G D P R O K

Loading

FAQ

Domande frequenti

Navigazione veloce

ESSENZIALI PER ESSERE A NORMA

1) Registri delle attività di trattamento

documenti in cui vengono censiti tutti i trattamenti dei dati personali effettuati dall’azienda. I registri da predisporre secondo il GDPR sono due, ove l’azienda svolga i trattamenti ricoprendo entrambi i ruoli, altrimenti solo quello del ruolo specifico

 

registro delle attività da titolare del trattamento

Registro delle attività di trattamento svolte direttamente dall’azienda (ovvero che ne determina modalità e finalità)

 

registro delle attività da responsabile del trattamento

Va adottato se l’organizzazione tratta dati personali per conto di un altro titolare.

 

2) Nomine soggetti autorizzati (interni all’azienda) e formazione del personale

Tutti i soggetti che trattano dati sotto l’autorità aziendale, che sia nel ruolo di Titolare o di Responsabile del trattamento devono essere formalmente nominati nonché adeguatamente istruiti. Il personale deve pertanto ricevere il proprio documento di nomina e l’adeguata formazione sia in materia privacy sia sulle modalità di trattamento a cui si dovrà attenere.

 

3) Nomine per i responsabili esterni e dpa

Tutti i soggetti esterni all’azienda, che trattano dati personali per conto della stessa, devono essere nominati responsabili esterni del trattamento dati oppure è necessario siglare con loro un apposito DPA (Data Processing Agreement).

 

4) Informative per i soggetti interessati

Ogni azienda ha l’obbligo informare i soggetti interessati dei quali tratta i dati personali.

I soggetti interessati possono essere, a titolo esemplificativo: clienti, fornitori, dipendenti, consulenti, utenti delle app e dei siti web, iscritti alle newsletter.

Quali informazioni vanno fornite agli interessati?

  • i dati di contatto del Titolare del trattamento;
  • i dati di contatto del DPO (Data Protection Officer, se presente, o comunque di un referente privacy)
  • la base giuridica del trattamento dati;
  • l’intenzione, se presente, di trasferire i dati al di fuori dello Spazio Economico Europeo (SEE);
  • il periodo di conservazione dei dati e/o il criterio utilizzato per stabilirlo;

i diritti dell’interessato.

Essere in regola con la “normativa privacy” permetterà anche, in questo delicato e difficile momento, di gestire al meglio, senza preoccupazioni o rischi la delicata situazione in tema di Contagio da SarS-CoV-2 (COVID o Coronavirus) affrontando l’articolato problema delle comunicazioni e del trattamento dei dati in caso di contagio in azienda, di quarantena fiduciaria o obbligatoria e nel prossimo futuro, il tema delle vaccinazioni.

Attività di videosorveglianza

Ad una azienda austriaca munita di videocamere che riprendevano sia gli ingressi agli stabilimenti ma anche i volti di chi percorreva i marciapiedi attigui, senza però le prescrizioni di legge, e dove inoltre non era presente un Registro dei Trattamenti con riportati i tipi di Trattamento effettuati, i Soggetti autorizzati, gli Asset utilizzati e le Finalità prescritti (tutti adempimenti obbligatori dal 25 Maggio 2018 che segna l’ingresso del GDPR nel nostro ordinamento) è stata comminata una sanzione di € 4.000 circa, somma di sicuro rilievo per una piccola-media impresa. (https://www.agendadigitale.eu/sicurezza/privacy/gdpr-prime-sanzioni-in-europa-quale-lezione-trarre-per-le-aziende/)

Il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni (Anche in Italia soglia dei 16 anni). Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

Per quanto riguarda i dati giudiziari: Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.

Per quanto riguarda i dati c.d. sanitari: Il trattamento dei dati sanitari, ai sensi GDPR è senz’altro lecito: quando si deve tutelare un interesse pubblico (come, ad esempio, la protezione da gravi minacce per la salute o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici) quando è effettuato con finalità di cura medica (per la prevenzione, la diagnosi, l’assistenza o la terapia di stati patologici). Dunque, diversamente dal passato, il professionista sanitario (tenuto al segreto professionale) non deve più richiedere il consenso dell’interessato per i trattamenti necessari alla erogazione delle prestazioni sanitarie richieste dal paziente, sia se operi in qualità di libero professionista (presso uno studio medico), sia se operi all’interno di una struttura sanitaria, tanto pubblica quanto privata. Beninteso, il trattamento di dati che non necessita di consenso del paziente è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R. Pertanto, non rientrano nell’ipotesi descritta (e, quindi, richiedono il consenso esplicito del paziente), i trattamenti di dati:

 

  1. a) connessi all’utilizzo di “App” mediche;
  2. b) preordinati alla fidelizzazione della clientela (effettuati dalle farmacie attraverso programmi di accumulo punti);
  3. c) effettuati da strutture sanitarie private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
  4. d) effettuati da professionisti sanitari per finalità commerciali o elettorali;
  5. e) effettuati attraverso il Fascicolo sanitario elettronico previsto dall’art. 12 del d.l. 18 ottobre 2012, n. 179.

 

Per le aziende private che non si occupano di cura ed assistenza medica NON è possibile trattare i dati sanitari dei propri dipendenti, futuri eventuali dipendenti (candidati), collaboratori, fornitori, partner, ecc. salvo l’apposito e specifico intervento del medico competente.

Certo, sarà tuttavia prima indispensabile fornire la corretta, completa ed adeguata informativa ai soggetti interessati, nella quale, gli si renderanno chiare ed esplicite le finalità per la quale si sta raccogliendo il loro contatto. Dopodiché, ottenuto un valido consenso, si potrà utilizzare il contatto stesso per le finalità indicate, naturalmente nei limiti (ad esempio di numero di contatti, di tipologia di contatto, di trattamento dei dati) imposti dalla legge.

 

Vorrei attivare un servizio di newsletter o di contatto dei miei clienti tramite Whatsapp e/o Telegram. Cosa devo fare?

 

SITI WEB, SOCIAL NETWORK E DIGITAL MARKETING

Di seguito alcuni degli adempimenti e delle verifiche principali da attuare al fine di avere un sito internet GDPR compliance

 

  1. Verifica tutti i dati personali collezionati;
  2. Aggiorna l’informativa sulla privacy;
  3. Rendi affermativi gli avvisi dei cookie;
  4. Crea semplici processi opt-in;
  5. Rivedi la funzionalità di acquisizione dati;
  6. Aggiorna le Privacy Policy per le e-mail;
  7. Rendi immediata la possibilità di gestione/cancellazione dati;
  8. Applica un livello di crittografia sui dati presenti fisicamente sul disco e sulle informazioni nei database;
  9. Controlla che tutti i moduli non siano “flaggati” di default. L’utente deve confermare l’invio delle informazioni;
  10. Abilita una procedura per agevolare l’eliminazione dei dati di un particolare utente;
  11. Abilita una procedura che garantisca la portabilità dei dati.

Dipende dai singoli casi. La legge, in via di principio, sul punto afferma che Per pubblicare l’immagine di una persona non famosa occorre la sua autorizzazione (art. 96 legge 633/41). Occorre autorizzazione in ogni caso se le immagini vengono usate con finalità promozionali, pubblicitarie, di merchandising o comunque non di prevalente informazione o pettegolezzo. Alcuni esempi pratici:

  1. Immagine riconoscibile di una persona qualsiasi, comunque pubblicata (in vetrina, su stampati, su libri, riviste o sul web), o comunque in modo che l’immagine sia visibile da un pubblico indistinto e non controllabile. Non pubblicabile, a meno che non ci sia esplicita autorizzazione.
  2. Personaggi comuni scattati in pubblico, o durante un evento, ma ISOLATI dal contesto. Non pubblicabile, a meno che non ci sia esplicita autorizzazione.
  3. Immagine di un luogo pubblico o di un avvenimento (ad esempio una fiera espositiva), in cui una o più persone siano riconoscibili. Pubblicabile, se il personaggio riconoscibile non è determinante all’economia della foto, pertanto pubblicabile, anche senza autorizzazione.

GLOSSARIO

Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è principale la normativa europea in materia di protezione dei dati personali.

Essere GDPR compliant, rispettando quindi la compliance prevista, significa essere conformi al regolamento generale per la protezione dei dati personali (GDPR) rispettandone di fatto tutti i principi, le regole e le procedure dettate.

“responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili dei trattamenti – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento

ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Iscriviti alla nostra newsletter

Per rimanere sempre aggiornato.
Privacy Policy
logo

© Copyright 2021

Aliante SRL

P.IVA 12104420968

REA: MB – 2640961

Capitale sociale i.v. € 25.000

Realizzazione:

MayBee Comunicazione

Contatti

Via General Guidoni, 9

20851 – Lissone – MB – ITALY

Tel. +39 339 2076784

Mail: info@gdpr-ok.it

Sito

Facebook Instagram