EBT COMPARTO ALBERGHI MILANO E PROVINCIA
Search
Menu

Ultime notizie

Protezione dei dati personali – Regolamento (UE) 2016/679 “General Data Protection Regulation” (GDPR)

  • 17 novembre 2017
  • Visualizzazioni: 3412
Protezione dei dati personali – Regolamento (UE) 2016/679 “General Data Protection Regulation” (GDPR)

A decorrere dal 25 maggio 2018, il Regolamento europeo n. 679 del 2016 in materia di “Data Protection” sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri.

Fino al 25 maggio prossimo conserverà pienamente vigore il Codice della privacy (decreto legislativo n. 196 del 2003) con cui il legislatore italiano ha raccolto in un testo unico la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati.

Nonostante il Regolamento prevalga sulla legge nazionale interna, la mera esistenza ed applicazione del Regolamento non comporta l'abrogazione automatica della legge statale regolante la medesima materia.

Per questo motivo, il legislatore nazionale (legge 25 ottobre 2017 n. 163 di delegazione europea 2016-2017, articolo 13) ha delegato il Governo ad adottare, entro il 21 maggio 2018, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Regolamento europeo, attendendosi ad alcuni criteri, tra cui:

  • abrogare espressamente le disposizioni del Codice della privacy incompatibili con le disposizioni contenute nel Regolamento europeo
  • coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal Regolamento europeo
  • adeguare, nell'ambito delle modifiche al Codice della privacy, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento europeo, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

In attesa che il quadro normativo di riferimento diventi più chiaro, e consenta una analisi più precisa degli adempimenti a carico delle nostre imprese, sintetizziamo di seguito le disposizioni del Regolamento europeo di maggiore interesse.

 

ambito di applicazione - articolo 2

Il Regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Il Regolamento non si applica ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, e quindi senza una connessione con un’attività commerciale o professionale.

 

definizioni - articolo 4

Tre le definizioni del Regolamento, sostanzialmente analoghe a quelle riportate nel nostro Codice della privacy, evidenziamo le seguenti:

  • “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)
  • “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione
  • “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali
  • “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

principio di liceità -  articolo 5

I dati personali, come sostanzialmente già previsto dal Codice della privacy, devono essere:

  • trattati in modo lecito, corretto e trasparente
  • raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità
  • adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati
  • esatti e, se necessario, aggiornati
  • conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati
  • trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno.

base giuridica - articolo 6

Ogni trattamento deve trovare fondamento in un'idonea base giuridica. I fondamenti di liceità del trattamento coincidono, in linea di massima, con quelli previsti attualmente dal Codice della privacy. Il trattamento è lecito solo se, e nella misura in cui, ricorre almeno una delle seguenti condizioni:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. Per il Regolamento europeo, il consenso dei minori è valido a partire dai 16 anni. Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, prevalente rispetto al diritto di protezione dei dati dell’interessato.

consenso - articolo 7

Qualora il trattamento sia basato sul consenso (ad esempio nei casi in cui il titolare non ha il diritto o l’obbligo legale di trattare i dati, o il trattamento non è effettuato in esecuzione di un contratto o in adempimento di misure precontrattuali, come già previsto dal Codice della privacy), questo deve essere informato, specifico, libero ed inequivocabile.

Non è richiesta la forma scritta, né che sia "documentato per iscritto", ma il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.

 

categorie particolari di dati personali (dati sensibili) - articolo 9

Tranne nei casi sotto indicati, è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Il divieto, come sostanzialmente già previsto dal Codice della privacy e con alcune garanzie che saranno previste dal diritto nazionale, non si applica:

  • se l’interessato ha prestato il proprio consenso, che deve essere esplicito, al trattamento di tali dati personali per una o più finalità specifiche
  • se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato
  • il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso
  • il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato, o è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, o è necessario per motivi di interesse pubblico
  • il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.

informativa - articoli 12, 13 e 14

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (come già previsto dal Codice della privacy). Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Il Regolamento ammette l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma solo "in combinazione" con l'informativa estesa (articolo 12, paragrafo 7). Queste icone dovranno essere identiche in tutta l'Ue e saranno definite prossimamente dalla Commissione europea.

I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e in parte sono più ampi rispetto al Codice.

Nel caso di dati personali non raccolti direttamente presso l'interessato (articolo 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione dei dati (a terzi o all'interessato).

Tra le informazioni che il titolare del trattamento deve obbligatoriamente fornire all’interessato:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
  • gli eventuali destinatari
  • se trasferisce i dati personali in Paesi terzi.

In aggiunta, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo (come già previsto in numerosi provvedimenti del Garante)
  • l’esistenza di diritti per l’interessato (diritto di accesso, rettifica, cancellazione, limitazione, opposizione) e la possibilità di proporre reclamo all’autorità di controllo
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione
  • qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento indica all’interessato la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

diritti dell’interessato – articoli da 15 a 22

All’interessato sono riconosciuti alcuni diritti, tra cui il diritto di:

  • accedere ai dati personali
  • •ottenere la rettifica o la cancellazione di dati personali
  • •ottenere la limitazione del trattamento o opporsi ad esso
  • proporre reclamo all’autorità di controllo.

valutazione dei rischi e misure tecniche e organizzative per garantire la sicurezza - articoli 24, 28, 29, 32, 40, 41, 42 e 43

Sulla base del principio di "responsabilizzazione", il titolare analizza i rischi inerenti il trattamento, quali la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzato, che potrebbero cagionare un danno fisico, materiale o immateriale. A seguito dell’analisi dei rischi, viene valutato l’adeguato livello di sicurezza, attuando le misure ritenute idonee per limitare tali rischi.

Il titolare del trattamento deve quindi mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento europeo, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Dette misure sono riesaminate e aggiornate qualora necessario.

Dopo l’entrata in vigore del Regolamento, pertanto, non potranno più sussistere obblighi generalizzati di adozione di “misure minime di sicurezza” (quali quelle finora previste dal disciplinare di cui all’allegato B del Codice della privacy), poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

Il Regolamento richiede inoltre che il responsabile del trattamento, definito come la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento, ove nominato dal titolare, debba presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento.

Il responsabile del trattamento, o chiunque agisce sotto la sua autorità o sotto quella del titolare del trattamento, non può trattare dati personali se non è istruito in tal senso dal titolare del trattamento.

Si richiama l'attenzione anche sulla possibilità di utilizzare l'adesione a specifici codici di condotta o a schemi di certificazione per attestare l'adeguatezza delle misure di sicurezza adottate. L’Autorità Garante, tuttavia, facendo anche riferimento alle prescrizioni contenute nel Codice della privacy, potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni.

Viene infatti incoraggiata l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese.

Le associazioni e gli altri organismi rappresentativi di categorie di soggetti titolari o responsabili di trattamenti possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l’applicazione del Regolamento. Il codice di condotta deve essere approvato dall’Autorità Garante.

Il controllo della conformità con un codice di condotta può essere effettuato da un organismo di certificazione accreditato. Non è ancora chiaro a chi verrà affidato il ruolo di ente di accreditamento ai fini del Regolamento, né sono stati definiti i "requisiti aggiuntivi" per l'accreditamento degli organismi di certificazione e i criteri di certificazione. L’Autorità Garante e ACCREDIA (Organismo nazionale di accreditamento) stanno collaborando per poter garantire l'avvio delle attività di accreditamento e certificazione alla data dell’entrata in vigore del Regolamento.

 

designazione del responsabile della protezione dei dati (DPO - Data Protection Officer) - articolo 37

Il titolare o il responsabile del trattamento designano un responsabile della protezione dei dati ogniqualvolta:

  • le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

oppure

  • le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), o i dati personali relativi a condanne penali e a reati.

Dalla lettura delle considerazioni preliminari del Regolamento (considerando n. 97) si evince che l’obbligo di designazione del DPO sussiste solo se il trattamento di dati costituisce l’attività primaria, e non si tratta di attività accessoria.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti assegnati dal Regolamento, tra cui informare e fornire consulenza in materia di protezione dei dati al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento.

Il responsabile della protezione dei dati può essere un dipendente del titolare o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. Il titolare o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

L’Autorità Garante ha chiarito che la normativa attuale non prevede l'obbligo per i candidati a DPO di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all'esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo di DPO. La normativa attuale, tra l'altro, non prevede l'istituzione di un albo dei "responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. I soggetti tenuti alla nomina del DPO dovranno quindi procedere alla sua selezione valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnare.

 

 registro delle attività di trattamento - articolo 30

Il titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Il registro deve contenere tutte le informazioni sui trattamenti effettuati, elencate nell’articolo 30. Si tratta di un nuovo adempimento (che sostanzialmente coincide con l’obbligo di notificazione del trattamento previsto dall’articolo 38 del Codice della privacy).

La tenuta del registro non è obbligatoria per le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), o i dati personali relativi a condanne penali e a reati.

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì è parte integrante di un sistema di corretta gestione dei dati personali, allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda, indispensabile per ogni valutazione e analisi del rischio.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. Il Garante intende elaborare un modello di registro dei trattamenti, da mettere a disposizione sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni.

 

notifica delle violazioni di dati personali - articolo 33 e 34

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica al Garante non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.

Sull’argomento, si attendono le linee-guida specifiche del Comitato europeo della protezione dati.

 

diritto al risarcimento e responsabilità - articolo 82

Chiunque subisca un danno materiale o immateriale causato da una violazione di una norma del Regolamento ha il diritto di ottenere il risarcimento dal titolare o dal responsabile del trattamento, a meno che l’evento dannoso non sia loro imputabile.

 

sanzioni amministrative pecuniarie – articoli 83 e 84

Ai sensi del Regolamento, l’autorità nazionale (Autorità Garante) provvede affinché le sanzioni amministrative pecuniarie ivi previste siano in ogni singolo caso effettive, proporzionate e dissuasive.

Nei casi più gravi, il Regolamento prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.


Clicca il link di seguito per scaricare l'allegato:

- Privacy

Pubblicazione del "Monitor RES" del mese di Settembre 2017 Pubblicazione del "Monitor RES" del mese di Settembre 2017 Pubblicazione del "Monitor RES" del mese di Ottobre 2017 Pubblicazione del "Monitor RES" del mese di Ottobre 2017
Print
Categorie: Apam
Tags: Apam Privacy

Name:
Email:
Subject:
Message:
x

Ricerca

«maggio 2024»
lunmarmergiovensabdom
293012345
6789101112
13141516171819
20212223242526
272829303112
3456789

EBT Alberghi Milano

Dal 1997 al servizio delle aziende del settore turismo.

Contatti

Corso Buenos Aires, 77
20121 - Milano - MI

Tel:  02 66797240
Fax: 02 66797249

Email: info@ebtalberghimi.it

Go to top

Copyright 2024 by EBT - Comparto Alberghi Milano

Privacy