RGPD - GDPR

RGPD - GDPR

Notizie Sicurezza Legislazione

Traduzione effettuata da DeepL Traduttore

Cos è?

La RGPD (General Data Protection Regulation), o GDPR (General Data Protection Regulation), è una nuova legge europea che si applica a partire dal 25 maggio 2018.

Riguarda tutti gli organismi e le società che trattano dati personali di persone in Europa, indipendentemente dal paese in cui operano.

 

Parliamo un po' della legge

Consenso

Il consenso deve essere "inequivocabile"

Il consenso al trattamento dei dati è valido se è stato dato da una dichiarazione dell'interessato o da una chiara azione positiva, non da un'omissione, in quanto si basa sull'inazione.

In alcune situazioni, oltre ad essere inequivocabile, deve essere esplicito:

• Trattamento dei dati sensibili.
• Processo decisionale automatizzato.
• Trasferimenti internazionali.

Il consenso può essere inequivocabile e può essere implicitamente dato quando viene dedotto da un'azione dell'utente (ad esempio, quando egli continua a navigare in un sito web e quindi accetta l'uso di cookie per monitorare la sua navigazione).

I dati rimarranno legittimi fintanto che il consenso è stato ottenuto secondo le modalità previste nella GDPR, ossia attraverso una manifestazione o un'azione positiva.

 

Trasparenza

Dovrebbero essere evitate formulazioni particolarmente complesse che contengano riferimenti a testi giuridici.

Dovrebbero essere fornite informazioni sui motivi e sulle finalità per cui tali dati sono ottenuti.

 

Diritti

Procedura per l'esercizio

Gli utenti devono essere agevolati nell'esercizio dei loro diritti e le procedure e i moduli necessari a tal fine devono essere visibili, accessibili e semplici.

I responsabili sono tenuti a consentire la presentazione delle domande per via elettronica, in particolare quando il trattamento viene effettuato con tali mezzi.

L'esercizio dei diritti è gratuito.

La persona responsabile deve informare l'utente del seguito dato alla sua richiesta entro un mese (altri due mesi possono essere prorogati in caso di richieste particolarmente complesse e tale proroga deve essere notificata entro il primo mese).

Se decide di non dare seguito a una richiesta, la persona responsabile ne informa la Commissione entro un mese dalla presentazione, motivando il suo rifiuto.

I responsabili dovrebbero adottare misure per verificare l'identità di coloro che chiedono l'accesso e di coloro che esercitano i diritti.

 

Diritto di accesso

I responsabili saranno in grado di rispettare tale diritto fornendo un accesso remoto a un sistema sicuro che offra all'interessato l'accesso diretto ai propri dati personali.

Il diritto di ottenere una copia dei dati personali trattati è riconosciuto.

 

Diritto all'oblio

Occorre prevedere una procedura per l'esercizio del diritto di cancellazione dei dati personali.

Si tratta di una manifestazione dei diritti di cancellazione o opposizione nell'ambiente online.

 

Limitazione del trattamento

Consiste nel non applicare i Suoi dati personali alle operazioni di trattamento utilizzate.

A tale diritto si applicano gli stessi termini e le stesse procedure previsti per gli altri diritti previsti nella RGPD.

 

Portabilità

Il diritto alla portabilità fornisce all'interessato una copia dei suoi dati, che deve essere fornita in un formato strutturato, di uso comune e leggibile meccanicamente.

Tale diritto può essere esercitato solo:

• Quando il trattamento è effettuato con mezzi automatizzati.
• Se il trattamento è basato sul consenso o su un contratto.
• Qualora l'interessato ne faccia richiesta per quanto riguarda i dati forniti al responsabile del trattamento e che lo riguardano, compresi i dati derivanti dall'attività dell'interessato stesso.

 

Analisi dei rischi

Tutti i responsabili devono effettuare una valutazione dei rischi delle operazioni di trattamento effettuate.

Organizzazioni di grandi dimensioni: di norma, l'analisi dovrebbe essere effettuata utilizzando uno dei metodi di analisi dei rischi esistenti.

Organizzazioni più piccole e trattamenti meno complessi: l'analisi sarà il risultato di una riflessione scarsamente documentata sulle implicazioni del trattamento per i diritti e le libertà degli utenti.

 

Protezione dei dati fin dalla progettazione e per impostazione predefinita

I manager dovrebbero adottare misure e tecniche per integrare i principi della RGPD nei loro trattamenti.

I responsabili delle decisioni dovrebbero adottare misure per garantire che siano trattati solo i dati necessari, la durata del trattamento, i periodi di conservazione e l'accessibilità dei dati.

 

Misure di sicurezza

I responsabili stabiliscono le misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato, in funzione dei rischi individuati nell'analisi preliminare.

 

Notifica di "violazioni dei dati"

In caso di violazione della sicurezza dei dati, il responsabile del trattamento deve informarne l'autorità competente in materia di protezione dei dati, a meno che sia improbabile che la violazione costituisca un rischio per i diritti e le libertà degli interessati.

Il fallimento deve essere notificato alle autorità senza indebito ritardo e, se possibile, entro 72 ore dal momento in cui la persona responsabile ne è venuta a conoscenza.

I responsabili devono documentare tutte le violazioni della sicurezza.

Nei casi in cui comporta un rischio elevato per i diritti o le libertà degli utenti, la notifica all'autorità di controllo è integrata da una notifica a quest'ultima.

L'obiettivo è quello di consentire loro di adottare misure per proteggersi dalle conseguenze. Lo scopo è sempre quello di consentire all'utente interessato di reagire il più rapidamente possibile.

La GDPR integra il contenuto della notifica con raccomandazioni sulle misure che le parti interessate possono adottare per far fronte alle conseguenze del foro.

 

Valutazione d'impatto sulla protezione dei dati

I responsabili del trattamento effettuano una valutazione d'impatto sulla protezione dei dati.

Quando l'analisi è effettuata su operazioni di trattamento avviate prima della data di applicazione della GDPR, queste presentano un rischio elevato per i diritti o le libertà degli interessati.

 

Responsabile della protezione dei dati

La figura del responsabile della protezione dei dati (RPD) è obbligatoria nei seguenti casi:

• Autorità e organismi pubblici.
• Responsabili o dirigenti le cui principali attività comprendono operazioni di trattamento che richiedono l'osservazione regolare e sistematica delle parti interessate su larga scala.
• Persone responsabili o incaricate del trattamento su vasta scala di dati sensibili come una delle loro principali attività.

Il RPD dovrebbe essere nominato sulla base delle sue qualifiche professionali e, in particolare, della sua conoscenza del diritto e della prassi in materia di protezione dei dati.

La designazione del RPD e i suoi estremi dovrebbero essere resi pubblici dalle persone responsabili e comunicati alle autorità di vigilanza competenti..

 

Trattamento dei dati dei minori

Il consenso sarà valido solo a partire dall'età di 16 anni, con il consenso dei genitori o di chi ne fa le veci.

La GDPR consente agli Stati membri di stabilire un limite di età inferiore, a condizione che non abbia meno di 13 anni..

Nel caso della Spagna, la LOPD fissa di norma l'età a 14 anni..

Sanzioni

Violazione Leggera

Fino a 10.000.000 di euro o 2% dell'esercizio precedente*

• Mancato consenso da parte dei minori
• Non applicare misure tecniche e organizzative di default
• Nessuna registrazione delle attività di trattamento disponibile
• Non segnalare violazioni della sicurezza
• Non realizzazione della valutazione d'impatto
• Nessuna designazione RPD

 

Violazione Grave o Gravissima

Fino a 20.000.000 € o 4% dell'esercizio precedente*.

• Mancata conformità ai principi della GDPR
• Inosservanza dei diritti degli interessati
• Inosservanza dei requisiti internazionali in materia di trasferimento dei dati
• Inosservanza della risoluzione dell'Autorità di controllo

 

 * Si applica l'importo più alto

 

Elenco conformità

L'AEPD ha pubblicato un elenco di conformità sull'GDPR, per scaricarlo cliccare qui.