Skip to main content

Trattamento dei dati personali (GDPR): dal 25 maggio 2018 entrano in vigore le nuove regole. Obbligatorio adeguarsi

23 Maggio 2018

Il prossimo 25 maggio 2018 entra in vigore in tutta Europa il nuovo regolamento UE 2016/679 sulla protezione dei dati (Gdpr). Tutti gli enti e...

 

 

Il prossimo 25 maggio 2018 entra in vigore in tutta Europa il nuovo regolamento UE 2016/679 sulla protezione dei dati (Gdpr). Tutti gli enti e organizzazioni, anche non profit, saranno soggette e obbligati ad adottarla. Pubblichiamo alcuni suggerimenti sui principali cambiamenti e le procedure da adottare per essere in regola, e la modulistica necessaria.

1. PRIVACY E ADEMPIMENTI NECESSARI

Visto che per le nostre attività raccogliamo dati comuni- secondo la definizione del regolamento UE (anagrafe, indirizzi personali, indirizzi mail).

Devono essere individuate le seguenti FIGURE:

1) Titolare del trattamento dei dati ( legale rappresentante)– determina le finalità ei mezzi del trattamento dei dati
2) Responsabile del trattamento dei dati ( nominato dal titolare del trattamento dei dati) – il soggetto che tratta dati personali per conto del titolare e può essere interno od esterno – necessita di nomina formale – Consulente del lavoro responsabilità esplicita
3) Responsabile della protezione dei dati – per noi non obbligatorio – ma consigliato anche per chi deve occuparsi di soli dati comuni – non devono esserci conflitti di interessi – non esiste un albo può essere una società od una singola persona è un tecnico e non il responsabile.
> Compiti: informazione, consulenza e formazione per il titolare il/i responsabili ed gli incaricati del trattamento;
> Sorveglianza in merito alla osservanza del regolamento;
> Fornisce il parere sulla valutazione di impatto e ne sorveglia il seguito, coopera con il garante della privacy ed è referente per gli interessati del trattamento, i dati devono essere notificati al garante ed indicati nell’informativa;
> Non deve ricevere istruzioni per l’esecuzione dei suoi compiti.
Incaricati del - o autorizzati al - trattamento dei dati (nomina formale) – sono le persone che hanno accesso ai dati personale e agiscono sotto l’autorità del responsabile del trattamento – (nomina formale da parte del titolare del trattamento dei dati, es: consulente del lavoro)
Amministratori di sistema – addetto in maniera non occasionale alla gestione o manutenzione di impianti di elaborazione informatica con cui vengono effettuati trattamenti dei dati personali 8 system administarator, web administrator, nomina formale

2. INFORMATIVA SUL TRATTAMENO DEI DATI

L’informativa è sempre necessaria anche quando non deve essere richiesto il consenso

Il titolare del trattamento dati può delegare il responsabile o gli incaricati a rendere l’informativa, ma ne è comunque responsabile

Bisogna distinguere tra:

- Dati raccolti presso l’interessato – va fornita presso l’interessato
- Dati raccolti presso terzi – va fornita comunicazione entro un mese al massimo
- Nuova informativa – se cambia la finalità del trattamento
Informazioni aggiunte dal Regolamento UE 2016/679 da fornire all’interessato di cui si trattano i dati oltre a quelli previsti dalla normativa vigente Codice della Privacy ( art 15/22).

COSA VA INDICATO NELL'INFORMATIVA ?

- Dati di contatto del responsabile della protezione dei dati (nominato per obbligo o facoltà);
- Se la comunicazione dei dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto;
- Per i trattamenti basati sul legittimo interesse bisogna indicare quali sono;
- Il periodo di conservazione dei dati e il criterio per determinarlo;
- Il diritto alla limitazione dei dati e alla portabilità;
- La possibilità di revocare il consenso al trattamento dei dati in qualsiasi momento;
- Il diritto di proporre il reclamo al garante;
- Se si prevede l’utilizzo dei dati in un processo decisionale automatizzato o di profilazione ( definita dal regolamento UE come : qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica);
- Le categorie dei dati personali trattati;
- La fonte da cui hanno origine i dati.

3. Il CONSENSO

Art. 6 regolamento UE

- Il trattamento dei dati è necessario per eseguire un contratto o misure precontrattuali in cui è parte l’interessato (es: non serve il consenso per il trattamento dei dati per l’iscritto ad una associazione locale se sto eseguendo il contratto di associazione);
- Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento (Il datore di lavoro, Titolare del trattamento dei dati, non deve raccogliere il consenso del dipendente per poter inviare alla agenzia delle entrate i dati relativi alla sua ritenuta d’acconto, perché è un obbligo di legge);
- Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona (persona al pronto soccorso in stato di incoscienza);
- Il trattamento dei dati è necessario per l’esecuzione di un compito di interesse pubblico da parte del titolare del trattamento (es tutela dei diritti delle persone on disabilità, videosorveglianza di complessi pubblici);
- Il trattamento dei dati è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (promozione telefonica, nei casi consentiti dalla legge);
- Il trattamento dei dati è necessario quando è stato raccolto il consenso dell’interessato.
> Il consenso è necessario per trattare i dati in modo lecito in assenza delle condizioni di liceità previste dall’art.6 del regolamento

> Il consenso non è valido se non è preceduta da una informativa sul trattamento dei dati personali

> Il consenso deve essere libero (es L’esecuzione del contratto non può essere subordinata al rilascio del consenso per l’invio della pubblicità)

> Il consenso deve essere consapevole e inequivocabile, basato su una azione positiva dell’interessato

> Deve essere richiesto un consenso distinto e separato per ciascuna finalità del trattamento dei dati personali;

> Obbligo di prova di aver raccolto il consenso a carico del titolare del trattamento

> Obbligo di revisionare le richieste di consenso al trasferimento dei dati formulate ante regolamento UE

DIRITTI DELL'INTERESSATO : (art. 15-22)

- L’interessato può esercitare i propri diritti nei confronti del titolare senza particolari formalità, con una semplice richiesta

RISPOSTA DELL'INTERESSATO :

- Entro un mese + due mesi di proroga se richiesta complessa(art 12, par 3)
- Mancata risposta da diritto al ricorso al garante della privacy o autorità giudiziaria

DIRITTO ALL'OBLIO
L’interessato può chiedere la CANCELLAZIONE dei dati se:

- È esaurita la finalità del trattamento;
- E’ stato revocato il consenso;
- E’ stata fatta opposizione al trattamento
- I dati sono trattati in violazione della legge
NON PUO' OTTENERLA nella misura in cui il trattamento dei dati è necessario:

- per l’adempimento di un obbligo di legge;
- per motivi di interesse pubblico compresi assistenza e terapie sanitarie o sociali e la gestione di sistemi e servizi sanitari o sociali (art 9 par 2 lettera h, i ).
In alternativa alla distruzione dei dati si può procedere anche a una anonimizzazione degli stessi, la semplice pseudonimizzazione (ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente) non è ritenuta congrua.

DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO

- In caso di dati inesatti, fino a che non vengano ratificati
- In caso di contestazione fino al chiarimento
Su richiesta in alternativa alla cancellazione, perché il trattamento è illecito e l’interesato vuole che esso sia limitato oppure perché i dati sono necessari all’interessato per l’accertamento, l’esercizio o la difesa in sede giudiziaria.

DIRITTO ALLA PORTABILITA' DEI DATI
Il diritto si può esercitare :

- in caso di trattamento necessario per eseguire il contratto;
- in caso di trattamento dei dati basati sul consenso.
- se il trattamento è effettuato con mezzi autorizzati
- l’interessato può chiedere di ricevere i dati in modo chiaro e leggibile
- di ottenere il trasferimento automatico ad altro fornitore, quando fattibile
Non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il Titolare del trattamento