FAQ

Impariamo insieme qualche concetto fondamentale su Privacy, protezione dei dati, tutela della riservatezza e sui servizi offerti da PLC
faq
brw

Frequently Asked Questions

Domande e Risposte comuni a cura di Privacy Law Consulting
top_left_dark_blue_3
Privacy Law Consulting
01
Cos'è il GDPR?

Il Regolamento Europeo 2016/679/UE (cosiddetto GDPR o RGPD nell’acronimo italiano) è la nuova normativa europea relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati divenuta definitivamente applicabile in tutti i Paesi dell’Unione il 25 maggio 2018. Il regolamento conferma che ogni trattamento deve trovare fondamento in un’idonea base giuridica e rafforza la tutela nazionale e internazionale dei diritti e delle libertà degli interessati. Introduce nuovi obblighi e responsabilità per i titolari del trattamento e s’incentra sul principio di responsabilizzazione (c.d. “accountability”) di chi tratta i dati altrui. Nel Regolamento viene disciplinata la nuova figura del DPO, la valutazione di impatto privacy, il registro delle attività di trattamento, l’istituto della violazione di dati (il c.d. “data breach”) e si porta avanti un nuovo e più razionale approccio alla sicurezza delle informazioni.

02
Chi deve adeguarsi?

La nuova normativa europea (integrata con le disposizioni vigenti nei singoli Stati) si applica a tutte le imprese di qualsiasi dimensione, ai liberi professionisti, a Enti e Pubbliche Amministrazioni di ogni ordine e grado, alle associazioni, alle fondazioni, che effettuino in maniera non occasionale trattamenti di dati personali e con l’esclusione dei trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.

03
Cosa si rischia a non rispettare la legge?

Si rischiano sanzioni amministrative pesantissime fino a venti milioni di euro ovvero al 4% del fatturato mondiale di un anno se superiore a quell’importo. Gli interessati danneggiati da un non corretto trattamento dei propri dati possono richiedere un risarcimento in sede civile. Sussistono anche molte ipotesi in cui la violazione normativa è presidiata da una sanzione penale e, per i pubblici dipendenti, è sempre presente il rischio di vedersi contestare il danno erariale dalla Corte dei Conti.

04
Quali regole si applicano al consenso dell’interessato?

Con riferimento alle categorie particolari di dati, il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati compresa la profilazione. Non deve essere necessariamente “documentato per iscritto”, né è richiesta obbligatoriamente la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”. Il titolare deve, però, essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Il consenso dei minori è valido a partire dai 16 anni: prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto. Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile.

05
Cosa si intende per trattamento?

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

06
In quali ipotesi si verifica un data breach?

Il data breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. In caso di violazione dei dati personali, Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale. Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

07
Come deve essere un’informativa privacy?

Il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. L’informativa è fornita, in linea di principio, per iscritto e preferibilmente in formato elettronico. È opportuno che i titolari di trattamento verifichino la rispondenza delle informative utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del Regolamento.

08
In che termini si devono riscontrare i diritti dell’interessato?

Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), un mese, estendibile fino a tre mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro un mese dalla richiesta, anche in caso di diniego. La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

09
Che Servizi offre Privacy Law Consulting?

L’erogazione del servizio di consulenza e assistenza al cliente di PLC sarà assicurata da un team (senior partner, laddove necessario affiancato da uno junior partner) che si interfaccerà con un referente privacy interno, appositamente individuato dal Cliente, incaricato di canalizzare e veicolare le richieste di consulenza e assistenza provenienti dagli uffici interni. Il Servizio offerto comprenderà la predisposizione/adeguamento della privacy policy del Cliente applicabile tanto nelle relazioni interne e nell’uso degli strumenti informatici messi a disposizione dei dipendenti, quanto nei rapporti con gli interessati esterni, i responsabili e i contitolari. Potranno essere fornite alle risorse operative apposite istruzioni, diversificate per ruolo e si potrà mettere a disposizione anche l’assistenza direttamente in house, con turni da concordare, garantendo la presenza di un nostro junior partner, per l’esame congiunto con i responsabili di settore delle eventuali problematiche legate alla privacy emerse nell’ambito dei processi interni. Si provvederà alla predisposizione e fornitura di tutta la “modulistica” necessaria e saranno garantiti al bisogno pareri e assistenza legale nelle materie legate alla protezione dei dati personali e ai diritti della personalità.

10
Organizzate corsi di formazione?

Anche al di fuori dei contratti di consulenza, PLC organizza periodicamente corsi di formazione e aggiornamento in materia di privacy destinati non solo al rispetto dell’obbligo formativo delle persone autorizzate e degli amministratori di sistema, ma anche con lo scopo di fornire l’occasione a quanti si occupano di privacy di confrontarsi fra loro e vedere chiariti i propri dubbi applicativi da esperti del settore. Per questa ragione PLC si avvale di docenti di provata competenza con i quali esaminare e discutere, nel corso dei seminari, casi pratici legati allo sviluppo delle attività reali svolte in Aziende Private e Pubbliche Amministrazioni, studiare le interazioni della materia con altri testi normativi, risolvere dubbi applicativi e mettere a disposizione materiale utile a facilitare l’implementazione in aziende e pubbliche amministrazioni di quanto previsto dal GDPR, dal Codice della privacy nella sua versione aggiornata e dai più rilevanti provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali. Ai partecipanti a ciascun corso sarà rilasciato un attestato di frequenza e, se richiesto, potrà anche essere somministrato un questionario utile a determinare la corretta comprensione dei temi trattati. Su richiesta, lo Studio organizza – anche presso le sedi dei soggetti committenti – iniziative per la formazione professionale del personale.