200000243_IUS PRIVACY_ I 6 obblighi imposti alle aziende ed Enti dal GDPR
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Servizio online su Cloud per la creazione e il mantenimento di un<br />
Sistema Privacy per la conformità al Regolamento Europeo<br />
679/2016 (<strong>GDPR</strong>)<br />
I 6 <strong>obblighi</strong> <strong>imposti</strong> <strong>alle</strong> <strong>aziende</strong> <strong>ed</strong> <strong>Enti</strong> <strong>dal</strong> <strong>GDPR</strong><br />
Il 25 maggio 2018, è entrato in vigore il Regolamento (UE) 2016/679 (di seguito,<br />
anche, «<strong>GDPR</strong>»), il quale ha tra i suoi obiettivi e novità quelli di:<br />
● armonizzare la disciplina sulla protezione dei dati personali all'interno di tutta<br />
l'Unione europea;<br />
● rafforzare e introdurre nuovi diritti degli interessati;<br />
● attribuire fondamentale importanza ai principi della accountability, della<br />
privacy by design e by default;<br />
● inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato<br />
mondiale annuo del gruppo;<br />
● introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).<br />
Per la conformità al <strong>GDPR</strong>, enti <strong>ed</strong> organizzazioni devono configurare un c.d.<br />
«sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti:<br />
1. Registro dei Trattamenti<br />
2. Informative<br />
3. Lettere di Designazione<br />
4. Proc<strong>ed</strong>ure<br />
5. Registro Data Breach<br />
6. DPIA Data Protection Impact Assessment<br />
1. Registro dei Trattamenti<br />
Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una<br />
organizzazione questa diviene Titolare del Trattamento.<br />
Il Titolare del Trattamento deve tenere un registro che contiene almeno:<br />
○ il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />
contitolare del trattamento, del rappresentante del titolare del trattamento e del<br />
responsabile della protezione dei dati (DPO) ove previsto;<br />
○ le finalità del trattamento, cioè i fini, stabiliti <strong>dal</strong> Titolare del Trattamento, per cui<br />
si trattano i dati;<br />
○ la descrizione delle categorie di interessati e delle categorie di dati personali;<br />
www.iusprivacy.eu, WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag. 1
Servizio online su Cloud per la creazione e il mantenimento di un<br />
Sistema Privacy per la conformità al Regolamento Europeo<br />
679/2016 (<strong>GDPR</strong>)<br />
○ le categorie di destinatari a cui i dati personali sono stati o saranno comunicati<br />
(come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare<br />
affida i dati personali custoditi);<br />
○ ove applicabile, i trasferimenti di dati personali verso un paese terzo o<br />
un'organizzazione internazionale, compresa l'identificazione del paese terzo o<br />
dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma<br />
dell'articolo 49, la documentazione delle garanzie adeguate;<br />
○ ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie<br />
di dati;<br />
○ ove possibile, una descrizione delle misure di sicurezza tecniche e<br />
organizzative di cui all'articolo 32, paragrafo 1.<br />
2. Informative<br />
Ai sensi del <strong>GDPR</strong>, il Titolare adotta misure appropriate per fornire all'interessato<br />
(cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.<br />
M<strong>ed</strong>iante l'impiego dell'informativa il Titolare fornisce agli Interessati tutte le<br />
informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e<br />
facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di<br />
informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto<br />
o con altri mezzi, anche, se del caso, con mezzi elettronici.<br />
Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la cookie<br />
policy.<br />
L'informativa deve contenere almeno:<br />
○ identità del Titolare;<br />
○ dati dei Responsabili e dei Destinatari del Trattamento;<br />
○ eventuali legittimi interessi perseguiti;<br />
○ eventuali trasferimenti di dati all'estero;<br />
○ il periodo di conservazione dei dati personali;<br />
○ diritti degli interessati esercitabili;<br />
○ eventuale trattamento di dati particolari;<br />
○ la natura del conferimento (obbligatorio o meno);<br />
○ eventuale presenza di processi decisionali automatizzati compresa la<br />
profilazione.<br />
www.iusprivacy.eu, WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag. 2
Servizio online su Cloud per la creazione e il mantenimento di un<br />
Sistema Privacy per la conformità al Regolamento Europeo<br />
679/2016 (<strong>GDPR</strong>)<br />
3. Lettere di Designazione<br />
Ai sensi dell'art. 29 del <strong>GDPR</strong> chiunque tratta dati personali per conto del Titolare del<br />
Trattamento deve ricevere specifiche istruzioni.<br />
Il Titolare può ricorrere a:<br />
○ Responsabili del Trattamento, in genere fornitori a cui il Titolare affida i dati<br />
personali;<br />
○ Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema,<br />
ex. Incaricati),costituiti in genere dai dipendenti del Titolare a cui vengono<br />
attribuiti i privilegi di accesso per acc<strong>ed</strong>ere ai dati.<br />
Le designazioni di Responsabili <strong>ed</strong> Autorizzati sono in genere r<strong>ed</strong>atte in forma scritta<br />
m<strong>ed</strong>iante specifiche lettere con termini appropriati.<br />
4. Proc<strong>ed</strong>ure<br />
Il Titolare del Trattamento regola la propria attività m<strong>ed</strong>iante specifiche proc<strong>ed</strong>ure ai<br />
fini di dimostrare la conformità al <strong>GDPR</strong>:<br />
○ Privacy by Design / Default;<br />
○ Gestione delle violazioni dei Dati personali (Data Breach);<br />
○ Gestione esercizio Diritti interessati;<br />
○ Processo per la nomina di Responsabili del Trattamento;<br />
○ Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati).<br />
5. Registro Data Breach<br />
Ai sensi dell'Art. 33 c.5 del <strong>GDPR</strong> "Il Titolare del Trattamento documenta qualsiasi<br />
violazione dei dati personali, comprese le circostanze a essa relative, le sue<br />
conseguenze e i provv<strong>ed</strong>imenti adottati per porvi rim<strong>ed</strong>io. Tale documentazione<br />
consente all'autorità di controllo di verificare il rispetto del presente articolo.<br />
Il Titolare del Trattamento deve tenere un registro preposto alla registrazione delle<br />
violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle<br />
che non vanno notificate al Garante Privacy cioè quelle che non hanno un rischio<br />
elevato per le libertà e i diritti degli interessati.<br />
www.iusprivacy.eu, WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag. 3
Servizio online su Cloud per la creazione e il mantenimento di un<br />
Sistema Privacy per la conformità al Regolamento Europeo<br />
679/2016 (<strong>GDPR</strong>)<br />
6. DPIA Data Protection Impact Assessment<br />
Il <strong>GDPR</strong> impone ai Titolari del Trattamento l'esecuzione della DPIA (Data Protection<br />
Impact Assessment), cioè una valutazione d'impatto ai fini privacy, per tutti quei<br />
trattamenti che possano "...presentare un rischio elevato per i diritti e le libertà delle<br />
persone fisiche" in considerazione della natura, dell'oggetto, del contesto e delle<br />
finalità.<br />
La DPIA è una valutazione che deve essere condotta seguendo specifiche<br />
metodologie (v<strong>ed</strong>i provv<strong>ed</strong>imento WP 248); l'articolo 35 del <strong>GDPR</strong> definisce la DPIA<br />
come uno strumento che, in ossequio al principio di accountability, consente ai<br />
titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.<br />
La conformità al <strong>GDPR</strong> è un percorso che non si esaurisce con la semplice r<strong>ed</strong>azione<br />
di informative da sottoporre alla firme degli interessati.<br />
Ius Privacy è il Software Privacy <strong>GDPR</strong> online su cloud creato per configurare e<br />
gestire, in autonomia, i Sistemi Privacy per l'adeguamento al Regolamento<br />
Europeo 679/2016.<br />
L'assistenza continua dello Staff Legale ti aiuterà, in modo semplice <strong>ed</strong> efficace, nella<br />
configurazione di:<br />
● Registri dei Trattamenti,<br />
● Informative,<br />
● Lettere di Designazione,<br />
● Proc<strong>ed</strong>ure,<br />
● Registro Data Breach,<br />
● DPIA Data Protection Impact Assessment.<br />
www.iusprivacy.eu, WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag. 4