Adempimenti Privacy GDPR: Guida Breve

Le regole sul trattamento dei dati personali e sugli adempimenti privacy richiedono un'attenta analisi dei passaggi necessari per rispettare la normativa. Vediamo insieme, passo dopo passo, una lista degli adempimenti previsti per adeguarsi alla GDPR.

Novità del 2018 e adempimenti GDPR

Il 25 maggio 2018 è entrato in vigore il regolamento europeo per il trattamento dei dati personali (Regolamento UE 2016/679). Questo regolamento è conosciuto come GDPR, dal nome inglese General Data Protection Regulation e prevede una serie di obblighi sulla protezione e la sicurezza dei dati personali.

Le principali novità introdotte riguardano le modalità organizzative del titolare del trattamento e le informazioni da fornire agli interessati. Inoltre, sempre nel 2018 il Codice Privacy italiano è stato modificato e adeguato al regolamento GDPR. Vediamo i principali adempimenti GDPR per evitare di fare errori ed evitare di ricevere le sanzioni previste per le violazioni privacy (fino a 20 milioni di euro oppure fino al 4% del fatturato annuo).

Check-list adempimenti privacy

Il regolamento GDPR si applica ogni volta che viene compiuta una qualsiasi operazione sui dati personali che può identificare una persona fisica. Ad esempio, sono operazioni sui dati la loro archiviazione, lettura e comunicazione. La disciplina della GDPR non si applica, invece, quando il trattamento dei dati avviene per attività esclusivamente personali o domestiche.

Ecco due esempi pratici su quando si applica il il regolamento GDPR:

si applica quando una società di servizi elabora i dati dei propri clienti italiani e dell’Unione Europea
non si applica quando un privato organizza un evento tra amici come un matrimonio o un torneo e raccoglie i numeri di telefono delle persone per invitarle

Vediamo insieme una lista dei vari adempimenti GDPR e quando è prevista la loro applicazione:

Adempimenti Privacy GDPR

Quando sono dovuti (e le eccezioni)

PRIVACY POLICY DI UN SITO WEB O DI UN’APP

Informativa privacy per comunicare agli utenti di un sito web o di un’app le finalità e le modalità di trattamento dei loro dati personali

SEMPRE in caso di raccolta tramite sito web o app di dati personali che permettono l’identificazione di una persona fisica.

La privacy policy va comunicata prima che il trattamento dei dati venga effettuato.

COOKIE POLICY WEB

Informativa cookie di un sito web o di un’app per rendere consapevole l’utente su quali cookie vengono usati per memorizzare i suoi dati personali durante la navigazione

SEMPRE se si usa in un sito web o app anche solo 1 cookie.

La cookie policy va comunicata prima che il trattamento dei dati venga effettuato.

PRIVACY POLICY PER ATTIVITÀ OFFLINE

Informativa privacy per attività non online, per comunicare agli interessati i dati raccolti al di fuori di un sito web o di un’app

SEMPRE in caso di raccolta non online di dati personali che permettono l’identificazione di una persona fisica (es. i dati dei clienti raccolti in un negozio per consegnare una tessera raccolta punti).

La privacy policy va comunicata prima che il trattamento dei dati venga effettuato.

RICHIESTA DI CONSENSO

Dopo l’informativa è obbligatorio richiedere il consenso all’interessato per poter trattare i suoi dati. L’interessato ha il diritto di acconsentire o non acconsentire al trattamento dei dati.

OBBLIGATORIA PRIMA di procedere alla raccolta dei dati personali.

NON dovuta solo se trattamento è necessario per:

l’esecuzione di un contratto (es. l’indirizzo di consegna richiesto per consegnare un prodotto acquistato)
un obbligo di legge o altro previsto dal regolamento (es. i dati di fatturazione richiesti per emettere la fattura al cliente)
un interesse legittimo del titolare (es. per difendersi in giudizio o installare una telecamera per la tutela dell’immobile)

REGISTRO DEI TRATTAMENTI

Documento ad uso interno dell’impresa che descrive in dettaglio la gestione del trattamento dei dati, le finalità e i soggetti a cui vengono trasmessi i dati

SEMPRE per imprese/organizzazioni con più di 250 dipendenti.

ANCHE per imprese con meno di 250 dipendenti SOLO SE il trattamento:

non è occasionale
riguarda dati sensibili o dati relativi a condanne penali/reati (es. gli orientamenti religiosi o sessuali)
rappresenta un rischio per diritti e libertà dell’interessato (es. il tracciamento della posizione geografica)

Il registro è comunque sempre consigliato perché consente di comprendere i rischi derivante dal trattamento dei dati.

MISURE DI SICUREZZA

Le misure o pratiche tecniche e organizzative adottate da chi tratta i dati personali per garantirne la sicurezza (es. password e crittografia). Il livello di sicurezza deve essere proporzionato e adeguato al livello di rischio legato a quel dato.

SEMPRE in caso di raccolta e trattamento di dati

NOMINA INCARICATO DEL TRATTAMENTO

L’incaricato è la persona autorizzata a compiere le operazioni di trattamento dei dati (es. dipendente o collaboratore). Viene incaricato dal titolare o dal responsabile

SEMPRE in caso di raccolta e trattamento di dati

NOMINA RESPONSABILE DEL TRATTAMENTO

Il Data Processor (responsabile di trattamento) è la persona che elabora i dati per conto del titolare

SOLO SE il trattamento dei dati personali viene effettuato da un soggetto esterno per conto del titolare (es. quando l’azienda incarica un fornitore esterno per le buste paga dei dipendenti)

NOMINA RAPPRESENTANTE DEL TITOLARE

Il soggetto che rappresenta il titolare o il responsabile con sede fuori dall’Unione Europea

SOLO SE il titolare o il responsabile del trattamento dei dati personali è stabilito in un paese fuori dall’Unione Europea e tratta dati personali di soggetti che si trovano in UE

NOMINA RESPONSABILE PER LA PROTEZIONE DEI DATI (DPO)

Il Data Protection Officer (o DPO) è la persona di riferimento per la privacy all’interno dell’impresa

SOLO SE il trattamento dei dati:

richiede il monitoraggio regolare e sistematico dei soggetti su larga scala
viene svolto su dati sensibili o è relativo a condanne penali o reati su larga scala
viene svolto da autorità o organismo pubblico

VALUTAZIONE DI IMPATTO
(Data Protection Impact Assessment – DPIA)

Analisi e mappatura interna di specifici trattamenti per valutare potenziali rischi connessi al trattamento dei dati personali

SOLO SE uno specifico trattamento può comportare rischi elevati per i diritti e le libertà fondamentali delle persone fisiche. Ad esempio se:

i dati vengono processati in modo automatizzato per prendere decisioni che incidono sulla sfera personale (es. tracciamento che valuta in modo automatizzato il diritto di un cittadino a ottenere un finanziamento)
trattamento in larga scala di dati sensibili o relativi a condanne penali/reati
si effettua una sorveglianza sistematica su larga scala di zona accessibile al pubblico

La DPIA è comunque sempre consigliata perché rende pienamente consapevole il titolare dei rischi delle attività di trattamento.

Come gestire gli adempimenti privacy con LexDo.it

L’adeguamento alle nuove regole privacy richiede un’attenta valutazione dell’attività dell’impresa. Con LexDo.it puoi richiedere un servizio completo per gestire correttamente e in modo semplice gli adempimenti privacy della tua attività. Potrai richiedere una consulenza GDPR dedicata di un avvocato esperto con uno dei nostri piani completi a partire da €99+IVA, il professionista valuterà quali adempimenti e documenti si applicano al tuo caso.

Potrai poi creare i documenti privacy di cui hai bisogno, inclusi nei nostri piani completi. Trovi qui di seguito una lista dei documenti che puoi creare:

Privacy Policy per Attività Offline: per informare i propri clienti sull’uso che verrà fatto delle loro informazioni personali
Privacy Policy di un Sito Web o di un’App: per informare gli utenti di un sito web o di un app sull’uso che verrà fatto delle loro informazioni personali
Cookie Policy: per informare i visitatori del tuo sito dei cookie che salverai sul loro browser
Registro dei Trattamenti dei Dati Personali: per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati

Inoltre, il servizio include 1 anno di supporto legale 100% online per creare anche gli altri documenti legali necessari per le tue esigenze (es. contratti d’opera o servizio e termini e condizioni per un sito web) e per richiedere consulenze su ogni tema legale. Potrai descrivere la tua situazione ad un professionista esperto che ti guiderà passo dopo passo nel tuo caso specifico.

Per parlare con il professionista esperto, puoi iniziare dalla consulenza sulla privacy dedicata.