Avvocati per aziende

Risolvendo Controversie, Costruendo Successo: la Tua Squadra Legale Aziendale di Fiducia.

Contattaci

by

GDPR e privacy aziendale

GDPR e privacy in azienda | FOTO ARTICOLO PRINCIPALE
Il Regolamento Generale sulla Protezione dei Dati Personali, ovvero il GDPR, che sta per General Data Protection Regulation, Regolamento dell’Unione Europea del 2016 n. 679, è un Regolamento mediante il quale la Commissione Europea intende rafforzare e rendere più omogenea la protezione dei dati personali appartenenti ai cittadini dell’Unione Europea.

Vista la finalità, il citato Regolamento prevede quali sono i requisiti precisi per il trattamento dei dati personali, la trasparenza, la documentazione ed il consenso degli utenti per le organizzazioni che elaborano dati personali nell’area dell’Unione Europea.

Più precisamente, in quanto titolare del trattamento dei dati personali, ogni organizzazione deve assolutamente tenere traccia, monitorare ed avere una precisa base legale come ad esempio il consenso espresso in modo consapevole da parte del soggetto, per le attività di trattamento dei dati personali.

Lo scopo di questo regolamento è insomma quello di garantire alle persone un maggiore controllo dei propri dati personali, nonché garantire alle imprese condizioni di parità e di uniformità all’interno dell’area dell’Unione Europea.

 

 

 

 

Differenze rispetto alle precedenti normative sulla protezione dei dati

Differenza tra codice della privacy e GDPR
Con l’entrata in vigore del più volte citato GDPR, o Regolamento n. 679/2016, le aziende hanno dovuto modificare in modo trasversale la gestione della privacy, precedentemente regolata dal cosiddetto Codice della Privacy.

Il GDPR è stato più volte modificato, specialmente con il Decreto Legislativo 10 agosto 2018 n. 101 che ha adeguato il Codice in materia di protezione dei dati personali, ovvero il Decreto Legislativo 30 giugno 2003 n. 196, alle disposizioni del Regolamento 679/2016.

Le differenze che intercorrono tra il GDPR e il Codice della privacy sono notevoli, infatti il primo ha introdotto nel nostro ordinamento nuovi principi che non possono essere ignorati dalle aziende.

Si pensi al principio di privacy by design e by default, nonché al principio di accountability.

Con riferimento al principio di privacy by design e by default, ovvero alla protezione dei dati fin dalla progettazione, con il GDPR i trattamenti devono essere progettati fin da subito nel pieno rispetto delle regole fissate dal legislatore, prevedendo dunque già nella fase di ideazione che siano adoperati gli strumenti e le impostazioni necessarie per garantire la tutela dei dati personali.

Viceversa, l’approccio del Codice della privacy era completamente diverso, infatti la privacy veniva considerata come elemento finale delle attività di trattamento.

In altre parole, gli eventuali vizi nella raccolta dei dati potevano essere sanati anche dopo che i trattamenti dei dati personali erano già stati posti in essere.

Ancora, con riferimento al principio di accountability, con il Codice della privacy il titolare del trattamento doveva semplicemente assicurarsi di rispettare le misure di sicurezza minime indicate dalla normativa.

Viceversa, con l’arrivo del GDPR, il titolare del trattamento non può limitarsi a seguire l’elenco di misure previste dalla norma in precedenza, ed in sostanza oggi è il responsabile della sicurezza dei dati che è tenuto a trattare, quindi, è divenuto anche responsabile delle misure operative e tecniche che, in virtù delle caratteristiche e alle risorse dell’organizzazione, riterrà più opportune.

Sempre con riferimento all’accountability, con il Codice della privacy non vi erano obblighi particolari in ordine alla tenuta della documentazione comprovante il regolare espletamento dei trattamenti dei dati personali.

Viceversa, con il GDPR è ormai obbligatorio documentare tutti i trattamenti posti in essere, conservare la documentazione dettagliata etc.

In altre parole, il GDPR ha imposto la registrazione di talune informazioni come ad esempio il registro dei trattamenti, le richieste degli interessati, la gestione del data breach etc.

Oltre agli esaminati principi, il GDPR ha introdotto interessanti novità che hanno comprovato il diverso approccio dello stesso rispetto al Codice della privacy, ovvero:

  • L’obbligo di tenere ed aggiornare documenti e registri;
  • La valutazione dei rischi;
  • Regole più chiare sui requisiti che devono rispettare l’informativa ed il consenso;
  • L’obbligo di formazione per gli addetti;
  • La valutazione dei rischi, misure di sicurezza e valutazioni d’impatto;
  • Regole più rigorose per la nomina di un responsabile per il trattamento;
  • Applicazione extraterritoriale della norma;
  • Il consenso valido solo se libero, informato, espresso ed inequivocabile per ogni singolo trattamento.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Quali sono i requisiti del GDPR per le aziende

Il Regolamento Generale sulla Protezione dei Dati personali dell’Unione Europea (GDPR) contiene un insieme di requisiti e di regole su come le aziende devono trattare i dati personali dei soggetti interessati. Ecco quali sono, in sintesi, i requisiti imposti alle aziende:

  1. Trattamento lecito equo e trasparente: la logicità indica che il trattamento è basato su uno scopo legittimo. L’equità, invece, indica che le aziende si assumono la responsabilità e non trattano i dati per scopi diversi da quelli legittimi. Infine, la trasparenza significa che le società devono necessariamente informare gli interessati delle attività di trattamento dei loro dati;
  2. Limitazione dello scopo: le aziende devono limitare il trattamento dei dati, ovvero devono raccogliere solo i dati necessari e non conservare i dati una volta perseguito lo scopo. Pertanto, le aziende sono tenute a vietare il trattamento dei dati personali al di fuori degli scopi legittimi; imporre che non vengano richiesti dati diversi da quelli necessari e cancellare i datti raccolti una volta perseguito lo scopo;
  3. Il consenso: è fondamentale che venga richiesto il consenso chiaro ed esplicito del soggetto interessato al trattamento. Una volta raccolto, deve essere documentato dopodiché l’interessato viene autorizzato a ritirare il proprio consenso in qualsiasi momento;
  4. I diritti degli interessati: agli interessati è riconosciuto il diritto di chiedere all’azienda quali informazioni questa abbia su di loro e quale sia il loro utilizzo. Infine, il soggetto interessato ha il diritto di chiedere la c.d. rettifica oppure di opporsi al trattamento;
  5. Valutazione dell’impatto sulla protezione dei dati: al fine di valutare l’impatto dei cambiamenti o azioni nuove, è necessario condurre una valutazione dell’impatto sulla Protezione dei Dati quando si avvia un nuovo progetto, cambiamento o prodotto. In altre parole, si tratta di una procedura che deve essere effettuata quando avviene una modifica significativa nel trattamento dei dati personali;
  6. Responsabile della protezione dei dati: in caso di trattamento significativo dei dati personali all’interno di una organizzazione, quest’ultima è tenuta a nominare un Responsabile della Protezione dei Dati. Dopo la nomina, quest’ultimo ha la responsabilità di consultare la società sulla conformità ai requisiti del GDPR dell’Ue.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Quali sono i principi chiave del GDPR

Il nuovo Regolamento Generale sulla Protezione dei dati personali stabilisce che il trattamento dei dati debba rispettare i principi definiti nel Regolamento.

I principi chiave del GDPR sono racchiusi negli articoli 5 e seguenti, e sono:

  1. Liceità del trattamento: le società che trattano i dati personali devono farlo in modo lecito. Ciò significa che tutto il trattamento deve basarsi su uno scopo legittimo. Il GDPR elenca i sei scopi legittimi ovvero la limitazione di scopo, ossia il trattamento dei dati deve essere limitato allo scopo legittimo per il quale i suddetti dati sono stati raccolti, la minimizzazione dei dati, ossia è possibile chiedere solamente i dati personali strettamente necessari allo scopo e quindi non è possibile chiedere o conservare dati diversi da quelli necessari; l’accuratezza, ovvero i dati personali degli interessati devono essere accurati e costantemente aggiornati; l’integrità e riservatezza, ossia i dati personali devono essere trattati in modo da garantire una sicurezza accurata, inclusa la protezione da soggetti malintenzionati; equità e trasparenza, ossia i trattamenti dei dati personali devono essere equi, perciò le aziende non devono eseguire trattamenti che non siano legittimi;
  2. Responsabilità: si tratta di un quadro di autodisciplina delle aziende. Più precisamente, queste sono tenute a dimostrare la conformità del trattamento dei dati personali a ciò che è disposto nel Regolamento. In altre parole, le aziende devono essere responsabili delle proprie azioni relative al trattamento dei dati personali ed accollarsi tutti i rischi derivanti dal trattamento dei dati personali.

In conclusione, i requisiti del GDPR si basano sui principi sopra citati, incentrati a loro volta sulla responsabilità, liceità e trasparenza del trattamento dei dati personali.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Valutazione dell’impatto sulla protezione dei dati (DPIA)

valutazione d impatto sulla protezione dei dati aziendali
La Valutazione D’Impatto sulla protezione dei dati, ovvero la Data Protection Impact Assessment, è uno strumento espressamente disciplinato dall’articolo 35 del GDPR il cui scopo è quello di delineare un trattamento dei dati e valutarne la necessità, proporzionalità ed i relativi rischi.

L’approccio basato sul rischio adottato dal GDPR prevede che il soggetto titolare del trattamento dei dati gestisca tutti i potenziali rischi legati alla detenzione dei dati.

Chiaramente per fare ciò è necessario che i suddetti rischi vengano individuati, analizzati, stimati ed attenuati con apposite misure di sicurezza.

La procedura per poter effettuare una valutazione dell’impatto sulla protezione dei dati è piuttosto articolata e prevede le seguenti fasi:

  1. Raccolta delle informazioni: dal DPO e dai vari dipendenti, nonché dai clienti o associazioni di categoria;
    Descrizione dei trattamenti: descrizione analitica delle finalità, delle categorie di persone e dei dati coinvolti, delle basi giuridiche e la valutazione della proporzionalità dei trattamenti;
  2. Data flow: ovvero la descrizione del flusso dei dati, necessario per capire i problemi che potrebbero sorgere e dove intervenire;
    Revisione dei principi e dei diritti: i principi contenuti nel GDPR nonché i diritti dei soggetti interessati devono essere sempre tenuti in considerazione per valutare come i trattamenti incidono sui dati;
  3. Identificazione dei rischi: con conseguente valutazione delle misure per minimizzare o comunque per eliminare i rischi;
  4. Consultazione preventiva: ove non si riesca a stabilire misure volte a mitigare i rischi è necessario rivolgersi preventivamente all’Autorità di controllo;
  5. Revisione e firma: il rapporto finale deve essere sottoposto a revisione dalle parti coinvolte e poi sottoscritto dal titolare del trattamento;
  6. L’eventuale pubblicazione: al fine di garantire la massima trasparenza.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Quali sono i settori chiave di conformità al GDPR per le aziende

Come più volte sottolineato, il GDR impone al titolare del trattamento dei dati l’adozione di particolari misure tecniche organizzative al fine di tutelare i dati da possibili trattamenti illeciti.

Più precisamente, l’articolo 25 del Regolamento introduce il principio di Privacy by Design e Privacy by Default.

Si tratta, come già precisato, di un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo immediatamente gli strumenti e le corrette impostazioni a tutela dei dati.

Un altro settore chiave di conformità al GDPR è sicuramente il trasferimento dei dati extra Europei, espressamente disciplinato dal Capitolo V del Regolamento più volte richiamato.

Nello specifico, è previsto che il trasferimento dei dati personali verso i Paesi extra europei sia consentito solo se:

  1. La Commissione Europea abbia emesso una decisione di adeguatezza nei confronti dello Stato in cui verrà effettuato il trasferimento. Grazie alla suddetta decisione viene riconosciuta l’esistenza o meno di un livello di protezione dei dati equivalente rispetto a quello assicurato nei confini dell’UE;
  2. Sono presenti adeguate garanzie ed a condizione che i soggetti interessati dispongano di diritti esecutivi e mezzi di ricorso efficaci. Nel novero delle garanzie adeguate rientrano, ad esempio, le clausole adottate dalla Commissione (Standard Contractual Clauses SCC), le norme vincolanti d’impresa, i codici di condotta ed i meccanismi di certificazione.

Al di fuori dei casi sopra citati, il trasferimento può avere luogo in presenza di una delle deroghe disciplinate dall’articolo 49 del GDPR, ad esempio ove l’interessato abbia prestato il proprio consenso al trasferimento a seguito di specifica informazione in merito ai rischi connessi allo stesso.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Che impatto ha il GDPR sulle aziende e perché è importante

L’impatto che il GDPR ha avuto sulle aziende è stato davvero notevole.

Il Regolamento ha infatti cambiato il mondo in cui affrontare il tema della tutela della privacy e della riservatezza delle persone.

Anche se molti obblighi sanciti nel GDPR erano già previsti dalla disciplina precedentemente in vigore, quest’ultima è stata spesso sottovalutata sia da soggetti pubblici che privati.

È stato dunque necessario per il legislatore europeo intervenire e determinare così un cambiamento radicale nella gestione dei dati personali.

Tutto ciò, unito anche al fatto che il GDPR prevede anche sanzioni piuttosto aspre in caso di inadempimento, ha indotto molte aziende, che magari in precedenza sottovalutavano la normativa in materia di privacy, ad attivarsi al fine di adeguarsi a ciò che imposto dalla normativa attualmente in essere.

Nonostante ciò, molte realtà aziendali ancora oggi considerano il GDPR come una sorta di rallentamento delle attività aziendali, tuttavia si è subito dimostrato come un valido alleato nella lotta alla gestione dei dati personali.

Non a caso, la maggior parte delle aziende hanno deciso di conformarsi al Regolamento al fine di raggiungere il livello di adeguatezza tale da evitare sanzioni significative che avrebbero potuto compromettere le sorti dell’intera organizzazione: ciò ha spinto a privilegiare una sorta di attività di produzione documentale da esibire in caso di visita ispettiva, in pieno rispetto ai principi su cui si fonda e si erge il GDPR.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Quali sono le azioni e le multe possibili in caso di violazione del GDPR

Ai sensi dell’articolo 58, paragrafo due del Regolamento Ue 2016/679, il Garante può prescrivere le misure correttive nel caso in cui venisse rilevata una violazione delle disposizioni del Regolamento, anche per quanto concerne l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai datti oggetto di violazione.

Le sanzioni sono piuttosto aspre, infatti le pene pecuniarie possono arrivare fino a 10 milioni di euro o, nel caso di imprese, fino al 2% del fatturato annuo mondiale.

Con riferimento alle sanzioni penali, invece, il GDPR non le prevede espressamente, tuttavia lo stesso prevede che ogni singolo Stato membro possa stabilire delle sanzioni penali per la violazione delle norme racchiuse nel Regolamento, nonché le violazioni di norme nazionali adottate in virtù del Regolamento stesso.

Nel nostro Paese, le fattispecie a cui saranno applicabili le sanzioni penali sono:

  • Trattamento illecito dei dati personali;
  • Comunicazione e diffusione di dati personali oggetto di trattamento su larga scala;
  • Acquisizione fraudolenta dei dati personali oggetto di trattamento su larga scala;
  • Falsità nelle dichiarazioni del Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
  • Inosservanza dei provvedimenti emessi dal Garante.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

I vantaggi e le opportunità che il rispetto del GDPR può offrire alle aziende

L’entrata in vigore del GDPR è stata per moltissime aziende una vera e propria opportunità, fonte di importanti vantaggi.

Infatti, pare che circa il 70% delle aziende sia concorde nel ritenere vantaggioso il Regolamento sulla privacy.

Oltre il 50% delle aziende ha inoltre registrato un impatto positivo sul brand e sulla competitività.

Una moltitudine di realtà infatti ritengono che l’esistenza di normative come il GDPR siano una vera e propria necessità per garantire un’adeguata protezione nonché per la data security e per la privacy delle persone.

I vantaggi che derivano dall’attuazione del GDPR sono molteplici.

La maggior parte delle aziende infatti ha riscontrato un effetto positivo rispetto all’aumento della fiducia dei propri clienti nonché una migliore data security e sicurezza generale dei dati gestiti.

In altre parole, l’attuazione del GDPR non deve essere considerata come una sorta di imposizione ma anche come una occasione per le aziende di stare al passo con i tempi e di rassicurare i propri clienti in ordine alla sicurezza della gestione dei dati.

Infine, non adeguarsi alla normativa europea dettata in materia di privacy, vuol dire anche non stare al passo con la concorrenza, il che potrebbe causare problemi alla propria attività.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Linee guida per la conformità al GDPR

Non è facile stabilire se la propria attività sia conforme o meno a ciò che dispone il GDPR in materia di trattamento dei dati personali.

Ecco allora una semplice linea guida da prendere in considerazione per poter valutare se la propria attività sia o meno rispettosa del Regolamento europeo in materia di privacy:

  1. Raccogliere solo dati conformi allo scopo dichiarato;
  2. Conservare i dati per il giusto lasso di tempo: ai sensi del GDPR i dati non possono essere conservati più a lungo del necessario, sicché è necessario definire in modo chiaro e comprensibile quando i dati verranno esattamente eliminati;
  3. Conservare i dati correttamente: ai sensi dell’art. 33 è necessario informare l’Associazione per la protezione dei dati entro 72 ore, in caso di violazione dei dati;
  4. Essere certi dell’età della persona consenziente: ai sensi del GDPR solo le persone con età pari o superiore a 16 anni sono autorizzate a consentire la raccolta dei dati personali, pertanto, se si procede al raccoglimento di dati appartenenti a soggetti con età inferiore a quella appena citata, il consenso non è valido;
  5. Nominare un responsabile per la protezione dei dati (DPO);
  6. Redigere un diario GDPR: in modo da documentarsi come la propria attività rispetti o meno ciò che è disposto nel GDPR. È molto utile poiché fornisce una serie di informazioni essenziali dei dati ove si subisca una violazione degli stessi da parte di soggetti terzi;
  7. Doppio opt in per le iscrizioni alle mail list: per chiunque si iscriva alla mailing list dell’attività, deve effettuare il doppio processo di opt in. Ovvero, saranno tenuti a confermare il loro consenso per due volte. Il primo, quando il modulo di iscrizione è completato, il secondo, invece, mediante il click al link di conferma inviato automaticamente alla registrazione;
  8. Essere il più possibile trasparenti: un’azienda o una qualsiasi attività deve indicare chiaramente quali dati personali vengono raccolti e come verranno usati;
  9. Valutare i rischi di terze parti: essere pienamente conformi al GDPR non significa avere “la propria casa in ordine”. È fondamentale prestare anche attenzione ad eventuali pericoli provenienti da terze parti. È fondamentale essere consapevoli dei rischi per la sicurezza dei dati, con conseguenti sforzi costanti per garantire la massima sicurezza degli stessi.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Perché può essere essenziale rivolgersi ad un avvocato esperto in materia per garantire la conformità al GDPR

Avere al proprio fianco un avvocato specializzato nel settore della privacy è fondamentale per garantire la conformità costante della propria attività a ciò che dispone il GDPR, in modo da evitare spiacevoli sorprese e sanzioni piuttosto aspre.

In sintesi, il confronto costante con un esperto del settore permette di comprendere se sia necessario o meno modificare qualcosa della propria attività per poter essere in linea con la normativa attualmente in essere in materia di riservatezza.

Se sei alla ricerca di un legale, grazie ad Avvocati Per Aziende puoi metterti in contatto con un avvocato specializzato in questa particolare materia e non solo.

Tutto ciò che devi fare è compilare il modulo online, dopodiché verrai ricontattato entro 48H da un avvocato con cui potrai fissare un appuntamento per una consulenza dettagliata.

Contatta l’avvocato per richiedere ADESSO una consulenza

 

 

Vuoi una consulenza legale?

Avvocati Per Aziende è una piattaforma che permette a chiunque, in modo veloce e semplice, di trovare un avvocato specializzato.

Richiedi una consulenza SUBITO

Avvocato Fabrizio Mendola | Consulenza online