GDPR

1. Introduzione
L’Italia ha recepito il Regolamento (UE) 2016/679 (GDPR) attraverso il Decreto Legislativo n. 101/2018, che ha modificato il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003).
L’autorità di controllo nazionale è il Garante per la Protezione dei Dati Personali (Garante), responsabile della supervisione e dell’applicazione della normativa in materia di protezione dei dati.

2. Ambito di applicazione
La normativa si applica a:

• Titolari e responsabili del trattamento stabiliti in Italia;
• Soggetti esteri che offrono beni o servizi a interessati in Italia o ne monitorano il comportamento.

Si applica sia al trattamento automatizzato sia a quello manuale contenuto in archivi strutturati, con esclusione delle attività personali o domestiche.

3. Principi del trattamento dei dati
Il trattamento dei dati personali deve rispettare i principi fondamentali del GDPR, tra cui:

• liceità, correttezza e trasparenza;
• limitazione delle finalità;
• minimizzazione dei dati;
• esattezza e aggiornamento;
• limitazione della conservazione;
• integrità e riservatezza.

Il titolare del trattamento è tenuto a garantire una base giuridica valida per ogni operazione di trattamento e la massima trasparenza verso gli interessati.

4. Diritti dell’interessato
Gli interessati godono dei seguenti diritti:

• diritto di accesso e informazione;
• diritto di rettifica e cancellazione (diritto all’oblio);
• diritto alla limitazione del trattamento;
• diritto alla portabilità dei dati;
• diritto di opposizione, incluso il marketing diretto.

Per i minori di 14 anni, il trattamento dei dati richiede il consenso dei genitori o dei tutori legali.
Il Garante richiede che le informazioni sulla privacy siano fornite in modo chiaro, semplice e comprensibile.

5. Obblighi del titolare e del responsabile del trattamento
Il titolare del trattamento deve garantire la conformità al GDPR e alla normativa nazionale italiana.
Il responsabile del trattamento agisce esclusivamente secondo le istruzioni del titolare.

Sono richieste misure tecniche e organizzative adeguate al livello di rischio, tra cui:

• notifica delle violazioni dei dati entro 72 ore al Garante;
• valutazioni d’impatto sulla protezione dei dati (DPIA) per trattamenti ad alto rischio;
• nomina di un Responsabile della Protezione dei Dati (DPO) quando necessario.

Le organizzazioni pubbliche e le imprese di grandi dimensioni devono inoltre garantire la formazione del personale in materia di protezione dei dati.

6. Trasferimento internazionale dei dati
Il trasferimento di dati personali verso paesi al di fuori dell’Unione Europea è consentito solo nel rispetto del Capo V del GDPR, mediante:

• decisioni di adeguatezza della Commissione Europea; oppure
• clausole contrattuali standard (SCC).

Le organizzazioni devono assicurare trasparenza e adeguate garanzie in caso di trasferimento internazionale.

7. Vigilanza e sanzioni
Il Garante dispone di poteri di controllo, indagine e sanzione, e può:

• emettere avvertimenti ufficiali;
• sospendere o vietare il trattamento dei dati;
• imporre sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo.

La normativa italiana consente inoltre di stabilire disposizioni relative ai dati personali post mortem, anche tramite testamento, per tutelare la volontà dell’interessato.

8. Contatti
Per qualsiasi informazione relativa alla protezione dei dati personali, è possibile contattare il nostro servizio clienti tramite i recapiti indicati sul sito ufficiale.