Skip to main content

IL REGOLAMENTO GDPR

Il regolamento generale sulla protezione dei dati (GDPR), ufficialmente regolamento n. 2016/679, è un regolamento dell’Unione europea in tema di trattamento dei dati personali e di privacy che ha come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’Unione Europea e dei residenti nell’UE.

I principi fondamentali fissati del GDPR sono:

  • LICEITA’: i dati personali di una persona non possono essere raccolti e trattati senza il consenso espresso del titolare.
  • ESATTEZZA DEL DATO PERSONALE: il dato deve essere esatto e, se necessario, aggiornato.
  • LIMITAZIONE DELLA CONSERVAZIONE: i dati personali sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
  • I DIRITTI GARANTITI AGLI INTERESSATI: come il diritto di informazione e access ai propri dati personali, il diritto di rettifica e di cancellazione, il diritto alla portabilità dei dati.

CHE COSA SONO I DATI PERSONALI PREVISTI DAL GDPR?

Sono considerati dati personali, secondo il GDPR, tutti i dati che identificano o rendono identificabile una persona fisica. Sono tutti i dati che permettono di identificare una persona direttamente o indirettamente con riferimento ad un elemento identificativo, come ad esempio:

  • Nome
  • Numero di identificazione
  • Dati relativi all’ubicazione
  • Identificatore online
  • Elementi relativi alla sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4.1 del GDPR)

Si tratta anche dei cosiddetti “dati pseudonimizzati” ossia dati che non possono più essere attribuiti a una persona specifica senza l’utilizzo di informazioni aggiuntive. Tuttavia, alcuni dati sono esclusi dall’ambito di applicazione del GDPR, come i dati anonimi che non possono essere identificati con una persona specifica.

GDPR

GDPR

VALUTAZIONE DI IMPATTO DEI DATI PREVISTO DAL GDPR

Il GDPR richiede, inoltre, che le imprese preparino una valutazione dell’impatto sulla protezione dei dati per le operazioni che potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche.  In particolare, il responsabile della conduzione della valutazione di impatto è il titolare del trattamento. La valutazione di impatto sulla protezione dei dati è un’operazione che può essere sintetizzata in tre passaggi essenziali:

  1. La descrizione dettagliata del trattamento attuato specificando gli aspetti tecnici e operativi;
  2. La valutazione giuridica della necessità e della proporzionalità rispetto ai principi e ai diritti fondamentali (finalità, dati e periodi di conservazione, informazioni e diritti delle persone);
  3. Lo studio tecnico dei rischi per la sicurezza dei dati (riservatezza, integrità e disponibilità) e il loro impatto;

Le imprese, in particolare, che hanno l’obbligo di compiere tale valutazione sono:

  • Qualsiasi azienda al di fuori dell’UE che tratti dati personali di persone residenti nell’UE, purché le sue attività siano legate alla fornitura di beni o servizi o al monitoraggio del comportamento di tali persone, nella misura in cui tale comportamento avvenga all’interno dell’Unione.
  • Le piccole medie imprese per i quali gli obblighi sono tuttavia ridotti se hanno meno di 250 dipendenti.
  • Qualsiasi stabilimento, sia esso un responsabile o un incaricato del trattamento, con sede nell’Unione Europea.

I PASSI PRATICI PER GARANTIRE LA CONFORMITA’ AL GDPR:

  1. Nominare un responsabile della protezione dei dati: il GDPR, infatti, impone alle aziende o ai subappaltatori, in alcuni casi specifici, di nominare un responsabile della protezione dei dati per supervisionare la conformità interna dell’azienda.
  2. Il rispetto del principio di Accountability: il titolare del trattamento deve essere in grado di dimostrare, in qualsiasi momento, che la protezione dei dati che tratta è garantita in conformità al regolamento. Ciò include, a titolo e  semplificativo, la tenuta di un registro dei trattamenti (art. 24).
  3. Rispetto dei principi di “Privacy by design e by default”: fin dalla progettazione di un prodotto (fase by design), l’azienda deve tenere conto dei principi di protezione dei dati e garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni specifica finalità di trattamento.
  4. Rispetto dei diritti degli utenti: fra questi i più importanti sono il diritto di accesso ai dati, diritto di rettifica, diritto di opposizione, diritti all’oblio (diritto alla cancellazione), diritto alla limitazione del trattamento, diritto alla portabilità dei dati.
  5. Notifica alle autorità di qualsiasi violazione dei dati personali: qualsiasi violazione dei dati personali deve essere notificata dal Responsabile della protezione dei dati alle autorità di controllo (la CNIL) e alle persone interessate, secondo una procedura di notifica identificata.

Avv. Aurora Visentin & Giada Ricci

Avvocato a Parigi specializzata in diritto del lavoro

Avvocato Aurora Visentin

Avvocato italiano in Francia specializzata in diritto del lavoro. Svolgo la mia attività a Parigi e a Milano. Attraverso il mio studio legale italo-francese assisto le società italiane che hanno interessi commerciali in Francia e le società Francesi che operano nel mercato italiano.

Avvocato Aurora Visentin