F.A.Q. GDPR

In questa pagina riportiamo alcune domande ricorrenti relative al nuovo Regolamento Europeo sulla Protezione dei Dati e le relative risposte.

Il GDPR (Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 Aprile 2016) è, dal 25 maggio 2018, il principale testo normativo sulla protezione dei dati nell’UE, direttamente applicabile a tutti gli Stati membri. 

Il GDPR ha introdotto maggiori tutele per le persone fisiche e maggiori responsabilità per le imprese; è stato recepito a livello nazionale con il Decreto Legislativo 101/2018 in vigore dal 19 Settembre 2018.
Il citato D.Lgs va ad adeguare il Codice Privacy  (Decreto legislativo 30 giugno 2003, n. 196) alle nuove disposizioni.

Il GDPR si applica a tutte le attività e organizzazioni che operano all’interno dell’UE.

Si applica anche alle realtà al di fuori dell’UE che offrono beni o servizi a privati ​​nell’UE.

Se tratti i dati personali dei tuoi dipendenti, gli indirizzi e-mail di lavoro o i numeri di telefono di clienti e fornitori stai trattando dati personali che rientrano nell’ambito del GDPR.

Il Titolare del Trattamento è il principale responsabile, insieme al Responsabile del Trattamento.
In molti casi, è necessario nominare un Responsabile della Protezione dei Dati per supervisionare la conformità GDPR (in qualità di consulente).
Se si è un’autorità pubblica o se si eseguono determinati tipi di trattamenti, il GDPR introduce l’obbligo legale di nomina di un responsabile della protezione dei dati (DPO).

Il GDPR protegge tutti i tipi di dati personali, incluse informazioni di base sull’identità (a partire da nome e cognome), dati finanziari, dati web e altro.

Alcuni tipi di dati non possono essere elaborati a meno che l’interessato non abbia dato il proprio consenso esplicito (o si rientri in particolari casistiche); nell’ elenco di questi tipi “particolari” di dati sono inclusi i dati biometrici, i dati di origine razziale o etnica, le opinioni politiche e i dati sulla salute.

È ancora possibile inviare e-mail “non richieste” a contatti esistenti con cui si ha una relazione commerciale, ma la legge è ora molto più restrittiva per quanto riguarda le e-mail di marketing in generale.

L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

L’interessato ha diritto di ottenere (art. 15, 16,17, 18, 20, 77 Regolamento): a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati (art. 16 Regolamento); b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati, l’eventuale limitazione del trattamento (art. 17 e art. 18 Regolamento); c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. d) e di richiedere il diritto di accesso ai dati personali trattati (art. 15 Regolamento) e) la portabilità dei dati (art. 20 regolamento) f) proporre reclamo ad una autorità di controllo (art. 77 Regolamento)

L’interessato ha diritto di opporsi, in tutto o in parte (art. 21 del Regolamento): a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta salvo i diritti riconosciuti dalla legge al titolare; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Questo il testo come riportato al paragrafo 13 dell’Art.22 (D.lgs 101/2018 pubblicato in Gazzetta il 10 Agosto 2018) :

“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Questo, a nostro avviso, sembrerebbe piuttosto suggerire che nei primi otto mesi le eventuali sanzioni avranno misura ridotta.
In nessuna parte del decreto si lascia ad intendere che le sanzioni siano sospese.

Ho raccolto nella pagina che segue tutta la principale documentazione relativa al Regolamento e al nuovo Codice Privacy italiano:
Risorse ufficiali per la formazione GDPR.