Trattamento dei dati personali (GDPR): dal 25 maggio 2018 entrano in vigore le nuove regole. Obbligatorio adeguarsi

Il prossimo 25 maggio 2018 entra in vigore in tutta Europa il nuovo regolamento UE 2016/679 sulla protezione dei dati (Gdpr). Tutti gli enti e...

 

 

Il prossimo 25 maggio 2018 entra in vigore in tutta Europa il nuovo regolamento UE 2016/679 sulla protezione dei dati (Gdpr). Tutti gli enti e organizzazioni, anche non profit, saranno soggette e obbligati ad adottarla. Pubblichiamo alcuni suggerimenti sui principali cambiamenti e le procedure da adottare per essere in regola, e la modulistica necessaria.

1. PRIVACY E ADEMPIMENTI NECESSARI

Visto che per le nostre attività raccogliamo dati comuni- secondo la definizione del regolamento UE (anagrafe, indirizzi personali, indirizzi mail).

Devono essere individuate le seguenti FIGURE:

1) Titolare del trattamento dei dati ( legale rappresentante)– determina le finalità ei mezzi del trattamento dei dati
2) Responsabile del trattamento dei dati ( nominato dal titolare del trattamento dei dati) – il soggetto che tratta dati personali per conto del titolare e può essere interno od esterno – necessita di nomina formale – Consulente del lavoro responsabilità esplicita
3) Responsabile della protezione dei dati – per noi non obbligatorio – ma consigliato anche per chi deve occuparsi di soli dati comuni – non devono esserci conflitti di interessi – non esiste un albo può essere una società od una singola persona è un tecnico e non il responsabile.
> Compiti: informazione, consulenza e formazione per il titolare il/i responsabili ed gli incaricati del trattamento;
> Sorveglianza in merito alla osservanza del regolamento;
> Fornisce il parere sulla valutazione di impatto e ne sorveglia il seguito, coopera con il garante della privacy ed è referente per gli interessati del trattamento, i dati devono essere notificati al garante ed indicati nell’informativa;
> Non deve ricevere istruzioni per l’esecuzione dei suoi compiti.
Incaricati del - o autorizzati al - trattamento dei dati (nomina formale) – sono le persone che hanno accesso ai dati personale e agiscono sotto l’autorità del responsabile del trattamento – (nomina formale da parte del titolare del trattamento dei dati, es: consulente del lavoro)
Amministratori di sistema – addetto in maniera non occasionale alla gestione o manutenzione di impianti di elaborazione informatica con cui vengono effettuati trattamenti dei dati personali 8 system administarator, web administrator, nomina formale

2. INFORMATIVA SUL TRATTAMENO DEI DATI

L’informativa è sempre necessaria anche quando non deve essere richiesto il consenso

Il titolare del trattamento dati può delegare il responsabile o gli incaricati a rendere l’informativa, ma ne è comunque responsabile

Bisogna distinguere tra:

- Dati raccolti presso l’interessato – va fornita presso l’interessato
- Dati raccolti presso terzi – va fornita comunicazione entro un mese al massimo
- Nuova informativa – se cambia la finalità del trattamento
Informazioni aggiunte dal Regolamento UE 2016/679 da fornire all’interessato di cui si trattano i dati oltre a quelli previsti dalla normativa vigente Codice della Privacy ( art 15/22).

COSA VA INDICATO NELL'INFORMATIVA ?

- Dati di contatto del responsabile della protezione dei dati (nominato per obbligo o facoltà);
- Se la comunicazione dei dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto;
- Per i trattamenti basati sul legittimo interesse bisogna indicare quali sono;
- Il periodo di conservazione dei dati e il criterio per determinarlo;
- Il diritto alla limitazione dei dati e alla portabilità;
- La possibilità di revocare il consenso al trattamento dei dati in qualsiasi momento;
- Il diritto di proporre il reclamo al garante;
- Se si prevede l’utilizzo dei dati in un processo decisionale automatizzato o di profilazione ( definita dal regolamento UE come : qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica);
- Le categorie dei dati personali trattati;
- La fonte da cui hanno origine i dati.

3. Il CONSENSO

Art. 6 regolamento UE

- Il trattamento dei dati è necessario per eseguire un contratto o misure precontrattuali in cui è parte l’interessato (es: non serve il consenso per il trattamento dei dati per l’iscritto ad una associazione locale se sto eseguendo il contratto di associazione);
- Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del trattamento (Il datore di lavoro, Titolare del trattamento dei dati, non deve raccogliere il consenso del dipendente per poter inviare alla agenzia delle entrate i dati relativi alla sua ritenuta d’acconto, perché è un obbligo di legge);
- Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona (persona al pronto soccorso in stato di incoscienza);
- Il trattamento dei dati è necessario per l’esecuzione di un compito di interesse pubblico da parte del titolare del trattamento (es tutela dei diritti delle persone on disabilità, videosorveglianza di complessi pubblici);
- Il trattamento dei dati è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (promozione telefonica, nei casi consentiti dalla legge);
- Il trattamento dei dati è necessario quando è stato raccolto il consenso dell’interessato.
> Il consenso è necessario per trattare i dati in modo lecito in assenza delle condizioni di liceità previste dall’art.6 del regolamento

> Il consenso non è valido se non è preceduta da una informativa sul trattamento dei dati personali

> Il consenso deve essere libero (es L’esecuzione del contratto non può essere subordinata al rilascio del consenso per l’invio della pubblicità)

> Il consenso deve essere consapevole e inequivocabile, basato su una azione positiva dell’interessato

> Deve essere richiesto un consenso distinto e separato per ciascuna finalità del trattamento dei dati personali;

> Obbligo di prova di aver raccolto il consenso a carico del titolare del trattamento

> Obbligo di revisionare le richieste di consenso al trasferimento dei dati formulate ante regolamento UE

DIRITTI DELL'INTERESSATO : (art. 15-22)

- L’interessato può esercitare i propri diritti nei confronti del titolare senza particolari formalità, con una semplice richiesta

RISPOSTA DELL'INTERESSATO :

- Entro un mese + due mesi di proroga se richiesta complessa(art 12, par 3)
- Mancata risposta da diritto al ricorso al garante della privacy o autorità giudiziaria

DIRITTO ALL'OBLIO
L’interessato può chiedere la CANCELLAZIONE dei dati se:

- È esaurita la finalità del trattamento;
- E’ stato revocato il consenso;
- E’ stata fatta opposizione al trattamento
- I dati sono trattati in violazione della legge
NON PUO' OTTENERLA nella misura in cui il trattamento dei dati è necessario:

- per l’adempimento di un obbligo di legge;
- per motivi di interesse pubblico compresi assistenza e terapie sanitarie o sociali e la gestione di sistemi e servizi sanitari o sociali (art 9 par 2 lettera h, i ).
In alternativa alla distruzione dei dati si può procedere anche a una anonimizzazione degli stessi, la semplice pseudonimizzazione (ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente) non è ritenuta congrua.

DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO

- In caso di dati inesatti, fino a che non vengano ratificati
- In caso di contestazione fino al chiarimento
Su richiesta in alternativa alla cancellazione, perché il trattamento è illecito e l’interesato vuole che esso sia limitato oppure perché i dati sono necessari all’interessato per l’accertamento, l’esercizio o la difesa in sede giudiziaria.

DIRITTO ALLA PORTABILITA' DEI DATI
Il diritto si può esercitare :

- in caso di trattamento necessario per eseguire il contratto;
- in caso di trattamento dei dati basati sul consenso.
- se il trattamento è effettuato con mezzi autorizzati
- l’interessato può chiedere di ricevere i dati in modo chiaro e leggibile
- di ottenere il trasferimento automatico ad altro fornitore, quando fattibile
Non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico di cui è investito il Titolare del trattamento

 

2018