolare o del responsabile del trattamento, che un soggetto esterno chiamato ad assolvere i suoi compiti in base a un contratto di servizi. La scelta va fatta comunque tra soggetti che abbiano delle qualità professionali adeguate e che quindi conoscano in maniera specialistica la normativa e la prassi in materia di protezione dei dati personali e che siano in grado di assolvere i compiti affidati dal Regolamento al responsabile della protezione dei dati.
Il DPO ha l'importantissimo compito di:
-
dare un adeguato supporto informativo e consulenziale al titolare del trattamento, al responsabile del trattamento e ai dipendenti incaricati del trattamento;
-
sorvegliare che il Regolamento sia adeguatamente osservato e che siano rispettate anche le altre disposizioni dell'Unione o interne in materia di privacy e le politiche sulla protezione dei dati personali adottate dal titolare o dal responsabile del trattamento;
-
essere disposto a fornire, su eventuale richieste, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento in conformità con il Regolamento;
-
cooperare con l'autorità di controllo e fungere da punto di contatto per quest'ultima con riferimento alle questioni connesse al trattamento;
-
effettuare, se necessario, delle consultazioni relative al trattamento.
Per adeguarsi alle previsioni del GDPR è quindi necessario eseguire alcune fondamentali azioni.
Bisogna provvedere a predisporre i registri delle attività di trattamento.
Inoltre è fondamentale dotarsi di un Data Protection Officer, se si è tra i soggetti tenuti a provvedervi.
Chiaramente occorre poi stendere o adeguare la documentazione in materia di trattamento dei dati personali, per renderla completa e aggiornata alla luce delle prescrizioni introdotte dal Regolamento in vigore dal 25 maggio 2018, provvedendo anche a definire le politiche di sicurezza e di valutazione dei rischi.
Il mancato adeguamento e il mancato rispetto delle norme in materia di privacy introdotte dal GDPR può comportare l'applicazione di sanzioni di carattere sia amministrativo che penale.
 Indirizzo: | Via Cavour, 96 Roma |
 Tel. e Fax: | 06 77209844 |
 Em@il: | info@pec.studiocolucci.info |
 Skype: | Chiama con Skype |
 Facebook: | Studio Colucci |