GDPR

1. Introduzione

L’Italia ha adeguato la propria normativa nazionale al Regolamento Generale sulla Protezione dei Dati (GDPR) attraverso il Decreto Legislativo n. 101/2018 del 10 agosto 2018, che ha modificato il precedente Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003).

L’autorità nazionale competente in materia di protezione dei dati personali è il Garante per la Protezione dei Dati Personali (“Garante”), incaricato di vigilare sull’applicazione del GDPR e della normativa italiana in materia di privacy.

2. Ambito di applicazione

La normativa italiana sulla protezione dei dati si applica:

• ai titolari e responsabili del trattamento stabiliti in Italia;
• ai soggetti stabiliti al di fuori dell’Unione Europea che offrono beni o servizi a persone residenti in Italia;
• ai soggetti che monitorano il comportamento degli utenti situati nel territorio italiano.

La normativa si applica sia ai trattamenti automatizzati sia ai trattamenti manuali organizzati in archivi strutturati, con esclusione delle attività esclusivamente personali o domestiche.

3. Principi del trattamento dei dati

Il trattamento dei dati personali deve avvenire nel rispetto dei principi previsti dal GDPR e dalla normativa italiana, tra cui:

• liceità, correttezza e trasparenza;
• limitazione delle finalità;
• minimizzazione dei dati;
• accuratezza e aggiornamento dei dati;
• limitazione del periodo di conservazione;
• integrità, sicurezza e riservatezza delle informazioni.

Il titolare del trattamento deve garantire che ogni attività di trattamento sia fondata su una valida base giuridica e che gli interessati ricevano informazioni chiare e comprensibili.

4. Diritti degli interessati

Gli utenti e gli interessati godono dei diritti previsti dal GDPR, inclusi:

• diritto di accesso ai dati personali;
• diritto di rettifica;
• diritto alla cancellazione (“diritto all’oblio”);
• diritto alla limitazione del trattamento;
• diritto alla portabilità dei dati;
• diritto di opposizione al trattamento, inclusa l’opposizione al marketing diretto.

Per i minori di età inferiore ai 14 anni, il trattamento dei dati personali richiede il consenso dei genitori o del tutore legale.

Il Garante richiede inoltre che tutte le informative privacy siano redatte in modo semplice, chiaro e facilmente comprensibile in lingua italiana.

5. Obblighi del titolare e del responsabile del trattamento

Il titolare del trattamento è tenuto a garantire la conformità del trattamento alle disposizioni del GDPR e della normativa nazionale applicabile.

Il responsabile del trattamento può trattare i dati esclusivamente secondo le istruzioni ricevute dal titolare.

Tra gli obblighi principali rientrano:

• l’adozione di adeguate misure tecniche e organizzative di sicurezza;
• la protezione dei dati contro accessi non autorizzati, perdita o divulgazione;
• la notifica di eventuali violazioni dei dati personali (“data breach”) al Garante entro 72 ore, ove richiesto;
• la realizzazione di valutazioni d’impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio;
• la nomina di un Responsabile della Protezione dei Dati (DPO), ove previsto dalla legge.

Le autorità italiane raccomandano inoltre attività di formazione interna per dipendenti e collaboratori in materia di protezione dei dati personali.

6. Trasferimento internazionale dei dati

Il trasferimento di dati personali verso Paesi situati al di fuori dello Spazio Economico Europeo deve avvenire nel rispetto del Capitolo V del GDPR.

Tali trasferimenti possono basarsi, ad esempio, su:

• decisioni di adeguatezza adottate dalla Commissione Europea;
• Clausole Contrattuali Standard (SCCs);
• altre garanzie appropriate previste dal GDPR.

Le organizzazioni sono tenute ad adottare misure adeguate per garantire la sicurezza e la trasparenza dei trasferimenti internazionali di dati.

7. Vigilanza e sanzioni

Il Garante per la Protezione dei Dati Personali dispone di poteri ispettivi, correttivi e sanzionatori.

In caso di violazioni della normativa, il Garante può:

• emettere ammonimenti o avvisi formali;
• ordinare la limitazione o la sospensione del trattamento;
• imporre sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione, secondo quanto previsto dal GDPR.

La normativa italiana riconosce inoltre la possibilità per gli interessati di stabilire disposizioni relative al trattamento dei propri dati personali dopo il decesso, nel rispetto delle volontà espresse.

8. Contatti

Per qualsiasi domanda relativa alla protezione dei dati personali o all’esercizio dei diritti previsti dalla normativa applicabile, gli utenti possono contattare il servizio privacy attraverso i recapiti indicati sul sito ufficiale.