GDPR

1. Introduzione

Il 25 maggio 2018 è entrato pienamente in vigore nell’Unione Europea il Regolamento generale sulla protezione dei dati (GDPR). In Italia tale normativa è applicata attraverso il Codice in materia di protezione dei dati personali ed è supervisionata dall’Autorità Garante per la protezione dei dati personali.

Questo quadro normativo ha lo scopo di:

• garantire agli individui un controllo effettivo sulle proprie informazioni personali

• assicurare che le attività di trattamento dei dati avvengano con modalità chiare, sicure e comprensibili

• stabilire responsabilità precise e obblighi di conformità per i soggetti che trattano dati personali

2. Ambito di applicazione

Le disposizioni del GDPR si applicano alle seguenti situazioni:

• organizzazioni stabilite all’interno dell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati

• soggetti situati al di fuori dell’Unione Europea che offrono beni o servizi a persone residenti in Italia o in altri Stati membri oppure che analizzano il comportamento online degli utenti, ad esempio tramite cookie o tecnologie di tracciamento

Le attività di trattamento svolte esclusivamente per scopi personali o domestici non rientrano nel campo di applicazione del regolamento.

3. Principi fondamentali del trattamento

Il trattamento dei dati personali deve rispettare una serie di principi stabiliti dalla normativa:

• liceità e trasparenza: il trattamento deve essere fondato su una base giuridica valida e le persone interessate devono essere informate in modo chiaro

• limitazione delle finalità: i dati possono essere raccolti soltanto per scopi specifici e legittimi

• minimizzazione dei dati: devono essere trattate esclusivamente le informazioni necessarie rispetto alle finalità previste

• accuratezza: i dati devono risultare corretti e aggiornati quando necessario

• limitazione della conservazione: le informazioni non devono essere conservate oltre il periodo necessario per gli scopi previsti

• integrità e riservatezza: devono essere adottate misure tecniche e organizzative idonee per evitare accessi non autorizzati, perdita o utilizzo improprio delle informazioni

4. Diritti degli interessati

Il GDPR riconosce agli utenti diversi diritti in relazione ai propri dati personali:

• diritto all’informazione e all’accesso: possibilità di conoscere quali dati vengono trattati e ottenere una copia delle informazioni

• diritto di rettifica: correzione di dati inesatti o incompleti

• diritto alla cancellazione (diritto all’oblio): eliminazione dei dati quando sussistono i presupposti previsti dalla normativa

• diritto alla limitazione del trattamento: sospensione temporanea delle operazioni di trattamento in determinate circostanze

• diritto alla portabilità dei dati: trasferimento dei dati personali verso un altro fornitore di servizi in formato strutturato

• diritto di opposizione: possibilità di opporsi a trattamenti basati su interessi legittimi, inclusi quelli relativi alla pubblicità comportamentale

• tutela dei minori: per gli utenti di età inferiore ai 18 anni è richiesta l’autorizzazione esplicita di un tutore legale

5. Obblighi dei soggetti che trattano i dati

Le attività di trattamento devono rispettare specifiche responsabilità operative, tra cui:

• eseguire le operazioni esclusivamente secondo istruzioni documentate del titolare del trattamento

• adottare misure di sicurezza adeguate come sistemi di cifratura, controlli di accesso e firewall

• fornire risposta alle richieste degli interessati relative ai propri dati

• notificare eventuali violazioni dei dati personali alle autorità competenti e agli utenti interessati quando necessario

• mantenere registri delle attività di trattamento dei dati

• effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) nei casi previsti

• designare un responsabile della protezione dei dati (DPO) quando richiesto dalla normativa

6. Trasferimento internazionale dei dati

Quando i dati personali vengono trasferiti verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), devono essere applicate adeguate garanzie giuridiche, tra cui:

• la verifica che il paese destinatario sia riconosciuto dalla Commissione Europea come avente un livello adeguato di protezione dei dati

• l’utilizzo delle clausole contrattuali standard approvate dall’Unione Europea, eventualmente accompagnate da ulteriori misure di sicurezza come la cifratura end-to-end

7. Autorità di controllo e sanzioni

In Italia l’Autorità Garante per la protezione dei dati personali ha il potere di:

• effettuare verifiche e attività ispettive

• sospendere trattamenti non conformi alla normativa

• applicare sanzioni amministrative fino a 20 milioni di euro oppure fino al 4% del fatturato annuo globale, scegliendo l’importo più elevato

La normativa consente inoltre agli interessati di stabilire, tramite dichiarazione o testamento, modalità specifiche per la gestione dei propri dati dopo il decesso. In assenza di indicazioni esplicite, tali diritti possono essere esercitati dagli eredi.

8. Rilevanza del GDPR

L’applicazione del GDPR comporta diversi effetti:

• per gli utenti, una maggiore trasparenza e un livello più elevato di protezione delle informazioni personali

• per le piattaforme digitali, una riduzione dei rischi legali e una maggiore conformità normativa

• per l’ambiente digitale nel suo complesso, un contesto più affidabile e coerente con i requisiti previsti dalle politiche di Google e Google Merchant Center

9. Contatti

Per richiedere l’esercizio dei diritti previsti dalla normativa o ottenere ulteriori informazioni in materia di protezione dei dati è possibile contattare il responsabile della protezione dei dati (DPO):

Email: admin@elegantnestliving.com

Le comunicazioni ricevono generalmente una risposta entro 24 ore; nei casi che richiedono verifiche più approfondite il tempo necessario può risultare più lungo.