In questa pagina pubblichiamo le Domande più Frequenti sul tema del GDPR, con le relative risposte.
Il 25 Maggio 2018, è entrato in vigore il nuovo Regolamento Generale sulla Protezione dei Dati (RGPD o GDPR), per effetto del Regolamento Europeo che è stato recepito da tutti gli Stati membri.
Tutte le aziende italiane, più o meno strutturate, che possiedono dati di cittadini dell’unione europea si devono adeguare alla normativa europea sulla privacy.
Il regolamento nasce dalla volontà di armonizzare le leggi emanate dai vari Paesi UE, facendo convergere l’impegno finora dimostrato verso un approccio Risk Based: un approccio che consiste nel rendere le aziende in grado di saper valutare i rischi a cui si sottopongono i propri dati.
Le nuove tecnologie ed i nuovi pericoli richiedono maggiore consapevolezza in capo ai titolari dei dati.
Il regolamento si preoccupa dei Dati Personali, considerando poi delle differenze per il trattamento di dati Particolari, Sensibili, Genetici, Biometrici, Giudiziari,… ed in generale i dati che possono pregiudicare la reputazione o la sicurezza degli interessati.
Per Dati Personali si intende qualsiasi dato riferito ad un Nome e Cognome.
Qualsiasi operazione, compiuta con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, la diffusione, il confronto, .. quindi anche chi gestisce i dati in forma cartacea sta trattando i dati dei propri clienti.
I principali diritti sono:
Il DIRITTO DI ACCESSO offre al titolare dei dati la possibilità di ottenere una copia dei dati personali oggetto del trattamento. L’ottico quindi in questo caso dovrà fornirgli (entro un mese) tutti i dati immagazzinati.
La nuova normativa, inoltre, richiede anche che il titolare dovrà indicare il periodo di conservazione previsto o, se non è possibile, i criteri adottati per definire questo periodo.
Il DIRITTO DI CANCELLAZIONE o OBLIO prevede l’obbligo per il titolare del trattamento di procedere all’eliminazione dei dati trattati e di informare della richiesta altri contitolari del trattamento
Il DIRITTO DI LIMITAZIONE DEL TRATTAMENTO è esercitabile in caso di violazioni del consenso o se l’interessato chiede semplicemente la rettifica o si oppone al trattamento.
La PORTABILITÀ’ DEL DATO significa che un titolare del dato ha diritto a richiedere una copia dei dati per il trasferimento ad altra azienda/ente. Sono portabili solo i dati trattai con il consenso dell’interessato.
Come spiega anche Federottica in questo articolo (LINK), ci sono degli aspetti della legge imprescindibili per tutti, mentre altri che vanno verificati caso per caso.
Le pratiche comprendono:
- Informative per il trattamento dei dati (generalmente da far firmare ai clienti ed ai dipendenti),
- Contratti e lettere di nomina per delegare il trattamento ad altri soggetti,
- Procedure di sicurezza ed emergenza
- Un registro di trattamenti
- Formazione per i dipendenti ed i titolari
Riprendendo la FAQ sul registro dei trattamenti del Garante(LINK): sono tenuti a tenere un registro dei trattamenti esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. ottici, odontotecnici, tatuatori ecc.);
Il Titolare del dato è la persona fisica interessata a cui i l dato si riferisce.
Il Titolare del Trattamento è la persona fisica o giuridica (società) che determina le finalità o i mezzi del trattamento (mezzi= strumento informatico o cartaceo)
Il Responsabile del Trattamento è colui che gestisce il dato per conto del titolare (oggi non esiste più titolare interno ed esterno). Possono venir identificati più responsabili del trattamento, quante sono le aziende che gestiscono i dati.
Il titolare dovrebbe ricorrere a responsabili del trattamento quando ha necessità che un trattamento venga fatto per suo conto e voglia garantire la tutela dei diritti dell’interessato: in questo caso il responsabile offre idonee garanzie tecniche organizzative per soddisfare i requisiti del regolamento.
Il contratto deve essere scritto e deve contenere una serie dettagliata di informazioni.
Il DPO ha il compito di facilitare e garantire l’attuazione del regolamento da parte del titolare/responsabile. È obbligatorio nelle pubbliche amministrazioni o in aziende che fanno un uso massivo di dati sanitari e giuridici.
Ha diverse funzioni:
- Fa consulenza al titolare ed al responsabile del trattamento
- Fa attività di sorveglianza all’interno dell’azienda
- È il punto di contatto con le autorità garanti e con queste coopera
- Fa formazione al personale
L’interessato del trattamento (quindi di solito il cliente o il dipendente) può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
Se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti ovvero se la risposta ad un’istanza con cui esercita uno o più dei diritti previsti non perviene nei tempi indicati o non è soddisfacente, l’interessato può rivolgersi all’autorità giudiziaria (Guardia di Finanza) o al Garante per la protezione dei dati personali, mediante un reclamo.
All’istanza il titolare, deve fornire idoneo riscontro, ossia:
– senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
– tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.
Nel caso in cui il titolare riscontri una perdita dati o riceva una istanza che avverte del pericolo, è importante seguire la procedura di databreach per valutare la probabilità e l’entità del danno, per dare o meno comunicazione al Garante ed a tutti gli interessati.
Una perdita di dati potrebbe coincidere con la perdita di una chiavetta USB, oppure potrebbe derivare da un virus o da un furto in negozio…
All’interno dell’informativa per il trattamento dei dati ci sono alcune firme determinanti per poter erogare il servizio al cliente. Se il cliente non accetta di firmare almeno l’accettazione al trattamento dei dati ed al trattamento dei dati particolari, non è possibile raccogliere i dati e le informazioni per poter produrre un occhiale da vista.
Attraverso l’uso della firma grafometrica e l’archiviazione digitale è possibile superare il problema della stampa dei documenti e dell’archivizione cartacea. Per maggiori dettagli contattaci per approfondire la nostra funzione per la gestione della firma grafometrica.
Se vuoi saperne di più ti invitiamo a partecipare gratuitamente al Webinar che abbiamo preparato sull’argomento: puoi iscriverti compilando il form in questa pagina (link) e se non puoi partecipare al live, sarà nostra premura mandarti la registrazione.