GDPR & PRIVACY


COS'È IL GDPR

Dal 25 maggio 2018 è in vigore il Regolamento Europeo UE 679/2016 sulla Protezione dei Dati Personali (GDPR), che innova la materia della privacy, imponendo nuove prescrizioni per il trattamento dati e, conseguentemente, la necessità di adeguamento delle relative procedure aziendali.

Non esistono più puntuali prescrizioni che impongono specifici adempimenti, ma è rimessa a ciascun operatore la preventiva valutazione delle misure organizzative e tecniche da porre in essere per tutelare e proteggere i dati trattati.

Essere compliant con la normativa dipende non dal mero rispetto di precise imposizioni, ma dall’organizzazione della propria attività secondo procedure adeguate al GDPR.



GDPR & Codice Privacy

Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il Decreto legislativo 101/2018 per l’adeguamento della normativa nazionale al GDPR: il Codice della Privacy italiano (D.lgs. 196/2003) rimane in vigore e viene modificato, così da armonizzarlo alle novità e ai principi del GDPR, primo tra tutto quello di accountability.

Il GDPR, infatti, pone con forza l’accento sulla “responsabilizzazione” (accountability) di titolari e responsabili del trattamento dei dati: devono essere adottati comportamenti proattivi, tali da dimostrare la concreta predisposizione di misure finalizzate ad assicurare l’applicazione del regolamento.



Sanzioni & responsabilità

Il GDPR prevede delle sanzioni pecuniarie molto elevate: in caso di violazione della nuova normativa, infatti, il trasgressore (titolare, responsabile o DPO) potrà essere condannato al pagamento di una sanzione pecuniaria fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale annuo. Laddove l’Interessato ritenga che il trattamento che lo riguarda violi le norme di cui al GDPR, potrà – anche cumulativamente - proporre reclamo all’Autorità Garante o ricorso giurisdizionale all’Autorità Giudiziaria, al fine di ottenere il risarcimento dei danni, patrimoniali e non patrimoniali. Tutti gli operatori (persone fisiche e/o giuridiche) che, a vario titolo, entrano a contatto con i dati degli Interessati sono soggetti a responsabilità circa il trattamento da loro effettuato. Titolare e Responsabile rispondono direttamente nei confronti dell’Interessato per eventuali omissioni o trattamenti illeciti. Ugualmente responsabile può essere ritenuto il DPO, il quale risponde per eventuali colpevoli omissioni ricollegate al proprio ruolo di supervisore.



I destinatari della nuova normativa

Destinatari del GDPR sono tutti i soggetti che trattano dati per fini commerciali.

In particolare, però, i principali destinatari degli obblighi del GDPR:


  • hanno come clienti/utenti principalmente o esclusivamente persone fisiche;
  • trattano grandi quantitativi di dati particolari (ex dati sensibili);
  • vendono on-line (e-commerce B2C, ma anche B2B);
  • usano app, gestionali online e CRM;
  • inviano newsletter;
  • raccolgono dati, prenotazioni o ordini tramite web.

Chi utilizza per fini commerciali un sito web deve intervenire sia adeguando alla nuova disciplina il testo delle Informative Privacy e Cookie, sia implementando ulteriori strumenti tecnici, come il Banner Cookie e il form di raccolta del consenso Privacy subordinato allo scroll del testo.



Conclusioni

Non essendoci precise regole generali e astratte da applicare indistintamente a ogni caso, né modelli di documentazione standard utilizzabili da chiunque indiscriminatamente, per essere in regola con il GDPR ogni soggetto che tratta i dati deve valutare preventivamente i rischi in ragione delle proprie specifiche peculiarità, quindi individuare e adottare le opportune iniziative per adeguarsi alla nuova normativa. E deve essere in grado di dimostrare di averlo fatto.



GDPR & StudioFLEX: la soluzione per essere compliant

I professionisti di StudioFLEX sono stati scelti da decine di aziende quali propri consulenti in materia di adeguamento al GDPR.

Con il nostro GDPR Compliance Pack ogni giorno aiutiamo le imprese ad essere compliant con la nuova normativa. Elaboriamo su misura la documentazione privacy adeguata alle novità introdotte dal GDPR e forniamo le necessarie istruzioni per l’uso, formando il personale destinato ad eseguire il trattamento dei dati.