GDPR FAQ - Consulenza, Programmi e Soluzioni Informatiche per Aziende e Professionisti

ICT Solutions Provider
Vai ai contenuti

GDPR FAQ

Soluzioni
D. Cosa è il GDPR
R. Regolamento Europeo 2016/679 è il testo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo 679, c’è l’obbligo di predisporre le misure organizzative e tecnologiche per garantire la sicurezza dei dati personali trattati.
L’individuazione delle misure da intraprendere è onere del titolare dl trattamento o del responsabile, se dallo stesso Titolare nominato.
Viene richiesto anche di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, all’autorità di controllo competente, e senza ingiustificato ritardo secondo l’art. 33.

D. Cosa è l'accountability
R. Con applicazione in tutti gli Stati Membri (a partire dal 25 maggio 2018) del regolamento Privacy 679, i Titolari e Responsabili del trattamento dovranno seguire il “principio della accountability” (art. 5 co. 2) che comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV). La dimostrazione riguarda, quindi, sia gli assett documentali che quelli tecnologici che la rendicondazione della formazione acquisita in materia da parte di tutti i soggetti coinvolti nel trattamento dei dati.
D. Il GDPR si occupa di videosorveglianza?
R. Il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico. Restano ad oggi fermi i provvedimenti del Garante italiano in materia.
Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa.
Ad esempio l’angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata.
Alla “videosorveglianza“ che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza, etc.) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.
D. Chi sono i destinatari del GDPR
R. Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy. Il regolamento europeo si rivolge a tutte le aziende, attività professionali presenti negli Stati dell’Unione Europea e a tutte quelle sedi che, pur trovandosi fuori dai confini europei, svolgono un’attività di trattamento dati di individui che si trovano in UE in relazione all’offerta di beni e servizi anche non remunerati e ad attività di monitoraggio del comportamento.
D. Quali sono i soggetti principali del GDPR
R. I principali soggetti della Privacy sono: l’interessato, il titolare del trattamento dei dati, il Responsabile del trattamento, il DPO, il terzo e l’Autorità di Controllo.
Interessato:
la persona fisica cui si riferiscono i dati personali.
Titolare del Trattamento:
La persona fisica, la società, l’associazione o un’altra entità che controlla il trattamento dei dati personali ed è autorizzata a prendere decisioni essenziali sulle finalità e modalità di tale trattamento, comprese le misure di sicurezza applicabili.
Responsabile del Trattamento:
la persona fisica, la società, l’associazione o l’organizzazione a cui il Titolare ha affidato l’attività specifica di gestione e controllo dei dati personali, in base all’esperienza e/o alle competenze pertinenti in materia.
DPO (Data Protection Officer):
il professionista con conoscenze specialistiche sulla legislazione e sulle pratiche in materia di protezione dei dati.
Egli è designato dal Titolare / Responsabile in tre occasioni:
  • il trattamento è effettuato da un’autorità pubblica;
  • il trattamento è su larga scala e coinvolge dati sensibili;
  • il trattamento richiede un controllo regolare e sistematico degli Interessati.
Terzo:
la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento. E’ una persona autorizzata al trattamento dei dati sotto l’autorità diretta del titolare o del responsabile.
Autorità di Controllo:
L’autorità pubblica indipendente istituita da uno Stato membro www.garanteprivacy.it

D. Quando è obbligatorio nominare un DPO
R. Secondo l’art. 37 del GDPR, la nomina di un “responsabile alla protezione dei dati” è sempre obbligatoria per il settore pubblico e per il settore privato, invece, con riferimento alle grandi imprese o alle imprese che effettuato trattamenti a rischio (ad esempio trattamento su larga scala di dati sensibili, monitoraggio regolare e sistematico degli interessati su larga scala).
Il gruppo di lavoro dei garanti europei WP29 ha emanato delle linee guida che chiariscono i concetti di larga scala e monitoraggio regolare e sistematico: ne sono alcuni esempi, gli istituti di videosorveglianza, le ztl, gli ipermercati che usufruiscono di fidelity card, le cliniche mediche e comunque tutte quelle aziende che attraverso il trattamento dei dati hanno una gestione continua e costante del dato stesso e del ciclo di vita del dato.

D. Il DPO (o RDP) deve essere interno o esterno?
R. Secondo il regolamento europeo privacy 679,  la designazione del “Data Protection Officer” può essere affidata a personale interno o esterno di un’azienda con comprovate capacità in aree giuridiche e informatiche (art. 37 comma 5 e 6). Egli avrà il compito di analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della loro gestione/salvaguardia all’interno dell’azienda, secondo le direttive imposte dalle normative vigenti (art. 39).
Può inoltre essere nominato anche fra i dipendenti del responsabile del trattamento, se esterno.

D. Cosa si intende per consenso?
R. Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento).
Il Regolamento UE 2016/679 tratta  negli articoli  7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare.
In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente.
Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.
Il GDPR prevede che il consenso sia GRANULARE ED ESPLICITO; ne deriva quindi l’impossibilità di richiedere, con un’unica firma e/o click su modulo web, il consenso per diverse finalità. (esempi: bisogna richiedere un flag separato per finalità commerciali, finalità di erogazione del servizio, finalità di profilazione, finalità di comunicazione a terzi etc..).
D. Cosa si intende per dato sensibile?
R. Il dato sensibile è il dato personale che, per sua natura, richiede particolare attenzione: i dati sensibili rivelano origine razziale o etnica, credenze religiose o altre convinzioni, opinioni politiche, tesseramento a partiti, sindacati o associazioni, salute e vita sessuale.

D. Cosa si intende per informativa?
R. L’informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi, e come gli stessi vengono utilizzati. È la base giuridica che ti consente di effettuare il trattamento in maniera lecita.
D. Cosa si ntende per profilazione?
R. Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona fisica. Per questa attività il consenso deve essere esplicito.

D. Cosa si intende per pseudonimizzazione?
R. Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile. La pseudonimizzazione si rende necessaria soprattutto nei casi di dati particolarmente sensibili.

Via degli Anemoni, 3
81031 - Aversa (CE)
P. IVA 03619810611

+39 081 5037283
 +39 380 1504663
info[at]expertia.it
Fornitura e Assistenza di Sistemi Informatici, Software Gestionale per Aziende e Professionisti, Soluzioni per la Connettività, Web, eCommerce.
Privacy Policy
Torna ai contenuti