General Data Protection Regulation (GDPR)

Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è la principale normativa europea in materia di protezione dei dati personali, approvata con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio il 27 aprile 2016.
Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.[3][4]

Il regolamento disciplina il trattamento dei soli dati personali unicamente delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni), e pertanto sono esclusi dall'applicazione del codice i dati di identificazione e simili di soggetti aventi personalità giuridica: società di capitali, aziende ed enti pubblici, associazioni e fondazioni, o comunque organizzazioni in genere anche senza personalità giuridica come definita in Italia (imprese non in forma societaria, società di persone, studi professionali e altre situazioni simili). Questo non vale per le ditte individuali, perché in tal caso identità personale e professionale coincidono.

Trattamento dei dati personali: cosa significa?
Il GDPR specifica che con l’espressione “trattamento” si fa riferimento a qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

  • la raccolta
  • la registrazione
  • l’organizzazione
  • la strutturazione
  • la conservazione
  • l’adattamento o la modifica
  • l’estrazione
  • la consultazione
  • l’uso
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione
  • il raffronto o l’interconnessione
  • la limitazione
  • la cancellazione o la distruzione

Figure competenti

Si distinguono diverse figure competenti a cui, ai sensi dell'art. 4 del 'Codice della Privacy', è consentito trattare i dati personali:

  1. Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito, singolarmente o insieme ad altri soggetti, determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f) Qualora un soggetto si trovi ad agire come titolare del trattamento congiuntamente ad altri soggetti anch'essi titolari, è definito contitolare.
  2. Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g) Ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti richiesti dal GDPR e a garantire la tutela dei diritti dell'interessato.
  3. Sub-responsabile del trattamento: quando esistente, è il soggetto nominato responsabile dal responsabile (il prefisso "sub" si riferisce al titolare). Molto frequente nei casi di catene complesse in forza di un perimetro vasto e articolato.
  4. Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare, necessari per eseguire i trattamenti per conto del titolare stesso o per conseguire proprie specifiche finalità.
  5. Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
  6. Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione e trattamento dei dati. (art. 4 comma h)
  7. Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i) Può esercitare i propri diritti, attribuiti dalla normativa, rivolgendosi direttamente al titolare del trattamento.
  8. Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all'Unione Europea. È l'interlocutore tra le autorità di controllo e gli interessati, per le questioni che riguardano il trattamento dei dati.
  9. Designato: è il soggetto, persona fisica, al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.
  10. Amministratore di sistema e custode delle chiavi: sono due figure, non più presenti nel nuovo ordinamento, il cui compito è sovraintendere alle risorse del sistema informativo dell'organizzazione e consentirne l'utilizzazione.

Violazione dei dati ("Data Breach") art. 33 e art. 34

La violazione dei dati personali, nota anche come Data Breach, è una violazione di sicurezza che può verificarsi accidentalmente o in modo illecito e che può comportare la distribuzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Questo tipo di evento può essere causato da una vasta gamma di fattori, come ad esempio attacchi informatici dolosi, incidenti accidentali come una calamità naturale o la semplice perdita di una chiavetta USB.
Il titolare del trattamento dei dati ha l'obbligo legale di rendere noti i Data Breach all'autorità nazionale e di comunicarli entro 72 ore dal momento in cui ne viene a conoscenza.
Inoltre, il titolare del trattamento deve anche fornire un resoconto dettagliato del Data Breach, che deve includere almeno le informazioni descritte nell'Art. 33 del GDPR, come la descrizione della natura del Data Breach, ove possibile, delle categorie e del numero approssimativo di interessati e di registrazioni dei dati personali coinvolte, il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto per ottenere ulteriori informazioni, la descrizione delle probabili conseguenze del Data Breach e la descrizione delle misure adottate o proposte per porre rimedio al Data Breach e per attenuarne gli eventuali effetti negativi.
L'Articolo 34, invece, stabilisce che i titolari del trattamento debbano notificare tempestivamente all'interessato qualsiasi violazione dei dati personali che abbia delle conseguenze gravi per i suoi diritti e libertà.

le conseguenze per le imprese che agiscano in violazione del GDPR comprendono:

  • sanzioni amministrative;
  • sanzioni penali (fino a 6 anni di reclusione);
  • condanna al risarcimento del danno;
  • divieto temporaneo di trattamento dei dati personali (fino a che non venga ripristinata una condizione di conformità alla normativa).

💫 AQademy mette a disposizione dei clienti la propria competenza certificata, offrendo un servizio di assistenza a 360° sull’adempimento del GDPR 679/2016 senza incorrere in pesanti sanzioni come definiscono gli art.83 e 84 del regolamento.

Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Continui la navigazione prestando il tuo consenso
Per personalizzare la tua scelta
Cliccando sul pulsante o chiudendo questa informativa, continui senza accettare.
In qualsiasi momento è possibile modificare o revocare il proprio consenso dal nostro sito Web.
Per maggiori informazioni sui cookie utilizzati, visita la nostra COOKIE POLICY.
Tramite questa scheda, hai la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sul nostro sito web.
COOKIE TECNICI
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per permettere la navigazione dell’utente, che per esempio potrà mantenere aperta la sessione di navigazione alla propria area riservata senza dover eseguire il login ad ogni pagina visitata, oppure potrà selezionare la lingua con cui desidera consultare le pagine del sito senza doverla impostare ogni volta, così come potrà creare e memorizzare nel carrello la lista dei servizi e prodotti desiderati.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE
I cookie di profilazione, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio mostrare messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.