DOMANDE

FREQUENTI

GENERALI

Che cos’è il GDPR?


Per GDPR (“General Data Protection Regulation”) si intende il Regolamento Europeo n. 679/2016 riguardante la protezione dei dati personali, normativa entrata in vigore nei Paesi UE dal 25 maggio 2018.




Sono tenuto ad applicare il Regolamento UE n. 679/2016?


Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il Regolamento si applica anche ad organizzazioni con sede al di fuori dell’Unione Europea, quando, ad esempio, vendono beni o servizi, anche via internet, all’interno dell’Unione Europea (Art. 3 “Ambito di applicazione territoriale”).




A quali informazioni si applica il GDPR?


Il Regolamento UE 679/2016 si applica ai "dati personali".




Che cos’è un dato personale?


Il regolamento, all’articolo 4, definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In pratica per dato personale si intende qualsiasi informazione riconducibile ad un individuo.




Quali principi devono essere soddisfatti nel trattamento dei dati personali?


I dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza.




Il Regolamento individua diverse figure, tra le quali il Titolare del Trattamento e il Responsabile del Trattamento. Che differenza c’è tra queste due figure?


Il titolare del trattamento è l'entità che determina gli scopi, le condizioni ed i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è l'entità che elabora i dati personali per conto del titolare del trattamento stesso.




Cosa si intende per informativa?


L’informativa è un avviso contenente le informazioni che il Titolare del trattamento dei dati è tenuto a fornire a tutti gli interessati. Deve essere chiara e concisa in modo tale da risultare comprensibile agli interessati e deve contenere indicazioni in merito alle procedure di raccoglimento ed utilizzo dei dati.




Cos’è il diritto all’oblio?


I soggetti interessati hanno diritto alla cancellazione dei propri dati personali (art. 17 GDPR). Questo diritto si applica quando l’interessato non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.




In caso di mancato adeguamento alla normativa, sono previste sanzioni?


Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, multe fino a 20 milioni di euro o, nel caso di imprese, fino al 4% del fatturato globale dell’esercizio precedente, se superiore.




Si può impugnare la decisione del Garante?


Le decisioni del Garante sono impugnabili davanti al Tribunale del luogo ove risiede il titolare, entro 30 giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito




Si deve sempre interpellare il titolare prima di proporre ricorso al Garante?


Il mancato esercizio del diritto dinnanzi al titolare del trattamento comporta l’inammissibilità del ricorso. La proposizione immediata del ricorso è possibile solo nel casi in cui il decorso del tempo necessario per interpellare il titolare esporrebbe taluno a pregiudizio imminente o irreparabile.




Che ruolo è riservato alla formazione?


Il regolamento prevede attività di formazione per i soggetti interessati, ovvero coloro che entrano in gioco nel trattamento dei dati personali, per questo è indispensabile affidarsi a professionisti, come EPRA, in grado di offrire un servizio completo.




Cos’è il Data Breach?


Con il termine Data Breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. L’art. 33 del GDPR impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.





AZIENDE

Sono un’azienda di piccole dimensioni, con un numero limitato di dipendenti, devo adeguarmi al GDPR?


Si, bisogna rispettare il GDPR se si trattano dati personali, indipendentemente dalle dimensioni dell’azienda.




La mia azienda è tenuta a nominare un Data Protection Officer (DPO)?


La nomina del DPO è obbligatoria nel caso di: (a) autorità pubbliche, (b) organizzazioni che si impegnano in un monitoraggio sistematico su larga scala, o (c) organizzazioni che si impegnano nel trattamento su larga scala di dati personali sensibili (articolo 37). Se l’Organizzazione non rientra in una di queste categorie, non è necessario nominare un DPO.




Che tipo di vantaggi comporta per una azienda la corretta applicazione del GDPR 2016/679?


Essere in grado di proteggere i dati è sinonimo di buona impresa, diversamente, un’organizzazione che non è in grado di garantire la protezione del proprio patrimonio informativo, viene emarginata dal mercato in quanto ritenuta inaffidabile e considerata vulnerabile ad attacchi informatici e furti di identità.




Come posso essere garantito della corretta applicazione del “sistema Privacy” della mia azienda?


EPRA ha nel proprio organico Auditor qualificati per poter verificare, su richiesta del Titolare del trattamento, il corretto utilizzo del sistema e proporre eventuali azioni correttive. Tale attività è auspicabile per garantire il rispetto della normativa e manlevare il Titolare nel caso di controlli e richieste specifiche da parte degli Interessati.





CONDOMINIO

Il Condominio deve rispettare il GDPR?


Il Garante per la Protezione dei dati Personali riconosce il Condominio come titolare del trattamento dei dati personali e, di conseguenza, deve adeguarsi al GDPR. Nel condominio deve essere garantito l’equilibrio tra trasparenza della gestione della cosa comune e diritto alla riservatezza degli interessati. All’interno della compagine condominiale si delinea uno schema in base al quale in condominio, come già detto, è titolare del trattamento.




Cosa bisogna fare per adeguarsi?


La normativa richiede l’adozione di una serie di misure da parte del Titolare del trattamento, per proteggere i dati personali degli interessati e, in generale, bisogna partire dall’analisi dei dati personali trattati e comprendere quali possano essere i rischi collegati al trattamento. Occorre informare in modo chiaro i soggetti interessati: il GDPR richiede di tenere in modo aggiornato (anche in formato elettronico) il Registro dei dati personali gestiti, chiamato Registro dei Trattamenti. E’ obbligatorio in determinati casi e fortemente consigliato in altri. Rappresenta una misura in grado di garantire il rispetto del principio di trasparenza nel trattamento dei dati.




L’adeguamento al Regolamento è semplice adozione di modulistica dedicata o è importante affidarsi a specialisti come EPRA?


Affidarsi a professionisti del settore è indispensabile per l’adeguamento alla normativa. Gli esperti EPRA offrono gli strumenti necessari per il raggiungimento della conformità alla normativa vigente e la consulenza per l’applicazione di tali strumenti. Il cliente è seguito, a partire dall’analisi iniziale, passando per l’adozione di misure specifiche fino a fornire consulenza su eventuali misure da adottare in seguito all’eventuale evoluzione normativa.




Oltre la nomina delle figure individuate dal Regolamento, è sufficiente la semplice adozione della modulistica?


No, è necessario monitorare i dati trattati. In determinati casi è obbligatorio, generalmente è sempre opportuno tenere il Registro dei trattamenti.




Sono un amministratore di condominio e dispongo di un software gestionale che consente l’elaborazione della documentazione dedicata alla privacy. Posso ritenermi in regola con gli adempimenti previsti dal Regolamento UE 679/2016?


L’adozione di modelli generali, così come elaborati da software gestionali, non considera le peculiarità delle realtà condominiali e delle differenti gestioni poste in essere, determinando un’analisi fuorviante e non sempre idonea. Per l’adeguamento al Regolamento UE n. 679/2016 (GDPR) è opportuno affidarsi a specialisti del settore in grado di compiere un’accurata analisi iniziale, punto di partenza del processo di adeguamento alla normativa in materia di trattamento dei dati personali. Tali professionisti, grazie all’esperienza maturata, indicano con precisione le misure da adottare così come richiesto dal GDPR. Diversamente, una valutazione generica, espone il titolare del trattamento dei dati, alle sanzioni previste dalla normativa vigente (sanzioni civili e penali). Da non sottovalutare l’aspetto formativo. Il Regolamento UE 679/2016 mette in evidenza la formazione: è necessario formare e informare adeguatamente il responsabile e gli incaricati al trattamento dei dati personali, rendendoli edotti circa il trattamento dei rischi che incombono sui dati, le misure idonee per prevenire eventi dannosi, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività e circa le responsabilità che ne derivano. Per questo è opportuno affidarsi a soggetti specializzati in grado di soddisfare i diversi aspetti richiesti dalla normativa.




Come posso essere garantito della corretta applicazione del “sistema Privacy” del mio condominio?


EPRA ha nel proprio organico Auditor qualificati per poter verificare, su richiesta del Titolare del trattamento, il corretto utilizzo del sistema e proporre eventuali azioni correttive. Tale attività è auspicabile per garantire il rispetto della normativa e manlevare il Titolare nel caso di controlli e richieste specifiche da parte degli Interessati.





Epra S.r.l.

P.iva 14821521003

2019 All rights reserved Epra S.r.l.