Il GDPR (General Data Protection Regulation, Regolamento europeo sulla protezione dei dati) è un regolamento europeo che affronta e rinnova, in maniera organica, la tematica della tutela della privacy e della protezione dei dati personali. Il Regolamento è entrato in vigore nel 2016 e sarà direttamente applicabile in tutti gli Stati dell’Unione europea a partire dal 25 maggio 2018; sostituirà la disciplina attualmente vigente, senza bisogno di leggi nazionali di recepimento.

Cerchiamo, quindi, di capire e di iniziare a prendere dimestichezza con i principali elementi di novità con cui ci dovremo necessariamente confrontare tra qualche mese: in questo senso, la sezione GDPR vuole essere una guida alla comprensione di un testo così complesso come il GDPR.

Il GDPR è, per l’appunto, caratterizzato da una forte complessità: nessuna guida può, ovviamente, supplire alla sua piena comprensione che richiede cognizioni e competenze specialistiche per giungere a una vera e propria compliance.

In questo senso, la guida al GDPR di dirittodellinformatica.it non sostituisce in alcun modo l’attività di un consulente legale in materia di privacy.

La guida è in corso di pubblicazione: viene aggiornata periodicamente.

GUIDA AL GDPR – INDICE

Sezione 1: GDPR – nozioni generali

1.1 Che cos’è

1.2 Quali dati e quali trattamenti riguarda

1.3 Chi lo deve rispettare

1. 4 Come e quando

1.5 Quali sono i rischi

Sezione 2: Principi chiave del trattamento

2.1 Perché la protezione dei dati è un diritto fondamentale

2.2 Come si configura la responsabilizzazione delle imprese

2.3 Come si garantisce la trasparenza

2.4 Come si verifica la liceità del trattamento

2.5 Quando un trattamento è necessario e come minimizzare i dati trattati

Sezione 3: Diritti da garantire

3.1 Come fornire un’informativa corretta all’interessato

3.2 Cosa comporta il diritto di accesso

3.3 Quando si applica il diritto all’oblio

3.4 Quale portata hanno i diritti di rettifica, limitazione e opposizione

3.5 Che cos’è il diritto alla portabilità dei dati

3.5.1 Cosa fare per garantirlo

Sezione 4: Ruoli e responsabilità

4.1 Chi è il titolare del trattamento

4.2 Chi è il Responsabile del trattamento

4.2.1  Chi lo deve nominare e quando

4.3 Quali responsabilità hanno il titolare e il responsabile

4.4 Chi è l’interessato

4.5 Chi è il Data Protection Officer (o Responsabile della protezione dei dati)

4.5.1 Chi lo deve nominare e quando

4.5.2 Quali responsabilità ha

Sezione 5: Compliance e obiettivi da raggiungere

5.1 Quali sono gli strumenti necessari per essere in compliance

5.2 Quando si può parlare di Privacy by design e by default

5.3 Come si può realizzare un’autovalutazione efficace dei rischi

5.4 Come si determinano i livelli di tutela adeguati al rischio

5.5 Come si dimostra la compliance

Sezione 6: Attività da compiere

6.1 Quali sono le procedure obbligatorie e quando è opportuno applicare i nuovi istituti

6.2 Quali sono le misure di sicurezza ad adottare

6.3 Cos’è il registro delle attività di trattamento

6.4 Cos’è la valutazione di impatto sulla protezione dei dati

6.5 Cosa sono le certificazioni e come si ottengono

Sezione 7: A quali sanzioni si va incontro

7.1 Cosa espone al rischio di essere sanzionati

7.2 Sanzioni pecuniarie

7.3 Interventi dell’Autorità Garante

7.4 Risarcimento del danno subito dall’interessato

7.5 Come viene determinata la sanzione

 

Fonte: dirittodellinformatica.it

GDPR: Come viene determinata la sanzione (Guida al GDPR 7.5)

Il GDPR precisa che ogni singola ipotesi di violazione delle disposizioni in esso sancite dovrà essere valutata singolarmente ai fini dell’applicazione delle sanzioni amministrative pecuniarie nel caso di specie.

A questo proposito, l’art. 83, paragrafo 2 stabilisce che: “Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi […]”. Segue un’elencazione delle circostanze che potranno incidere, appunto, sulla misura della sanzione che dovrà essere applicata, in modo da risultare adeguata e deterrente rispetto al contesto concreto in cui la violazione è stata realizzata.

GDPR: Risarcimento del danno subito dall’interessato (Guida al GDPR 7.4)

L’art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

La norma afferma così il diritto dell’interessato, in quanto danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale. Questo diritto sorge, in particolare, nel momento in cui sia stata realizzata una violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del titolare o del responsabile del trattamento, che può essere stata attiva od omissiva.

GDPR: Interventi dell’Autorità Garante (Guida al GDPR 7.3)

Come previsto dall’art. 58 del GDPR, le autorità di controllo (in Italia l’Autorità Garante per la protezione dei dati personali), dispongono innanzitutto di una serie di poteri di indagine. L’Autorità di controllo dello Stato competente nel caso specifico, per verificare il rispetto delle regole previste dal GDPR potrà, infatti, ingiungere al titolare e al responsabile del trattamento (nonché al rappresentante, se presente) di fornirle tutte le informazioni ritenute necessarie e porre in essere tutte le attività opportune per condurre le relative indagini. L’Autorità potrà, poi, notificare al titolare o al responsabile le presunte violazioni del Regolamento che ritiene di aver individuato e ottenere l’accesso, da un lato, a tutti i dati personali oggetto di trattamento e, dall’altro lato, sia ai locali del titolare e del responsabile del trattamento che agli strumenti utilizzati per il trattamento (pur sempre nel rispetto delle norme di diritto dell’Unione Europea e di diritto processuale dei singoli Stati membri).

GDPR: Sanzioni pecuniarie (Guida al GDPR 7.2)

Le sanzioni amministrative pecuniarie previste dal GDPR dovranno essere disposte in modo tale da poter dare un’adeguata risposta in base alla natura, alla gravità e alle conseguenze della violazione che è stata realizzata.

Volendo scendere nel merito delle singole sanzioni pecuniarie previste dal GDPR, emerge anzitutto il fatto che il Regolamento, indicando due diversi massimali (€ 10.000.000 e € 20.000.000), riconosce il fatto che la violazione di alcune disposizioni sarà nettamente più grave rispetto alla violazione di altre.

GDPR: Cosa espone al rischio di essere sanzionati (Guida al GDPR 7.1)

Il sistema sanzionatorio delineato dal nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 679/2016, c.d. GDPR) si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie, le quali rientrano nell’insieme degli strumenti che le autorità di controllo in ogni singolo Stato membro dell’Unione Europea hanno a disposizione, al fine di assicurare una corretta ed uniforme applicazione delle disposizioni del GDPR in tutto il territorio europeo.

GDPR: Cosa sono le certificazioni e come si ottengono (Guida al GDPR 6.5)

Il sistema delle certificazioni è disciplinato, nel GDPR, agli artt. 42 e 43.

In particolare, l’art. 42 (“Certificazione 1. Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.

GDPR: Cos’è la valutazione di impatto sulla protezione dei dati (Guida al GDPR 6.4)

L’art. 35 del GDPR sancisce, in capo al titolare del trattamento (con la possibilità di consultare il Responsabile della protezione dei dati se presente), l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati qualora un tipo di trattamento, in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati personali trattati si riferiscono (“Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”).

GDPR: Cos’è il registro delle attività di trattamento (Guida al GDPR 6.3)

Come stabilito dall’art. 30 del GDPR, tutti i titolari e i responsabili di trattamento dei dati personali, ad eccezione delle imprese e organizzazioni che hanno meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio), devono tenere un registro di tutte le attività di trattamento dei dati effettuate.

GDPR: Quali sono le misure di sicurezza da adottare (Guida al GDPR 6.2)

Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.

GDPR: Quali sono le procedure obbligatorie e quando è opportuno applicare i nuovi istituti (Guida al GDPR 6.1)

Il GDPR introduce una serie di obblighi, che derivano essenzialmente dal più generale principio di responsabilizzazione (accountability) posto a fondamento della struttura del Regolamento europeo e del rispetto dei principi essenziali in tema di privacy (l’art. 5, co. 2, GDPR, infatti, dopo aver elencato i principi applicabili al trattamento di dati personali, afferma che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo – «responsabilizzazione»”).

GDPR: Come si dimostra la compliance (Guida al GDPR 5.5)

Come già specificato in più occasioni nei vari articoli di approfondimento di questo Speciale sul GDPR, il Regolamento pone fortemente l’accento sulla responsabilizzazione dei titolari e dei responsabili del trattamento, affinché adottino autonomamente una serie di comportamenti che permettano di dimostrare l’adozione di misure idonee al rispetto del Regolamento stesso.

GDPR: Come si determinano livelli di tutela adeguati al rischio (Guida al GDPR 5.4)

Un preciso compito del titolare del trattamento dei dati personali sarà dunque quello di effettuare una valutazione preliminare dei rischi che ciascun trattamento che il titolare andrà ad effettuare potrebbe comportare per la protezione dei dati personali.

Bio

Studio Ing. Giuliano Liguori

Società di Igegneria dinamica e orientata all'applicazione delle nuove Tecnologie in tutti gli ambiti di competenza.

    Via Gramsci, 13 - Crispano (NA)
    +39 3316170662
    info@glweb.eu
    giuliano.liguori@pec.it 
    www.glweb.eu

Linkedin Profile

Search