200000243_IUS PRIVACY_ I 6 obblighi imposti alle aziende ed Enti dal GDPR
31.03.2019 Views
Share Embed Flag

200000243_IUS PRIVACY_ I 6 obblighi imposti alle aziende ed Enti dal GDPR

ePAPER READ
DOWNLOAD ePAPER
mikeryan84

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

I 6 <strong>obblighi</strong> <strong>imposti</strong> <strong>alle</strong> <strong>aziende</strong> <strong>ed</strong> <strong>Enti</strong> <strong>dal</strong> <strong>GDPR</strong><br />

Il ​25 maggio 2018​, è entrato in vigore il ​Regolamento (UE) 2016/679 (di seguito,<br />

anche, «​<strong>GDPR</strong>​»), il quale ha tra i suoi obiettivi e novità quelli di:<br />

● armonizzare la disciplina sulla protezione dei dati personali all'interno di tutta<br />

l'Unione europea;<br />

● rafforzare e introdurre nuovi diritti degli interessati;<br />

● attribuire fondamentale importanza ai ​principi della accountability​, della<br />

privacy by design e by default​;<br />

● inasprire le sanzioni portandole sino a ​€ 20.000.000 o al ​4% del fatturato<br />

mondiale annuo del gruppo​;<br />

● introdurre la figura del ​Data Protection Officer​ (di seguito, anche, «​DPO​»).<br />

Per la conformità al <strong>GDPR</strong>, enti <strong>ed</strong> organizzazioni devono configurare un c.d.<br />

«​sistema privacy​», che si evolve nel tempo, costituito dai seguenti componenti:<br />

1. Registro dei Trattamenti<br />

2. Informative<br />

3. Lettere di Designazione<br />

4. Proc<strong>ed</strong>ure<br />

5. Registro Data Breach<br />

6. DPIA Data Protection Impact Assessment<br />

1. Registro dei Trattamenti<br />

Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una<br />

organizzazione questa diviene Titolare del Trattamento.<br />

Il ​Titolare del Trattamento​ deve tenere un registro che contiene almeno:<br />

○ il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />

contitolare del trattamento, del rappresentante del titolare del trattamento e del<br />

responsabile della protezione dei dati (DPO) ove previsto;<br />

○ le ​finalità del trattamento​, cioè i fini, stabiliti <strong>dal</strong> Titolare del Trattamento, per cui<br />

si trattano i dati;<br />

○ la descrizione delle ​categorie di interessati​ e delle categorie di dati personali;<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 1

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

○ le categorie di destinatari a cui i dati personali sono stati o saranno comunicati<br />

(come per es. i ​Responsabili del Trattamento​, cioè i fornitori, a cui il titolare<br />

affida i dati personali custoditi);<br />

○ ove applicabile, i trasferimenti di dati personali verso un paese terzo o<br />

un'organizzazione internazionale, compresa l'identificazione del paese terzo o<br />

dell'organizzazione internazionale e, per i trasferimenti di cui al ​secondo comma<br />

dell'articolo 49​, la documentazione delle garanzie adeguate;<br />

○ ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie<br />

di dati;<br />

○ ove possibile, una ​descrizione delle misure di sicurezza tecniche e<br />

organizzative​ di cui all'​articolo 32, paragrafo 1​.<br />

2. Informative<br />

Ai sensi del <strong>GDPR</strong>, il Titolare adotta misure appropriate per fornire all'​interessato<br />

(cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.<br />

M<strong>ed</strong>iante l'impiego dell'informativa ​il Titolare fornisce agli Interessati tutte le<br />

informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e<br />

facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di<br />

informazioni destinate specificamente ai minori​. Le informazioni sono fornite per iscritto<br />

o con altri mezzi, anche, se del caso, con mezzi elettronici.<br />

Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la ​cookie<br />

policy​.<br />

L'informativa deve contenere almeno:<br />

○ identità del Titolare;<br />

○ dati dei Responsabili e dei Destinatari del Trattamento;<br />

○ eventuali legittimi interessi perseguiti;<br />

○ eventuali trasferimenti di dati all'estero;<br />

○ il periodo di conservazione dei dati personali;<br />

○ diritti degli interessati esercitabili;<br />

○ eventuale trattamento di dati particolari;<br />

○ la natura del conferimento (obbligatorio o meno);<br />

○ eventuale presenza di processi decisionali automatizzati compresa la<br />

profilazione.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 2

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

3. Lettere di Designazione<br />

Ai sensi dell'​art. 29 del <strong>GDPR</strong> chiunque tratta dati personali per conto del Titolare del<br />

Trattamento deve ricevere specifiche istruzioni.<br />

Il Titolare può ricorrere a:<br />

○ Responsabili del Trattamento​, in genere fornitori a cui il Titolare affida i dati<br />

personali;<br />

○ Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema,<br />

ex. Incaricati),costituiti in genere dai dipendenti del Titolare a cui vengono<br />

attribuiti i privilegi di accesso per acc<strong>ed</strong>ere ai dati.<br />

Le designazioni di Responsabili <strong>ed</strong> Autorizzati sono in genere r<strong>ed</strong>atte in forma scritta<br />

m<strong>ed</strong>iante specifiche lettere con termini appropriati.<br />

4. Proc<strong>ed</strong>ure<br />

Il Titolare del Trattamento regola la propria attività m<strong>ed</strong>iante specifiche proc<strong>ed</strong>ure ai<br />

fini di dimostrare la conformità al <strong>GDPR</strong>:<br />

○ Privacy by Design / Default;<br />

○ Gestione delle violazioni dei Dati personali (​Data Breach​);<br />

○ Gestione ​esercizio Diritti interessati​;<br />

○ Processo per la ​nomina di Responsabili del Trattamento​;<br />

○ Processo per la ​nomina di Soggetti Autorizzati (Ex. Incaricati)​.<br />

5. Registro Data Breach<br />

Ai sensi dell'​Art. 33 c.5 del <strong>GDPR</strong> "​Il Titolare del Trattamento documenta qualsiasi<br />

violazione dei dati personali, comprese le circostanze a essa relative, le sue<br />

conseguenze e i provv<strong>ed</strong>imenti adottati per porvi rim<strong>ed</strong>io. Tale documentazione<br />

consente all'autorità di controllo di verificare il rispetto del presente articolo.<br />

Il Titolare del Trattamento deve tenere un registro preposto alla registrazione delle<br />

violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle<br />

che non vanno notificate al ​Garante Privacy cioè quelle che non hanno un rischio<br />

elevato per le libertà e i diritti degli interessati.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 3

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

6. DPIA Data Protection Impact Assessment<br />

Il <strong>GDPR</strong> impone ai Titolari del Trattamento l'esecuzione della ​DPIA (Data Protection<br />

Impact Assessment)​, cioè una valutazione d'impatto ai fini privacy, per tutti quei<br />

trattamenti che possano "​...presentare un rischio elevato per i diritti e le libertà delle<br />

persone fisiche​" in considerazione della natura, dell'oggetto, del contesto e delle<br />

finalità.<br />

La DPIA è una valutazione che deve essere condotta seguendo specifiche<br />

metodologie (v<strong>ed</strong>i provv<strong>ed</strong>imento ​WP 248​); l'​articolo 35 del <strong>GDPR</strong> definisce la DPIA<br />

come uno strumento che, in ossequio al ​principio di accountability​, consente ai<br />

titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.<br />

La conformità al <strong>GDPR</strong> è un percorso che non si esaurisce con la semplice r<strong>ed</strong>azione<br />

di informative da sottoporre alla firme degli interessati.<br />

Ius Privacy è il Software Privacy <strong>GDPR</strong> online su cloud creato per configurare e<br />

gestire, in autonomia, i Sistemi Privacy per l'adeguamento al Regolamento<br />

Europeo 679/2016.<br />

L'assistenza continua dello Staff Legale ti aiuterà, in modo semplice <strong>ed</strong> efficace, nella<br />

configurazione di:<br />

● Registri dei Trattamenti,<br />

● Informative,<br />

● Lettere di Designazione,<br />

● Proc<strong>ed</strong>ure,<br />

● Registro Data Breach,<br />

● DPIA Data Protection Impact Assessment.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 4

logo

Prodotti

Risorse

Aziende

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!