Consulenza GDPR Lucca

Consulenze DPO Lucca

Consulenza aziende Lucca per conformita con GDPR 

La normativa GDPR regolamento Europeo 679/2018, prevede per chi tratta dati personali che essi siano tutelati attraverso misure di sicurezza, misure di protezione ed altri specifici adempimenti, come ad esempio l'obbligo di comunicazione nel caso di violazione dei dati medesimi.
il GDPR prevede la responsabilizzazione dei titolari sul cosa fare per tutelare i dati personali, attraverso l'autovalutazione per la conformità della propria azienda alle disposizioni previste dal regolamento Europeo 679/2018.
Il GDPR prevede inoltre Accountability della protezione dei dati per poter dimostare come si tutelano in azienda i dati personali.
Sono stati previsti dei registri delle attività dei trattamenti che il titolare e il responsabile del trattamento devono redigere per documentare gli adempimenti e le procedure attinenti ad ogni trattamento.
La normativa esclude le imprese con meno di 250 dipendenti, almeno che il trattamento che svolgono si riferisce a data sensibili o dati particolari quali dati giudiziari.
Comunque ove possibile si consiglia sempre la stesura di questi registri per provare che il titolare e il responsabile del tratamento agiscano in conformità con il regolamento europeo 679 del 2018.
L’art. 30 del Regolamento Europeo indica le informazioni che devono essere contenute nel
registro:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i
trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Il punto 2 prescrive, inoltre, che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un
titolare del trattamento.
Le altre funzioni del registro delle attività dei trattamenti.
La tenuta del registro non è solo un obbligo ma la sua redazione può avere anche altri scopi:
-Diffondere informazione, consapevolezza e condivisione interna;
-Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
Tali registri sono tenuti in forma scritta, anche in formato elettronico.

 Data Protection Officer (DPO) Lucca

 Il Data Protection Officer (DPO) in italiano Responsabile per la protezione dei dati personali (RPD)
Il Regolamento Europeo sulla protezione dei dati personali n. 2016/679 ha previsto in determinati casi, sia per gli enti pubblici sia per le aziende private, la designazione del Responsabile
per la protezione dei dati personali (RPD), anche detto Data Protection Officer.

I compiti del Data Protection Officer sono definiti dall’ art. 39 del Regolamento Europeo 679 del 2016 e sono di carattere consultivo in materia di privacy verso il titolare e del responsabile del trattamento,
e di  vigilanza  sull’osservanza del Regolamento europeo 679/2018 altresì di raccordo con l’Autorità Garante per la privacy, infatti L’articolo 37, par. 7 prevede che il titolare del trattamento o il responsabile del trattamento" pubblichi i dati di contatto del responsabile della protezione dei dati e li comunichi all’autorità di controllo.


Privacy by design: meglio prevenire che rmediare. L'utente al centro del sistema al fine della sua tutela.
Privacy by default: per impostazione predefinita ci deve essere la tutela del dato personale, devono essere adottati solo quelli strettamente necessari per l'esecuzione del servizio,
tutto ciò che non strettamente necessario deve richiesto espressamente. Tutti i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità
per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini
di archiviazione nel pubblico interesse.
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato: liceità, correttezza e trasparenza.

Sanzioni Previste

Per quel che concerne l’entità, le sanzioni amministrative pecuniarie sono distinte a seconda della gravità dell’illecito commesso (art. 83, commi 4,5,6 Reg. UE n. 2016/679). Nella prima fascia vi sono le sanzioni amministrative fino a 10 milioni di euro, o in caso di un’impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, connesse alla violazione degli obblighi del titolare e del responsabile del trattamento (artt. 8 e11; artt. 25-39;
artt. 42-43 Reg. UE n. 2016/679);
•la violazione degli obblighi dell’organismo di certificazione (artt. 42-43 Reg. UE n. 2016/679);
•la violazione degli obblighi dell’Organismo di controllo (art. 41, par. 4, Reg. UE n. 2016/679.
Nella seconda fascia sanzionatoria, che prevede sanzioni fino a un massimo di 20 milioni di
euro e 4% del fatturato, in caso di aziende, rientrano :
•la violazione dei principi di base del trattamento comprese le condizioni relative al consenso (artt. 5,6,7 e 9 Reg. UE n. 2016/679);
•la violazione dei diritti degli interessati (artt. 12-22 Reg. UE n. 2016/679);
•i trasferimenti di dati a un destinatario in un paese terzo o organizzazione internazionale (artt. 44-49, Reg. UE n. 2016/679);
•la violazione di qualsiasi obbligo previsto dalle legislazioni degli Stati membri a norma del capo IX;