Trattamento Dati Personali GDPR 679/2016

AQademy, attraverso la partnership con CDS Rete Impresa  mette a disposizione dei clienti la propria competenza certificata, offrendo un servizio di assistenza a 360° sull’adempimento del GDPR 679/2016: effettua l’analisi dell’azienda, individua le attività di trattamento dei dati personali ed elabora il manuale di gestione.
Le imprese che agiscono in violazione del GDPR possono incorrere in sanzioni amministrative, sanzioni penali (fino a 6 anni di reclusione), condanna al risarcimento del danno, divieto temporaneo di trattamento dei dati personali fino al ripristino della condizione di conformità alla normativa.

Brevi accenni al GDPR 2016/679
Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR)  approvato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016 è la principale normativa europea in materia di protezione dei dati personali.
L'obiettivo della Commissione europea, con l'introduzione di questo regolamento, è quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.
Il regolamento disciplina il trattamento dei soli dati personali unicamente delle persone fisiche (ivi compresi quelli di persone fisiche trattati in ambito professionale o associativo o situazioni similari ovvero nei rapporti tra imprese, enti e associazioni), e pertanto sono esclusi dall'applicazione del codice i dati di identificazione e simili di soggetti aventi personalità giuridica: società di capitali, aziende ed enti pubblici, associazioni e fondazioni, o comunque organizzazioni in genere anche senza personalità giuridica come definita in Italia (imprese non in forma societaria, società di persone, studi professionali e altre situazioni simili).
Il criterio non vale per le ditte individuali, perché in tal caso identità personale e professionale coincidono.

Trattamento dei dati personali: cosa significa?
Il GDPR specifica che con l’espressione “trattamento” si fa riferimento a qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Quali sono questi processi?
 
La raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Figure competenti
Si distinguono diverse figure competenti a cui, ai sensi dell'art. 4 del 'Codice della Privacy', è consentito trattare i dati personali:

Titolare del trattamento
: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente a cui è consentito, singolarmente o insieme ad altri soggetti, determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f). Qualora un soggetto si trovi ad agire come titolare del trattamento congiuntamente ad altri soggetti anch'essi titolari, è definito contitolare.

Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente preposto dal titolare al trattamento di dati personali. (art. 4 comma g). Ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti richiesti dal GDPR e a garantire la tutela dei diritti dell'interessato.
Sub-responsabile del trattamento: quando esistente, è il soggetto nominato responsabile dal responsabile (il prefisso "sub" si riferisce al titolare). Molto frequente nei casi di catene complesse in forza di un perimetro vasto e articolato.

Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare, necessari per eseguire i trattamenti per conto del titolare stesso o per conseguire proprie specifiche finalità.

Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.

Incaricato: è la persona fisica autorizzata dal titolare o dal responsabile a compiere operazioni di gestione e trattamento dei dati (art. 4 comma h).

Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i). Può esercitare i propri diritti, attribuiti dalla normativa, rivolgendosi direttamente al titolare del trattamento.
Rappresentante: è la persona fisica designata come responsabile del trattamento in Europa. Questa figura si manifesta solo nel momento in cui i responsabili del trattamento non appartengano all'Unione Europea. È l'interlocutore tra le autorità di controllo e gli interessati, per le questioni che riguardano il trattamento dei dati.

Designato: è il soggetto, persona fisica, al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.

Amministratore di sistema e custode delle chiavi: sono due figure, non più presenti nel nuovo ordinamento, il cui compito è sovraintendere alle risorse del sistema informativo dell'organizzazione e consentirne l'utilizzazione.

Violazione dei dati ("Data Breach") art. 33 e art. 34
La violazione dei dati personali, nota anche come Data Breach, è una violazione di sicurezza che può verificarsi accidentalmente o in modo illecito e che può comportare la distribuzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
Questo tipo di evento può essere causato da una vasta gamma di fattori, come ad esempio attacchi informatici dolosi, eventi accidentali come una calamità naturale o la semplice perdita di una chiavetta USB.
Il titolare del trattamento dei dati ha l'obbligo legale di rendere noti i Data Breach all'autorità nazionale e di comunicarli entro 72 ore dal momento in cui ne viene a conoscenza. Inoltre, il titolare del trattamento deve anche fornire un resoconto dettagliato del Data Breach, che deve includere almeno le informazioni descritte nell'Art. 33 del GDPR, come la descrizione della natura del Data Breach, ove possibile, delle categorie e del numero approssimativo di interessati e di registrazioni dei dati personali coinvolte, il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto per ottenere ulteriori informazioni, la descrizione delle probabili conseguenze del Data Breach e la descrizione delle misure adottate o proposte per porre rimedio al Data Breach e per attenuarne gli eventuali effetti negativi.
L'Articolo 34, invece, stabilisce che i titolari del trattamento debbano notificare tempestivamente all'interessato qualsiasi violazione dei dati personali che abbia delle conseguenze gravi per i suoi diritti e libertà.