200000243_IUS PRIVACY_ I 6 obblighi imposti alle aziende ed Enti dal GDPR
31.03.2019 Views
Share Embed Flag

200000243_IUS PRIVACY_ I 6 obblighi imposti alle aziende ed Enti dal GDPR

ePAPER READ
DOWNLOAD ePAPER
mikeryan84

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

I 6 <strong>obblighi</strong> <strong>imposti</strong> <strong>alle</strong> <strong>aziende</strong> <strong>ed</strong> <strong>Enti</strong> <strong>dal</strong> <strong>GDPR</strong><br />

Il ​25 maggio 2018​, è entrato in vigore il ​Regolamento (UE) 2016/679 (di seguito,<br />

anche, «​<strong>GDPR</strong>​»), il quale ha tra i suoi obiettivi e novità quelli di:<br />

● armonizzare la disciplina sulla protezione dei dati personali all'interno di tutta<br />

l'Unione europea;<br />

● rafforzare e introdurre nuovi diritti degli interessati;<br />

● attribuire fondamentale importanza ai ​principi della accountability​, della<br />

privacy by design e by default​;<br />

● inasprire le sanzioni portandole sino a ​€ 20.000.000 o al ​4% del fatturato<br />

mondiale annuo del gruppo​;<br />

● introdurre la figura del ​Data Protection Officer​ (di seguito, anche, «​DPO​»).<br />

Per la conformità al <strong>GDPR</strong>, enti <strong>ed</strong> organizzazioni devono configurare un c.d.<br />

«​sistema privacy​», che si evolve nel tempo, costituito dai seguenti componenti:<br />

1. Registro dei Trattamenti<br />

2. Informative<br />

3. Lettere di Designazione<br />

4. Proc<strong>ed</strong>ure<br />

5. Registro Data Breach<br />

6. DPIA Data Protection Impact Assessment<br />

1. Registro dei Trattamenti<br />

Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una<br />

organizzazione questa diviene Titolare del Trattamento.<br />

Il ​Titolare del Trattamento​ deve tenere un registro che contiene almeno:<br />

○ il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del<br />

contitolare del trattamento, del rappresentante del titolare del trattamento e del<br />

responsabile della protezione dei dati (DPO) ove previsto;<br />

○ le ​finalità del trattamento​, cioè i fini, stabiliti <strong>dal</strong> Titolare del Trattamento, per cui<br />

si trattano i dati;<br />

○ la descrizione delle ​categorie di interessati​ e delle categorie di dati personali;<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 1

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

○ le categorie di destinatari a cui i dati personali sono stati o saranno comunicati<br />

(come per es. i ​Responsabili del Trattamento​, cioè i fornitori, a cui il titolare<br />

affida i dati personali custoditi);<br />

○ ove applicabile, i trasferimenti di dati personali verso un paese terzo o<br />

un'organizzazione internazionale, compresa l'identificazione del paese terzo o<br />

dell'organizzazione internazionale e, per i trasferimenti di cui al ​secondo comma<br />

dell'articolo 49​, la documentazione delle garanzie adeguate;<br />

○ ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie<br />

di dati;<br />

○ ove possibile, una ​descrizione delle misure di sicurezza tecniche e<br />

organizzative​ di cui all'​articolo 32, paragrafo 1​.<br />

2. Informative<br />

Ai sensi del <strong>GDPR</strong>, il Titolare adotta misure appropriate per fornire all'​interessato<br />

(cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.<br />

M<strong>ed</strong>iante l'impiego dell'informativa ​il Titolare fornisce agli Interessati tutte le<br />

informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e<br />

facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di<br />

informazioni destinate specificamente ai minori​. Le informazioni sono fornite per iscritto<br />

o con altri mezzi, anche, se del caso, con mezzi elettronici.<br />

Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la ​cookie<br />

policy​.<br />

L'informativa deve contenere almeno:<br />

○ identità del Titolare;<br />

○ dati dei Responsabili e dei Destinatari del Trattamento;<br />

○ eventuali legittimi interessi perseguiti;<br />

○ eventuali trasferimenti di dati all'estero;<br />

○ il periodo di conservazione dei dati personali;<br />

○ diritti degli interessati esercitabili;<br />

○ eventuale trattamento di dati particolari;<br />

○ la natura del conferimento (obbligatorio o meno);<br />

○ eventuale presenza di processi decisionali automatizzati compresa la<br />

profilazione.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 2

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

3. Lettere di Designazione<br />

Ai sensi dell'​art. 29 del <strong>GDPR</strong> chiunque tratta dati personali per conto del Titolare del<br />

Trattamento deve ricevere specifiche istruzioni.<br />

Il Titolare può ricorrere a:<br />

○ Responsabili del Trattamento​, in genere fornitori a cui il Titolare affida i dati<br />

personali;<br />

○ Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema,<br />

ex. Incaricati),costituiti in genere dai dipendenti del Titolare a cui vengono<br />

attribuiti i privilegi di accesso per acc<strong>ed</strong>ere ai dati.<br />

Le designazioni di Responsabili <strong>ed</strong> Autorizzati sono in genere r<strong>ed</strong>atte in forma scritta<br />

m<strong>ed</strong>iante specifiche lettere con termini appropriati.<br />

4. Proc<strong>ed</strong>ure<br />

Il Titolare del Trattamento regola la propria attività m<strong>ed</strong>iante specifiche proc<strong>ed</strong>ure ai<br />

fini di dimostrare la conformità al <strong>GDPR</strong>:<br />

○ Privacy by Design / Default;<br />

○ Gestione delle violazioni dei Dati personali (​Data Breach​);<br />

○ Gestione ​esercizio Diritti interessati​;<br />

○ Processo per la ​nomina di Responsabili del Trattamento​;<br />

○ Processo per la ​nomina di Soggetti Autorizzati (Ex. Incaricati)​.<br />

5. Registro Data Breach<br />

Ai sensi dell'​Art. 33 c.5 del <strong>GDPR</strong> "​Il Titolare del Trattamento documenta qualsiasi<br />

violazione dei dati personali, comprese le circostanze a essa relative, le sue<br />

conseguenze e i provv<strong>ed</strong>imenti adottati per porvi rim<strong>ed</strong>io. Tale documentazione<br />

consente all'autorità di controllo di verificare il rispetto del presente articolo.<br />

Il Titolare del Trattamento deve tenere un registro preposto alla registrazione delle<br />

violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle<br />

che non vanno notificate al ​Garante Privacy cioè quelle che non hanno un rischio<br />

elevato per le libertà e i diritti degli interessati.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 3

Servizio online su Cloud per la creazione e il mantenimento di un<br />

Sistema Privacy per la conformità al Regolamento Europeo<br />

679/2016 (<strong>GDPR</strong>)<br />

6. DPIA Data Protection Impact Assessment<br />

Il <strong>GDPR</strong> impone ai Titolari del Trattamento l'esecuzione della ​DPIA (Data Protection<br />

Impact Assessment)​, cioè una valutazione d'impatto ai fini privacy, per tutti quei<br />

trattamenti che possano "​...presentare un rischio elevato per i diritti e le libertà delle<br />

persone fisiche​" in considerazione della natura, dell'oggetto, del contesto e delle<br />

finalità.<br />

La DPIA è una valutazione che deve essere condotta seguendo specifiche<br />

metodologie (v<strong>ed</strong>i provv<strong>ed</strong>imento ​WP 248​); l'​articolo 35 del <strong>GDPR</strong> definisce la DPIA<br />

come uno strumento che, in ossequio al ​principio di accountability​, consente ai<br />

titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.<br />

La conformità al <strong>GDPR</strong> è un percorso che non si esaurisce con la semplice r<strong>ed</strong>azione<br />

di informative da sottoporre alla firme degli interessati.<br />

Ius Privacy è il Software Privacy <strong>GDPR</strong> online su cloud creato per configurare e<br />

gestire, in autonomia, i Sistemi Privacy per l'adeguamento al Regolamento<br />

Europeo 679/2016.<br />

L'assistenza continua dello Staff Legale ti aiuterà, in modo semplice <strong>ed</strong> efficace, nella<br />

configurazione di:<br />

● Registri dei Trattamenti,<br />

● Informative,<br />

● Lettere di Designazione,<br />

● Proc<strong>ed</strong>ure,<br />

● Registro Data Breach,<br />

● DPIA Data Protection Impact Assessment.<br />

www.iusprivacy.eu​, ​WRP srl - Via Don Orione 19, 90142 Palermo, C.F./P.I. 05395060824 pag.​ 4

logo

Prodotti

Risorse

Aziende

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!