GDPR

1. Introduzione
In Italia, il Regolamento (UE) 2016/679 (GDPR) è stato integrato e armonizzato con il Decreto Legislativo n. 101/2018, che ha modificato il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003).
L’Autorità di controllo competente è il Garante per la Protezione dei Dati Personali, responsabile della supervisione e dell’applicazione della normativa in materia di privacy.

2. Ambito di applicazione
La normativa si applica a:

• tutti i titolari e responsabili del trattamento stabiliti in Italia;
• soggetti al di fuori dell’UE che offrono beni o servizi a residenti in Italia o monitorano il loro comportamento.

Si applica sia ai trattamenti automatizzati sia a quelli non automatizzati contenuti in sistemi di archiviazione, ad esclusione delle attività personali o domestiche.

3. Principi fondamentali del trattamento dei dati
Il trattamento dei dati personali deve rispettare i principi stabiliti dal GDPR e dalla normativa italiana, tra cui:

• liceità, correttezza e trasparenza;
• limitazione delle finalità;
• minimizzazione dei dati;
• esattezza e aggiornamento;
• limitazione della conservazione;
• integrità e riservatezza.

Il titolare del trattamento deve garantire che ogni fase del trattamento sia basata su una valida base giuridica e comunicata in modo trasparente agli interessati.

4. Diritti degli interessati
Gli utenti hanno il diritto di:

• accedere ai propri dati personali e ricevere informazioni sul trattamento;
• richiederne la rettifica o la cancellazione (diritto all’oblio);
• limitare il trattamento;
• ottenere la portabilità dei dati;
• opporsi al trattamento, inclusa la finalità di marketing diretto.

Per i minori di 14 anni, il trattamento dei dati richiede il consenso dei genitori o tutori legali. Le informazioni devono essere fornite in lingua italiana chiara e comprensibile, come richiesto dal Garante.

5. Obblighi del titolare e del responsabile del trattamento
Il titolare del trattamento è responsabile della conformità al GDPR e alla normativa nazionale. Il responsabile del trattamento agisce esclusivamente su istruzioni del titolare.

Tra gli obblighi principali:

• implementazione di misure tecniche e organizzative adeguate al livello di rischio;
• notifica delle violazioni dei dati personali entro 72 ore al Garante;
• effettuazione della Valutazione d’Impatto sulla Protezione dei Dati (DPIA) per trattamenti ad alto rischio;
• nomina del Data Protection Officer (DPO) ove richiesto e relativa comunicazione al Garante;
• formazione del personale coinvolto nel trattamento dei dati.

6. Trasferimento internazionale dei dati
Il trasferimento di dati personali verso paesi extra UE è consentito solo nel rispetto del Capo V del GDPR, attraverso:

• decisioni di adeguatezza della Commissione Europea; oppure
• Clausole Contrattuali Standard (SCC).

Le aziende devono aggiornare i propri meccanismi di trasferimento dati per garantire piena conformità e trasparenza.

7. Controllo e sanzioni
Il Garante per la Protezione dei Dati Personali dispone di poteri investigativi, correttivi e sanzionatori, tra cui:

• ammonimenti formali;
• sospensione o divieto del trattamento;
• sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.

La normativa italiana prevede inoltre la possibilità di esprimere volontà sul trattamento dei dati post mortem tramite disposizioni testamentarie o atti equivalenti.

8. Contatti
Per qualsiasi richiesta relativa alla protezione dei dati personali o per l’esercizio dei propri diritti, è possibile contattare il nostro servizio privacy tramite i canali indicati sul sito ufficiale.