Avvocato Civilista Legnano, Busto Arsizio e Rho Stefano Poretti > Aree di Attività > Diritto Tributario e d’Impresa > GDPR e Privacy

GDPR e Privacy

1. Cos’è il General Data Protection Regulation?
2. L’Informativa Privacy rilasciata all’utente e il GDPR
3. Come impatta il GDPR sulle imprese
4. Privacy, i principali obblighi del titolare
5. Le sanzioni in caso di violazione del GDPR
6. Come possiamo aiutarti
7. Vuoi avere più informazioni?

Il Fruttivendolo e i numeri di telefono rubati

Spesso trattiamo i dati personali senza quasi rendercene conto. Recentemente mi è capitato di dare il mio numero di telefono al fruttivendolo sotto casa per concordare la consegna della spesa, e trovarmi in un gruppo whatsapp con altre 100 persone che ricevevano promozioni insieme a me. Lodevole tentativo di marketing, ma quando poi il cellulare è stato rubato, nessuno dei clienti era così contento che i propri dati fossero stati utilizzati con così tanta leggerezza (sapevi per esempio che in caso di data breach il gestore dei dati ha un lasso di tempo molto breve per informare tutti i propri utenti?!)

Ma ricominciamo da capo e andiamo con ordine:

1. Cos’è General Data Protection Regulation?

Il Gdpr, General data protection regulation, è il regolamento europeo n. 2016/679 su privacy e dati.

Il regolamento è uno degli atti legislativi dell’Unione europea, insieme a direttive e decisioni. A differenza di queste ultime, si caratterizza per avere portata generale (vale in tutti i paesi) e applicabilità diretta in tutti i suoi elementi (diventa legge subito, senza dover passare per il recepimento da parte degli Stati membri).

Il regolamento su Privacy e Dati, Gdpr ha uniformato le leggi europee sul trattamento dati e il diritto degli utenti di controllare i propri dati, il loro utilizzo, e la loro cessione.

Il regolamento si compone di 99 articoli e istituisce alcune novità importantissime rispetto alla previgente legge sulla privacy, il d. lgs. 196/2003:

1) il diritto all’oblio: gli utenti possono chiedere di rimuovere le proprie informazioni a chi le possiede;

2) la «portabilità» dei dati, che si possono trasferire dati da una piattaforma all’altra;

3) l’obbligo di notifica in caso di data breach: le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo entro 72 ore ai titolari dei dati.

I destinatari delle norme contenute nel regolamento sono i «titolari del trattamento», ossia chi gestisce le informazioni: privati e, soprattutto, aziende, che devono conformarsi ai principi su citati.

2. L’Informativa Privacy rilasciata all’utente e il GDPR

Il GDPR è il regolamento europeo su privacy e dati che ha avuto il compito di uniformare le leggi europee sul trattamento dati e il diritto degli utenti a essere in pieno controllo dei propri dati, rilasciati a terze persone.

Per tutte le procedure in cui vengono raccolti i dati personali, infatti, deve esser fornito esplicito consenso al trattamento (che parimenti può essere revocato in qualsiasi momento) e il fornitore del servizio deve specificare quali tipi di dati personali vengono raccolti e a che scopo vengono usati (c.d. finalità di trattamento).

L’informativa privacy rilasciata all’utente, dunque, dovrà specificare:

che tipo di dati vengono raccolti,
per quali finalità
come saranno usati
per quanto tempo
il diritto dell’utente di revocare il consenso.

Di contro, sarà necessario che l’utente acconsenta alla raccolta e al trattamento dei dati (avendo sempre l’opzione di poter cambiare idea e revocare il consenso) in modo libero ed esplicito.

3. Come impatta il GDPR sulle imprese

L’impatto è più ampio di quanto si possa pensare, perché il Gdpr riguarda le aziende che gestiscono qualsiasi tipo di dato personale. Dalle informazioni sui propri dipendenti alla profilatura dei propri clienti.

4. Privacy, i principali obblighi del titolare

1) Il titolare del trattamento dovrà richiedere in forma chiara il consenso al trattamento, esplicitando e differenziando detta richiesta in base alle c.d. “finalità di trattamento”. Pertanto, l’azienda dovrà istituire un registro delle attività (come previsto dall’articolo 30), che includa le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione.

2) Eventuali violazioni dei dati (c.d. data breaches) dovranno essere notificate ai destinatari entro 72 ore (articolo 33).

3) Dovrà essere designato un «responsabile protezione dati» (articolo 37) nei casi previsti dalla norma, ed autorizzate secondo limiti ben precisi (meglio se attraverso una c.d. lettera di incarico) il trattamento dei dati da parte di altri soggetti, sia interni (per esempio, i dipendenti) che esterni (commercialista, avvocato, e così via) all’azienda.

5. Le sanzioni in caso di violazione del GDPR

A seconda della gravità dell’infrazione, le multe in caso di violazione del GDPR sono divise in due scaglioni:

fino a un massimo di 10 milioni di euro o, per le imprese, il 2% del fatturato (se superiore);
oppure fino a un massimo di 20 milioni o il 4% del turnover, sempre per le aziende e sempre in rapporto al giro d’affari.

Ovviamente le sanzioni sono graduate a seconda della gravità della sanzione, a partire dalla trasgressione di principi come la progettazione della protezione dei dati o la carenza di misure per garantire la sicurezza, sino alla violazione del diritto all’oblio o la scarsità di trasparenza nell’informativa.

6. Come possiamo aiutarti?

Analisi del tuo sito web dal punto di vista legale (conservazione e acquisizione consensi, form di contatto, newsletter, ecc.).
Redazione di privacy e cookie policy.
Integrazione o predisposizione di informative e contratti.
Liberatorie utilizzo di dati e immagini.
Audit aziendale.
Diritto all’oblio.
Redazione del registro del trattamento dei dati e documentazione aziendale.