Per GDPR (“General Data Protection Regulation”) si intende il Regolamento Europeo n. 679/2016 riguardante la protezione dei dati personali, normativa entrata in vigore nei Paesi UE dal 25 maggio 2018.

Se sei un’azienda o uno studio professionale che tratta dati personali in Italia o in un altro Paese dell’Unione Europea, sei tenuto ad adeguarti al GDPR. Il Regolamento si applica anche ad organizzazioni con sede al di fuori dell’Unione Europea, quando, ad esempio, vendono beni o servizi, anche via internet, all’interno dell’Unione Europea (Art. 3 “Ambito di applicazione territoriale”).

Il Regolamento UE 679/2016 si applica ai "dati personali".

Il regolamento, all’articolo 4, definisce come dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. In pratica per dato personale si intende qualsiasi informazione riconducibile ad un individuo.

I dati personali devono essere trattati nel rispetto dei principi di liceità, correttezza e trasparenza.

Il titolare del trattamento è l'entità che determina gli scopi, le condizioni ed i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è l'entità che elabora i dati personali per conto del titolare del trattamento stesso.

L’informativa è un avviso contenente le informazioni che il Titolare del trattamento dei dati è tenuto a fornire a tutti gli interessati. Deve essere chiara e concisa in modo tale da risultare comprensibile agli interessati e deve contenere indicazioni in merito alle procedure di raccoglimento ed utilizzo dei dati.

I soggetti interessati hanno diritto alla cancellazione dei propri dati personali (art. 17 GDPR). Questo diritto si applica quando l’interessato non vuole mantenere il consenso al trattamento dei suoi dati e non ci sono ragioni legittime per conservarli.

Il nuovo Regolamento prevede rilevanti sanzioni in caso di violazione, multe fino a 20 milioni di euro o, nel caso di imprese, fino al 4% del fatturato globale dell’esercizio precedente, se superiore.

Le decisioni del Garante sono impugnabili davanti al Tribunale del luogo ove risiede il titolare, entro 30 giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito

Il mancato esercizio del diritto dinnanzi al titolare del trattamento comporta l’inammissibilità del ricorso. La proposizione immediata del ricorso è possibile solo nel casi in cui il decorso del tempo necessario per interpellare il titolare esporrebbe taluno a pregiudizio imminente o irreparabile.

Il regolamento prevede attività di formazione per i soggetti interessati, ovvero coloro che entrano in gioco nel trattamento dei dati personali, per questo è indispensabile affidarsi a professionisti, come EPRA, in grado di offrire un servizio completo.

Con il termine Data Breach si intende un incidente di sicurezza in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. L’art. 33 del GDPR impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. Il tempo di riferimento da cui iniziano a decorrere i termini della notifica viene individuato quindi nel momento in cui il titolare acquisisce consapevolezza dell’avvenuta violazione.

Si, bisogna rispettare il GDPR se si trattano dati personali, indipendentemente dalle dimensioni dell’azienda.

La nomina del DPO è obbligatoria nel caso di: (a) autorità pubbliche, (b) organizzazioni che si impegnano in un monitoraggio sistematico su larga scala, o (c) organizzazioni che si impegnano nel trattamento su larga scala di dati personali sensibili (articolo 37). Se l’Organizzazione non rientra in una di queste categorie, non è necessario nominare un DPO.

Essere in grado di proteggere i dati è sinonimo di buona impresa, diversamente, un’organizzazione che non è in grado di garantire la protezione del proprio patrimonio informativo, viene emarginata dal mercato in quanto ritenuta inaffidabile e considerata vulnerabile ad attacchi informatici e furti di identità.

EPRA ha nel proprio organico Auditor qualificati per poter verificare, su richiesta del Titolare del trattamento, il corretto utilizzo del sistema e proporre eventuali azioni correttive. Tale attività è auspicabile per garantire il rispetto della normativa e manlevare il Titolare nel caso di controlli e richieste specifiche da parte degli Interessati.

Il Garante per la Protezione dei dati Personali riconosce il Condominio come titolare del trattamento dei dati personali e, di conseguenza, deve adeguarsi al GDPR. Nel condominio deve essere garantito l’equilibrio tra trasparenza della gestione della cosa comune e diritto alla riservatezza degli interessati. All’interno della compagine condominiale si delinea uno schema in base al quale in condominio, come già detto, è titolare del trattamento.

La normativa richiede l’adozione di una serie di misure da parte del Titolare del trattamento, per proteggere i dati personali degli interessati e, in generale, bisogna partire dall’analisi dei dati personali trattati e comprendere quali possano essere i rischi collegati al trattamento. Occorre informare in modo chiaro i soggetti interessati: il GDPR richiede di tenere in modo aggiornato (anche in formato elettronico) il Registro dei dati personali gestiti, chiamato Registro dei Trattamenti. E’ obbligatorio in determinati casi e fortemente consigliato in altri. Rappresenta una misura in grado di garantire il rispetto del principio di trasparenza nel trattamento dei dati.

Affidarsi a professionisti del settore è indispensabile per l’adeguamento alla normativa. Gli esperti EPRA offrono gli strumenti necessari per il raggiungimento della conformità alla normativa vigente e la consulenza per l’applicazione di tali strumenti. Il cliente è seguito, a partire dall’analisi iniziale, passando per l’adozione di misure specifiche fino a fornire consulenza su eventuali misure da adottare in seguito all’eventuale evoluzione normativa.

No, è necessario monitorare i dati trattati. In determinati casi è obbligatorio, generalmente è sempre opportuno tenere il Registro dei trattamenti.

L’adozione di modelli generali, così come elaborati da software gestionali, non considera le peculiarità delle realtà condominiali e delle differenti gestioni poste in essere, determinando un’analisi fuorviante e non sempre idonea. Per l’adeguamento al Regolamento UE n. 679/2016 (GDPR) è opportuno affidarsi a specialisti del settore in grado di compiere un’accurata analisi iniziale, punto di partenza del processo di adeguamento alla normativa in materia di trattamento dei dati personali. Tali professionisti, grazie all’esperienza maturata, indicano con precisione le misure da adottare così come richiesto dal GDPR. Diversamente, una valutazione generica, espone il titolare del trattamento dei dati, alle sanzioni previste dalla normativa vigente (sanzioni civili e penali). Da non sottovalutare l’aspetto formativo. Il Regolamento UE 679/2016 mette in evidenza la formazione: è necessario formare e informare adeguatamente il responsabile e gli incaricati al trattamento dei dati personali, rendendoli edotti circa il trattamento dei rischi che incombono sui dati, le misure idonee per prevenire eventi dannosi, i profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività e circa le responsabilità che ne derivano. Per questo è opportuno affidarsi a soggetti specializzati in grado di soddisfare i diversi aspetti richiesti dalla normativa.

EPRA ha nel proprio organico Auditor qualificati per poter verificare, su richiesta del Titolare del trattamento, il corretto utilizzo del sistema e proporre eventuali azioni correttive. Tale attività è auspicabile per garantire il rispetto della normativa e manlevare il Titolare nel caso di controlli e richieste specifiche da parte degli Interessati.