GDPR

I. Introduzione

Il 20 giugno 2018, l'Italia ha approvato la Legge n. 2018-493 sulla Protezione dei Dati Personali, che ha ricevuto il Regolamento Generale sulla Protezione dei Dati (GDPR). Questa legge ha modificato e consolidato la Legge sulla Protezione dei Dati del 1978. In qualità di organismo di regolamentazione nazionale, la Commissione Nazionale per l'Informatica e le Libertà (CNIL) è responsabile della supervisione, dell'orientamento e dell'applicazione del GDPR e dei suoi regolamenti di attuazione in Italia. Pertanto, l'Italia ha istituito un sistema di protezione dei dati personali conforme ai requisiti dell'UE.
II. Ambito di applicazione

I regolamenti di attuazione del GDPR in Italia si applicano a:

Qualsiasi titolare o responsabile del trattamento dei dati stabiliti in Italia;

Qualsiasi organizzazione situata all'estero che fornisce beni o servizi a persone residenti in Italia o ne monitori le attività in Italia. La legge si applica ovunque avvenga il trattamento dei dati, purché riguardi i dati personali di persone residenti in Italia. Copre sia il trattamento automatizzato che quello non automatizzato all'interno del sistema di archiviazione. Le attività puramente personali o familiari non rientrano nel suo ambito di applicazione.

III. Principi di trattamento dei dati

Autorizzazione, correttezza e trasparenza: tutto il trattamento dei dati deve basarsi su una chiara base giuridica ed essere condotto in modo trasparente.

Limitazione delle finalità: i dati possono essere utilizzati solo per finalità specifiche e legittime.

Minimizzazione dei dati: devono essere raccolti solo i dati assolutamente necessari.

Esattezza: i dati devono essere accurati e aggiornati regolarmente.

Limitazione dell'archiviazione: i dati devono essere conservati solo per il periodo strettamente necessario, dopodiché devono essere cancellati o resi anonimi.

Sicurezza e riservatezza: devono essere adottate misure tecniche e organizzative adeguate per prevenire qualsiasi perdita, alterazione o perdita di dati.

IV. Diritti dell'interessato

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e della legge italiana, gli interessati hanno i seguenti diritti:

Diritto di informazione e diritto di accesso;

Diritto di rettifica;

Diritto di cancellazione (diritto all'oblio);

Diritto di limitazione del trattamento;

Diritto alla portabilità dei dati;

Diritto di opposizione.

Per i minori di età inferiore ai 15 anni, il trattamento dei loro dati richiede il consenso del genitore o del tutore legale e le informazioni devono essere fornite loro in un linguaggio chiaro, comprensibile e appropriato all'età.

V. Obblighi dei subappaltatori

I subappaltatori devono:

Rispettare rigorosamente le istruzioni scritte dal titolare del trattamento;

Implementare misure di sicurezza adeguate;

Assistere il titolare del trattamento nell'adempimento dei propri obblighi, in particolare nel rispondere alle richieste degli interessati;

In caso di violazione dei dati, informare immediatamente il titolare del trattamento, che deve a sua volta informare la Commissione Nazionale per l'Informatica e le Libertà Civili (CNIL) entro 72 ore.

Il titolare del trattamento deve conservare i registri delle attività di trattamento e condurre Valutazioni d'Impatto sulla Protezione dei Dati (DPIA/AIPD) in situazioni ad alto rischio.

Alcune organizzazioni devono inoltre nominare un Responsabile della Protezione dei Dati (RPD) e registrarsi presso la CNIL.

VI. Trasferimento internazionale di dati

Quando si pianifica di trasferire dati verso paesi extra-UE, il titolare del trattamento deve garantire un'adeguata protezione. Ciò può essere ottenuto:

Ottenere una decisione di adeguatezza dalla Commissione Europea;

Oppure sottoscrivere Clausole Contrattuali Tipo (SCC).

Dato che il Privacy Shield è scaduto, "dal 16 luglio 2020, le aziende italiane devono utilizzare le nuove condizioni contrattuali standard adottate il 4 giugno 2021, o qualsiasi altro meccanismo legale".

VII. Vigilanza e applicazione

La Commissione Nazionale per l'Informatica e le Libertà (CNIL) ha ampi poteri, tra cui:

Emettere diffide o diffide;

Limitare o vietare determinate attività di trattamento dei dati;

Imporre sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato globale, a seconda di quale sia l'importo più elevato.

La legge italiana consente inoltre alle persone di impartire istruzioni in merito all'utilizzo dei propri dati dopo il decesso. In caso contrario, il trattamento dei dati deve essere conforme alla normativa applicabile.

Il quadro normativo del GDPR in Italia mira a tutelare i diritti individuali, rafforzare la conformità aziendale e promuovere la fiducia nell'ambiente digitale.

VIII. Informazioni di contatto

Telefono: +1 203-387-5325

E-mail: info@plainarc.com

Indirizzo: 3450 Spring Rd, Carlisle, PA 17013, Stati Uniti

Orari di apertura: dal lunedì al venerdì, dalle 9:00 alle 18:00 (ora dell'Europa centrale)