Spesso relegata in secondo piano, la compliance in materia di trattamento dei dati non è di poca rilevanza: le violazioni della normativa applicabile possono comportare sanzioni amministrative fino a 20.000.000€ o fino al 4 % del fatturato mondiale annuo, se superiore. Di seguito, sintetizziamo i principali adempimenti previsti dal Regolamento (UE) 2016/679 c.d. GDPR.

1. Trattamento di dati personali

Per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Per “trattamento” si intende qualsiasi attività compiuta sui dati personali (raccolta, condivisione, cancellazione, anonimizzazione).

2. Base giuridica del trattamento

Per essere lecito, il trattamento dei dati personali deve essere fondato su:

• il consenso (informato, libero e specifico) dell’interessato, oppure
• una delle basi giuridiche di cui all’art. 6 GDPR, cioè:
• esecuzione di un contratto o di misure precontrattuali;
• adempimento di un obbligo legale;
• salvaguardia di interessi vitali;
• compito di interesse pubblico o connesso all'esercizio di pubblici poteri;
• legittimo interesse del titolare del trattamento. Il perseguimento del legittimo interesse è lecito solo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato.

3. Principali soggetti coinvolti nel trattamento

Il “Titolare del trattamento” determina le finalità e le modalità del trattamento.

Il “Responsabile del trattamento” tratta i dati personali per conto del titolare del trattamento.

Il “Data Protection Officer” (DPO) è il responsabile interno della protezione dei dati. Si occupa di garantire la conformità alla normativa in materia di trattamento dei dati.

L’“Amministratore del sistema” è la figura professionale dedicata alla gestione e alla manutenzione degli impianti di elaborazione in cui vengono effettuati trattamenti personali (backup, recovery).

4. Trasferimento dei dati in Paesi terzi

Il Codice Privacy stabilisce un generale divieto di trasferimento dei dati verso un Paese non appartenente all’UE, con una serie di eccezioni tassative (consenso espresso, esecuzione di obblighi contrattuali, ecc.).

Fuori da questi casi, il trasferimento è anche ammesso se il Paese di destinazione garantisce un livello di protezione adeguato secondo la Commissione europea. Ciò non è il caso degli Stati Uniti, perciò il trasferimento di dati verso un’impresa statunitense è autorizzato solo se tale impresa aderisce all'EU-US Data Privacy Framework.

5. I diritti degli interessati

Il Titolare del trattamento deve agevolare l'esercizio dei diritti dell'interessato, che sono i seguenti:

- diritto di accesso (di regola gratuito per l’interessato);

- diritto di rettifica dei dati inesatti e di integrazione di quelli incompleti;

- diritto alla cancellazione;

- diritto alla limitazione del trattamento;

- diritto alla portabilità dei dati purché il trattamento sia effettuato con modalità automatizzata e fondato o sul consenso o sull’esecuzione di un contratto;

- diritto di opposizione;

- revoca del consenso.

Puoi scaricare il riassunto cliccando sulla freccia in basso.

AMSL Avvocati assiste le imprese nei percorsi di compliance in materia di protezione dei dati personali. Contattaci per maggiori informazioni.

Marco Amorese

Jeanne Deniau