Loading
1) Registri delle attività di trattamento
documenti in cui vengono censiti tutti i trattamenti dei dati personali effettuati dall’azienda. I registri da predisporre secondo il GDPR sono due, ove l’azienda svolga i trattamenti ricoprendo entrambi i ruoli, altrimenti solo quello del ruolo specifico
– registro delle attività da titolare del trattamento
Registro delle attività di trattamento svolte direttamente dall’azienda (ovvero che ne determina modalità e finalità)
– registro delle attività da responsabile del trattamento
Va adottato se l’organizzazione tratta dati personali per conto di un altro titolare.
2) Nomine soggetti autorizzati (interni all’azienda) e formazione del personale
Tutti i soggetti che trattano dati sotto l’autorità aziendale, che sia nel ruolo di Titolare o di Responsabile del trattamento devono essere formalmente nominati nonché adeguatamente istruiti. Il personale deve pertanto ricevere il proprio documento di nomina e l’adeguata formazione sia in materia privacy sia sulle modalità di trattamento a cui si dovrà attenere.
3) Nomine per i responsabili esterni e dpa
Tutti i soggetti esterni all’azienda, che trattano dati personali per conto della stessa, devono essere nominati responsabili esterni del trattamento dati oppure è necessario siglare con loro un apposito DPA (Data Processing Agreement).
4) Informative per i soggetti interessati
Ogni azienda ha l’obbligo informare i soggetti interessati dei quali tratta i dati personali.
I soggetti interessati possono essere, a titolo esemplificativo: clienti, fornitori, dipendenti, consulenti, utenti delle app e dei siti web, iscritti alle newsletter.
Quali informazioni vanno fornite agli interessati?
i diritti dell’interessato.
Essere in regola con la “normativa privacy” permetterà anche, in questo delicato e difficile momento, di gestire al meglio, senza preoccupazioni o rischi la delicata situazione in tema di Contagio da SarS-CoV-2 (COVID o Coronavirus) affrontando l’articolato problema delle comunicazioni e del trattamento dei dati in caso di contagio in azienda, di quarantena fiduciaria o obbligatoria e nel prossimo futuro, il tema delle vaccinazioni.
Attività di videosorveglianza
Ad una azienda austriaca munita di videocamere che riprendevano sia gli ingressi agli stabilimenti ma anche i volti di chi percorreva i marciapiedi attigui, senza però le prescrizioni di legge, e dove inoltre non era presente un Registro dei Trattamenti con riportati i tipi di Trattamento effettuati, i Soggetti autorizzati, gli Asset utilizzati e le Finalità prescritti (tutti adempimenti obbligatori dal 25 Maggio 2018 che segna l’ingresso del GDPR nel nostro ordinamento) è stata comminata una sanzione di € 4.000 circa, somma di sicuro rilievo per una piccola-media impresa. (https://www.agendadigitale.eu/sicurezza/privacy/gdpr-prime-sanzioni-in-europa-quale-lezione-trarre-per-le-aziende/)
Il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni (Anche in Italia soglia dei 16 anni). Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.
Per quanto riguarda i dati giudiziari: Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
Per quanto riguarda i dati c.d. sanitari: Il trattamento dei dati sanitari, ai sensi GDPR è senz’altro lecito: quando si deve tutelare un interesse pubblico (come, ad esempio, la protezione da gravi minacce per la salute o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici) quando è effettuato con finalità di cura medica (per la prevenzione, la diagnosi, l’assistenza o la terapia di stati patologici). Dunque, diversamente dal passato, il professionista sanitario (tenuto al segreto professionale) non deve più richiedere il consenso dell’interessato per i trattamenti necessari alla erogazione delle prestazioni sanitarie richieste dal paziente, sia se operi in qualità di libero professionista (presso uno studio medico), sia se operi all’interno di una struttura sanitaria, tanto pubblica quanto privata. Beninteso, il trattamento di dati che non necessita di consenso del paziente è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R. Pertanto, non rientrano nell’ipotesi descritta (e, quindi, richiedono il consenso esplicito del paziente), i trattamenti di dati:
Per le aziende private che non si occupano di cura ed assistenza medica NON è possibile trattare i dati sanitari dei propri dipendenti, futuri eventuali dipendenti (candidati), collaboratori, fornitori, partner, ecc. salvo l’apposito e specifico intervento del medico competente.
Certo, sarà tuttavia prima indispensabile fornire la corretta, completa ed adeguata informativa ai soggetti interessati, nella quale, gli si renderanno chiare ed esplicite le finalità per la quale si sta raccogliendo il loro contatto. Dopodiché, ottenuto un valido consenso, si potrà utilizzare il contatto stesso per le finalità indicate, naturalmente nei limiti (ad esempio di numero di contatti, di tipologia di contatto, di trattamento dei dati) imposti dalla legge.
Vorrei attivare un servizio di newsletter o di contatto dei miei clienti tramite Whatsapp e/o Telegram. Cosa devo fare?
Di seguito alcuni degli adempimenti e delle verifiche principali da attuare al fine di avere un sito internet GDPR compliance
Dipende dai singoli casi. La legge, in via di principio, sul punto afferma che Per pubblicare l’immagine di una persona non famosa occorre la sua autorizzazione (art. 96 legge 633/41). Occorre autorizzazione in ogni caso se le immagini vengono usate con finalità promozionali, pubblicitarie, di merchandising o comunque non di prevalente informazione o pettegolezzo. Alcuni esempi pratici:
Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è principale la normativa europea in materia di protezione dei dati personali.
Essere GDPR compliant, rispettando quindi la compliance prevista, significa essere conformi al regolamento generale per la protezione dei dati personali (GDPR) rispettandone di fatto tutti i principi, le regole e le procedure dettate.
“responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili dei trattamenti – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento
ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
© Copyright 2021
Aliante SRL
P.IVA 12104420968
REA: MB – 2640961
Capitale sociale i.v. € 25.000
Realizzazione: