Piccole attività e la Privacy

Anche le piccole attività hanno l'obbligo di produrre la documentazione GDPR 


Non tutti i titolari sanno che,

oltre a rispondere in solido in caso di sanzioni...

la privacy riguarda tutte le attività, nessuna esclusa

chi non è conforme al GDPR  rischia sanzioni anche penali

le sanzioni derivano da controlli a campione o da segnalazioni

le sanzioni sono gravi, fino al 4% del fatturato annuo

meglio non farsi trovare impreparati

quando ci si può adeguare a partire da 190 €

Verifica se sei conforme al Regolamento GDPR

Scopri come avvengono
le ispezioni della G.d.F.

Per saperne di più richiedi una consulenza gratuita

La Privacy in breve

Le norme Privacy garantiscono il diritto alla riservatezza dei dati personali e della vita privata. Le parti in gioco.

L'interessato

Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.

Il Responsabile

Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.

Dati personali comuni

I dati personali sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.. In particolare i dati comuni sono i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);

Sanzioni amministrative e penali

Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano: il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.

Il Titolare

Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

Il DPO, quando è d'obbligo e sanzioni

Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo. Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare. La mancata nomina del DPO, se necessaria, viene sanzionata con il 2% del fatturato annuo dell'esercizio precedente. Verifica qui se la tua attività a l'obbligo di nomina del DPO >. 

Dati personali particolari(sensibili)

Sono i dati personali rientranti in particolari categorie:
• i dati "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;
• i dati "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
• i dati di "profilazione" acquisiti dalle nuove tecnologie e che hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono), ad esempio quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

Chi ne risponde in caso di sanzioni

L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.

Il GDPR per le piccole attività

Obbligo di documentazione GDPR e valutazione DPO. Come fare per adeguarsi alle normative Privacy.

Il cambiamento della società e il progresso tecnologico hanno determinato un forte cambiamento nella gestione dei dati personali, divenuti una vera e propria merce di valore. Il GDPR ha rimesso le persone al centro, restituendo il pieno controllo ai cittadini Europei sui propri dati personali, rafforzando e rendendo più omogenee le norme e le modalità di trattamento dei dati personali all’interno dell’Unione Europea.
Il GDPR si applica in tutte le ipotesi in cui sia posto in essere un trattamento di dati personali. Non esistono, dunque, categorie di soggetti giuridici esentati dal rispetto del GDPR. Il GDPR (UE) 2016/679 è un regolamento europeo che è entrato definitivamente in vigore il 25 maggio 2018 e che introduce una nuova normativa che disciplina il trattamento dei dati personali e la materia della privacy.
In Italia, le aziende, sin dal 2003, avevano dovuto fare i conti con la disciplina introdotta in materia di privacy dal Codice Privacy. Questo testo normativo non è stato abrogato ma è stato fortemente modificato da una specifica normativa di armonizzazione con il D. Lgs. n. 101/2018 per eliminare le disposizioni normative contrastanti con il GDPR e armonizzarlo con la nuova disciplina europea.
Oggi è il GDPR il punto di riferimento da seguire per gestire la privacy in tutti i settori e attività.

Chi deve adeguarsi al GDPR (esempi di attività)

Il GDPR si applica in tutte le attività in cui venga posto in essere un trattamento di dati personali. Il trattamento consiste nel vedere o acquisire o archiviare i dati, le immagini, i video e i documenti delle persone fisiche o aziende personali. Pertanto, tutte le attività sono obbligate a adeguarsi.
Le aziende, in particolare, devono rispettare il GDPR nel trattare dati personali indipendentemente dalla loro dimensione, siano aziende piccole o grandi, tutte devono adeguarsi al GDPR. Le attività da porre in essere per adeguarsi al GDPR sono differenziare a secondo della tipologia e organizzazione aziendale. A titolo di esempio: artigiani, ristoranti, bar, pizzerie, autofficine, negozi di tutti i generi, attività di servizi, biblioteche, attività culturali, musicali, centri estetici, parrucchieri, cooperative, agricoltori, pescatori ....

Come fare per adeguarsi

Per adeguarsi è necessario essere a conoscenza delle normative, per cui l'azienda deve rivolgersi ad un Consulente Privacy che informa il titolare aziendale, acquisisce i dati e prepara la documentazione necessaria comprendente: la valutazione dei rischi e le misure per la loro minimizzazione, il registro dei trattamenti, le nomine ai dipendenti e soggetti esterni, le informative e consensi, i regolamenti interni ...

La formazione obbligatoria dei dipendenti

Il Regolamento Europeo Privacy (GDPR) e il D.lgs. 101-2018 italiano prevedono che ogni Titolare del Trattamento e ogni Responsabile del Trattamento pianifichi Corsi Privacy periodici per tutti i dipendenti e collaboratori autorizzati a trattare dati personali.

Le sanzioni previste dalle normativa

A partire dal 2018, le sanzioni legate alla privacy previste dal GDPR sono determinate in base alla tipologia di violazione compiuta dall’impresa o dal professionista. La violazione nasce anche quando l’impresa o il professionista non mette in atto le misure preventive utili a tutelare i cittadini. Il GDPR regola soltanto le sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo del 2 per cento del fatturato annuo dell’anno precedente per le imprese che, ad esempio, non hanno effettuato la documentazione, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:
- sanzioni penali;
- sanzioni amministrative;
- risarcimento del danno in favore dell’interessato;
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Lighting Design

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.

Architectural Design

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.

La documentazione obbligatoria

I documenti da produrre, conservare e mettere in atto. In sede di ispezioni sono le prime cose che vengono richieste.

1 - REGISTRO TRATTAMENTI

Registri delle attività di trattamento dati del Titolare (dati dei dipendenti, clienti, fornitori, consulenti, trattamento Green Pass...).

2 - INVENTARIO ASSETS AZIENDALI

Risorse tecniche utilizzate per il trattamento dei dati (pc, cellulari, software, sito, e umane (personale interno e esterno).

3 - INFORMATIVE E CONSENSI

Configurazione informative e consensi relative ai  trattamenti (dipendenti, clienti, fornitori...) da consegnare prima di trattare i loro dati.

4 - VALUTAZIONE DEI RISCHI

Valutazione dei rischi che possono danneggiare o rendere indisponibili i dati (virus, furti, incendio, allagamenti, sabotaggi, usi errati...)

5 - MISURE DI SICUREZZA

Misure preventive per minimizzare i rischi relativi alla perdita, danneggiamento o indisponibilità dei dati personali.

6 - NOMINA DEGLI INCARICATI

Sono documenti con istruzioni relative al trattamento dei dati, che devono essere consegnati e firmati dai dipendenti. 

7 - NOMINA RESPONSABILI

Sono documenti con istruzioni relative al trattamento dei dati, da consegnare e far firmare ai soggetti esterni (Commercialista..)

8 - GESTIONE VIOLAZIONE DATI

E' un documento che programma le attività da svolgere e i soggetti coinvolti nel caso di perdita, furto o indisponibilità dei dati.

Consigli da non perdere

Interessante intervista al Comandante della Guardia di Finanza Colonnello Marco Menegazzo. 

Il Comandante del Gruppo Privacy rilascia una breve intervista riguardo
al Regolamento GDPR e agli interventi di verifica del Gruppo Privacy.

Il Regolamento europeo GDPR sulla Privacy

A chi è rivolta la Privacy

La conformità al GDPR

Ispezioni e sanzioni

Lascia la mail per ricevere aggiornamenti o offerte speciali sul tema della Privacy

Siamo qui per aiutarti

Il Team Privacy mette a disposizione del cliente figure professionali di alto livello: Ingeneri, Avvocati, Informatici e Project Manager  



Contatta il Consulente

Scegli il canale più adatto alla tipologia e oggetto della tua richiesta.

Whatsapp

Per comunicazioni urgenti 

Telefono

Per breve colloquio telefonico

E-mail

Per richieste o info documentate

Prenotazione

Per consulenza programmata

© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925

Il sito usa solo cookies necessari che non richiedono consenso. Leggi la Privacy policy.