3 Maggio 2018 Guide legali

GDPR: cosa cambia nel nuovo regolamento sulla privacy

Crea il tuo contratto su misura
Creato da avvocati specializzati e personalizzato per te

Il 25 maggio 2018 diventa applicabile il nuovo regolamento europeo in tema di privacy che introduce importanti novità per il trattamento dei dati personali delle persone fisiche. Vediamo cosa cambia effettivamente e, soprattutto, cosa fare per adeguarsi al GDPR.

GDPR: cosa cambia nel nuovo regolamento sulla privacy

Le principali novità della GDPR

Le principali novità introdotte riguardano l’aggiornamento dei documenti privacy e della modalità di richiesta del consenso, l’introduzione di nuovi documenti e processi circa la raccolta, organizzazione e protezione dei dati e nuovi soggetti da nominare. Vediamo punto per punto tutti gli adempimenti GDPR per la privacy.

1. Privacy Policy

L’informativa privacy va sempre fornita in caso di raccolta dei dati personali, prima del trattamento.

Cosa cambia:
Oltre a tutti i dati già obbligatori, deve prevedere:

  • il periodo di conservazione dei dati
  • le finalità del trattamento (ad es. finalità di marketing)
  • i dati del responsabile per la protezione dei dati personali, se nominato
  • il diritto di revoca del consenso.

2. Cookie Policy

Anche l’informativa cookie va sempre fornita prima di utilizzare cookie non tecnici.

Cosa cambia:
Sia le informative sia i banner dovranno essere riscritti tenendo conto:

  • che il consenso deve essere fornito mediante un’azione affermativa (es. spuntare una casella nella informativa estesa, etc.);
  • che l’utente deve avere la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa;
  • se il sito utilizza cookie di profilazione per inviare pubblicità mirate;
  • se i cookie analitici sono messi a disposizione da terze parti, non si è soggetti ad obblighi se:
    – vengono adottati strumenti che riducono il potere identificativo degli utenti
    – la terza parte si impegna a non incrociare le informazioni ottenute dai cookies con altre che ha già raccolto.

3. Richiesta di consenso 

Il consenso va richiesto prima di effettuare il trattamento dei dati personali. Il consenso non è dovuto se il trattamento è necessario:

  • per l’esecuzione del contratto o di un obbligo legale
  • per esigenze di pubblica utilità
  • per esercitare un interesse legittimo (es. per alcuni tipi di marketing diretto), nel caso in sui si voglia salvaguardare gli interessi vitali dell’interessato o di altra persona fisica.

Cosa cambia:
Si deve lasciare l’interessato libero di decidere se prestare il consenso al trattamento dei propri dati. Se vuole negare il consenso, non deve essergli impedito di concludere il contratto o di continuare a usare il servizio. In particolare, il consenso deve essere raccolto:

  • separatamente da altri documenti e
  • in modo specifico per ciascuna finalità del trattamento (es. modulo separato, apposita check box, etc.)

4. Registro dei trattamenti

Il Registro delle attività di trattamento, che contiene tutte le informazioni relative al trattamento dei dati personali, è obbligatorio per imprese/organizzazioni con almeno 250 dipendenti. Se meno di 250 dipendenti, è dovuto solo quando il trattamento:

  • comporta rischi per i diritti e le libertà dell’interessato
  • non è occasionale
  • riguarda “dati sensibili” o relativi a condanne penali o reati

Cosa cambia:
I dati personali devono essere raccolti e organizzati in modo lecito, corretto e trasparente. A tale scopo, la GDPR ha introdotto questo nuovo documento che il Titolare e il Responsabile del Trattamento devono tenere sempre aggiornato.

5. Valutazione di Impatto

La Valutazione di Impatto è un’analisi dei dati e dei relativi trattamenti che va effettuata prima di procedere al trattamento allo scopo di individuare potenziali rischi alla protezione dei dati. E’ dovuta in caso di:

  • trattamento che prevede in particolare l’uso di nuove tecnologie
  • trattamento che comporta un rischio elevato per i diritti e le libertà delle persone fisiche
  • valutazione sistematica di dati personali con processi decisionali basati unicamente sul trattamento automatizzato dei dati
  • trattamento su larga scala di dati sensibili o relativi a condanne penali o reati
  • sorveglianza sistematica su larga scala di zona pubblicamente accessibile
  • altri casi che potranno essere stabiliti dal Garante Privacy.

Cosa cambia:
E’ una novità introdotta dal GDPR al fine di responsabilizzare chi tratta dati personali e verificare i rischi per gli interessati.

6. Soggetti da nominare

Occorre nominare alcuni soggetti che collaborino con il Titolare per gestire i dati personali in modo da garantire che i trattamenti siano conformi al Regolamento. Questi sono:

  • Rappresentante del Titolare
    Da nominare se il trattamento riguarda dati personali di interessati che si trovano nell’Unione Europea, ma il Titolare o il Responsabile del Trattamento si trovano al di fuori dell’Unione. Non è necessario, se il trattamento è occasionale.
  • Responsabile del Trattamento
    Da nominare quando il trattamento dei dati viene effettuato all’esterno per conto del Titolare (attraverso un apposito atto di nomina del responsabile di trattamento dei dati personali).
  • Responsabile per la Protezione dei dati personali
    Da nominare se l’attività principale consiste in trattamenti:
    – che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala,
    – che riguardano dati sensibili o relativi a condanne penali o reati su larga scala,
    – altre ipotesi che potranno essere stabilite con decreto legislativo.

Cosa cambia:
Sono nuovi soggetti che vanno nominati se partecipano al trattamento dei dati personali con conseguenti responsabilità a proprio carico.

7. Misure di Sicurezza

Il Titolare e il Responsabile del Trattamento devono adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Cosa cambia:
Le misure di sicurezza devono garantire la riservatezza dei dati. Lo scopo è quello di responsabilizzare chi tratta i dati imponendogli di valutare l’adeguatezza delle misure da adottare caso per caso sulla base dei rischi.

Il Titolare può anche avvalersi di codici di condotta e certificazioni, elaborati da associazioni e organismi competenti, per dimostrare di essere in regola.

Come creare documenti privacy aggiornati alla GDPR

Puoi personalizzare e scaricare subito tutti i documenti necessari per rispettare la normativa privacy rispondendo a poche semplici domande guidate:

Inoltre la nostra Consulenza di Adeguamento GDPR siti web permette di adeguare il tuo sito o app a tutti gli adempimenti necessari previsti dal nuovo regolamento europeo privacy. Attraverso un’analisi specifica ti indicheremo i passi necessari per mettere in regola tutti gli aspetti del tuo sito per rispettare il GDPR ed le evitare le sanzioni previste in caso di violazioni della privacy.

Crea il tuo contratto su misura
Creato da avvocati specializzati e personalizzato per te