ADEMPIMENTI GDPR

Servizio di consulenza per un ambiente lavorativo sicuro

Ellepi è in grado di supportare le aziende nella gestione di tutti gli adempimenti che il Nuovo Regolamento Europeo per la Protezione dei Dati introduce.

Contattaci

Il regolamento generale sulla protezione dei dati (GDPR – General Data Protection Regulation) stabilisce norme relative alla protezione del trattamento e della libera circolazione dei dati personali delle persone fisiche.

Perché nasce il GDPR

Le ragioni che hanno indotto la Commissione Europea a presentare un nuovo regolamento generale sulla protezione dei dati personali delle persone fisiche (GDPR) sono state principalmente dettate dalle nuove tecnologie che, a loro avviso, hanno consentito alle imprese private, quanto alle autorità pubbliche, di aumentare vertiginosamente la raccolta e l’uso di dati privati nello svolgimento delle loro attività, giungendo così alla conclusione che l’Unione Europea necessitasse di un politica più completa e coerente rispetto al diritto fondamentale alla protezione dei dati personali.

Perchè il GDPR è importante

L’importanza del GDPR ha svariate ragioni che vanno da quelle puramente economiche con il rafforzamento dell’elemento fiduciario fra le parti, al consolidamento dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea che annovera la protezione dei dati personali tra i diritti fondamentali e a garantire alle persone fisiche il controllo dei loro dati personali assicurando la certezza giuridica ed operativa per i soggetti economici e le autorità pubbliche.

GDPR perché adeguarsi

Erroneamente, ma anche per un condizionamento culturale, si tende a considerare la protezione dei dati personali e gli obblighi che ne derivano come adempimenti burocratici fonti solamente di costi aggiuntivi, che non garantiscono la tutela del diritto alla privacy, considerata da molti di difficile attuazione, in virtù del fatto che le nuove tecnologie, internet in primis, ci hanno portato a considerare i dati delle persone come merce scambiabile e utilizzabile per le più disparate finalità.
Questo scenario ha portato l’idea secondo cui l’obiettivo essenziale per far fronte al nuovo GDPR sia di limitarsi al “necessario” al solo fine di evitare sanzioni elevate che il GDPR prevede e che costituiscono la preoccupazione maggiore per le imprese e gli enti.
La nostra Società vive sempre più di “dati” tant’è vero che da qualche anno si parla dei “dati” come “il nuovo petrolio” e che l’internet delle cose IoT, l’automotive, la domotica (tanto per citarne alcune) rivoluzioneranno sempre di più il nostro modo di vivere fornendoci nuovi servizi e beni.
I dati, quindi, sono una fonte “essenziale” della nostra attività, uno strumento indispensabile e come tale gli operatori, le imprese così come i decisori pubblici devono comprendere che la loro protezione significa capacità di gestione dei dati come fattore produttivo in grado portare un vantaggio competitivo.
Occorre quindi una cultura aziendale che sia centrata proprio sui dati.

AMBITO del GDPR (A chi è rivolto?), chi è obbligato, gdpr chi riguarda?

Il GDPR si rivolge a tutte quelle imprese, enti, attività economiche ovvero a qualsiasi organizzazione che effettua qualsiasi operazione o insieme di operazioni (con o senza l’ausilio di processi automatizzati) quali ad esempio la raccolta, la conservazione, registrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto etc.. di dati personali di residenti dell’Unione europea. Per intenderci, in ambito aziendale questi dati possono provenire da dipendenti, fornitori o business partner, clienti, potenziali clienti, candidati in cerca di lavoro e così via.
Sono esclusi dal presente regolamento quei trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico e le autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

GDPR – chi è il Titolare del trattamento, il Responsabile o il Soggetto autorizzato

Abbiamo detto che il GDPR si rivolge a tutte quelle imprese, enti, attività economiche ovvero a qualsiasi organizzazione che effettua “trattamenti” sui dati personali di persone fisiche residenti nell’Unione europea. Ebbene tali organizzazioni sono i cosiddetti “Titolari del trattamento”, in quanto determinano come e perché sono trattati i dati personali, ossia per quali “finalità” vengono raccolti e per quanto tempo devono essere conservati, chi all’interno dell’azienda è autorizzato al loro trattamento (Soggetti autorizzati – esempio tipico determinati dipendenti dell’azienda) oppure chi deve trattare i dati per conto del Titolare stesso (Responsabile al trattamento o Responsabile esterno al trattamento – esempio tipico Il Medico del Lavoro oppure il Consulente del Lavoro o Commercialista).

Dati personali – Definizione

Sono dati personali tutte quelle informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni sociali, stato di salute, situazione economica, ecc. Esempio di dati personali:

  • nome e cognome, indirizzo di residenza, indirizzo email, data e luogo di nascita, numero di telefono, numeri di carta di credito, account name o nick name, indirizzo IP

Sono considerati dati personali anche quei dati le cui informazioni descrivono l’individuo in modo tale da consentirne l’identificazione acquisendo altri dati. Questi tipi di dati sono tutelati allo stesso modo.

Dati particolari – (ex art. 9 e art. 10 del GDPR)

Nel nuovo regolamento europeo, non si parla più di “dati sensibili”, ma di dati soggetti a trattamento speciale, particolare.

Sono considerati dati particolari quelli che rivelano o possono rivelare l’origine razziale ed etnica, gli orientamenti religiosi, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico o sindacale, lo stato di salute, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica e l’orientamento sessuale (ex art. 9 del GDPR).

Sono considerati dati particolari quelli relativi a condanne penali e reati ossia che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale come ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione o la qualità di imputato o di indagato (ex art. 10 del GDPR).

Autorità di Controllo e sanzioni

Ogni Stato dell’Unione europea ha la sua Autorità di controllo, che è competente per la gestione dei reclami o di eventuali violazioni sulla privacy e delle norme nazionali in materia di protezione dei dati personali.
In Italia l’autorità di controllo in materia di protezione dei dati personali è affidata al Garante per la protezione dei dati personali (Garante Privacy), un’autorità amministrativa indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996, n. 675), in attuazione della direttiva comunitaria 95/46/CE.
Si occupa di verificare la conformità alla legge dei trattamenti e prescrivere ai titolari le misure da adottare, esaminare reclami e segnalazioni e decidere su eventuali ricorsi, limitare, sospendere o vietare quei trattamenti che sono in violazione delle norme, adottare le autorizzazioni generali, promuovere codici di deontologia e buona condotta e di partecipare alle attività comunitarie e internazionali (anche quale componente del Gruppo Articolo 29).
Come noto, il GDPR ha previsto rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla privacy tenendo conto, comunque, di una serie di elementi che possono attenuare od aggravare il grado di responsabilizzazione introdotto dallo stesso regolamento europeo:

  • la natura, la gravità e la durata della violazione compreso il numero degli interessati lesi dal danno e il livello del danno da essi subito;
  •  il carattere doloso o colposo della violazione;
  • se siano state adottate misure per attenuare il danno subito dagli interessati;
  • le categorie di dati personali interessate dalla violazione;
  • l’adesione ai codici di condotta o ai meccanismi di certificazione
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento sulla base delle misure tecniche ed organizzative da essi messe in atto;
  • se siano già state commesse precedenti violazioni dal titolare o dal responsabile del trattamento;
  • la notifica della violazione stessa se effettuata dal Titolare o Responsabile o da terzi.
  • qualora siano stati precedentemente disposti provvedimenti nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti.

Il principio di “Accountability” ossia di “Responsabilizzazione” introdotto dal GDPR obbliga i Titolari del trattamento a “considerare” gli eventuali rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli “interessati”. Quindi imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiano pesanti sanzioni.

Richiedi un Check Up Gratuito per la tua azienda.

Verificheremo che sia tutto a norma e che i tuoi dipendenti operino in tutta sicurezza. Chiamaci e risolveremo i tuoi problemi!