Sei sotto attacco?
0455118550
Dottor Marc Cybersecurity
back to top

GDPR

ALMENO LEGGI IL GDPR!

Liceità del trattamento

Garantire che i servizi offerti abbiano una base giuridica solida per il trattamento dei dati, come il consenso o l'adempimento di obblighi contrattuali

ART 6 - TESTO UFFICIALE

Art. 6 - Liceità del trattamento

  1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

    a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

    b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

    c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

    d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

    e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

    f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

  2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l'applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

  3.  La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito.

  4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

    a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;
    b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;
    c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10;
    d) delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;
    e) dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Responsabilità del titolare del trattamento

Assumiti la responsabilità di garantire e dimostrare la conformità al GDPR attraverso misure adeguate

ART 24 - TESTO UFFICIALE

Art. 24 - Responsabilità del titolare del trattamento

  1. Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.Dette misure sono riesaminate e aggiornate qualora necessario.
  2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
  3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Sicurezza del trattamento

Proteggi i dati personali adottando misure di sicurezza tecniche e organizzative 

ART 32 - TESTO UFFICIALE

Art. 32 - Sicurezza del trattamento

  1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

    a) la pseudonimizzazione e la cifratura dei dati personali;

    b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

    c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

    d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

  2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

  3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

  4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Notifica di una violazione dei dati personali

obbligo di notificare alle autorità competenti qualsiasi violazione dei dati entro 72 ore

ART 33 - TESTO UFFICIALE

Art. 33 - Notifica di una violazione dei dati personali all'autorità di controllo

  1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

  2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

  3. La notifica di cui al paragrafo 1 deve almeno:
    a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
    b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
    c) descrivere le probabili conseguenze della violazione dei dati personali;
    d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

  4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

  5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.

Comunicazione di una violazione dei dati personali all'interessato

Segnalazione di Data breach al GPDP

ART 34 - TESTO UFFICIALE

Art. 34 - Comunicazione di una violazione dei dati personali all'interessato

  1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.

  2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).

  3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
    a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
    b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
    c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

  4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

Sui tuoi documenti c'è ancora scritto D.lgs. n. 196/2003?
Da anni esiste il GDPR, ti devi aggiornare!

Contattaci
giovanni_piccione
dottor_marc_18

No, la privacy non è quella cosa che devi far firmare...

La conformità al GDPR non è più un'opzione, è una necessità. Ogni giorno migliaia di dati personali circolano tra le mani di chi sa come usarli... o abusarne. Se non stai rispettando le regole, potresti già essere a rischio senza saperlo. Non aspettare che sia troppo tardi!

La nostra esperienza, la tua protezione

Dottor Marc ti aiuta a rendere la tua azienda sicura e conforme al GDPR. Con anni di esperienza e un dialogo costante con il Garante per la Protezione dei Dati Personali, sappiamo esattamente cosa fare per proteggerti e farti dormire sonni tranquilli.

La conformità al GDPR è obbligatoria per la tua azienda?

Il GDPR si applica a tutti coloro che gestiscono dati personali nell’Unione Europea. 

Il GDPR si applica a tutte le aziende che:

  • Raccolgono, trattano o archiviano dati personali di cittadini dell’Unione Europea.
  • Offrono beni o servizi a individui all’interno dell’UE.
  • Monitorano il comportamento di individui all’interno dell’UE.

GDPR in pillole

Consenso esplicito

Le aziende devono ottenere il consenso esplicito e informato dagli interessati prima di trattare i loro dati personali, con possibilità di revoca.

Art. 6 (1) (a), Art. 7 GDPR​.

Diritti degli interessati

Gli interessati hanno vari diritti tra cui accesso, rettifica, cancellazione (diritto all’oblio), limitazione del trattamento, portabilità e opposizione.

Art. 15-22 GDPR​​.

Trasparenza

Le aziende devono fornire informazioni chiare e trasparenti su come i dati personali vengono raccolti, utilizzati e protetti, tramite informative sulla privacy.

Art. 12-14 GDPR​​.

Responsabilità del titolare

I titolari del trattamento devono dimostrare di avere misure adeguate per garantire la conformità al GDPR (principio di responsabilizzazione).

Art. 24 GDPR​​.

Sicurezza dei dati

Le aziende devono implementare misure tecniche e organizzative adeguate per proteggere i dati personali contro perdita, furto, e accessi non autorizzati.

Art. 32 GDPR​

Notifica delle violazioni

In caso di violazione dei dati personali, il titolare deve notificarlo all’autorità competente entro 72 ore e, in alcuni casi, informare gli interessati.

Art. 33-34 GDPR​​.

Valutazione impatto

È obbligatorio condurre una DPIA per identificare e mitigare i rischi connessi al trattamento di dati personali, in particolare per trattamenti ad alto rischio.

Art. 35 GDPR​​

Trasferimento internazionale dei dati

I trasferimenti di dati verso paesi terzi o organizzazioni internazionali possono avvenire solo se sono garantite adeguate misure di protezione.

Art. 44-49 GDPR​​.

Quali sono le scadenze?

25 maggio 2018
Entrata in vigore

Il GDPR prende efficacia in tutta l'Unione Europea.

Luglio 2018
Prime sanzioni GDPR

I primi casi di violazioni del GDPR vengono multati, dimostrando che le autorità stanno applicando attivamente le nuove regole.

Annualmente
Audit e revisioni

Ogni anno le aziende devono eseguire una revisione completa delle loro politiche e dei processi di trattamento dati per garantire la conformità continua.

Continuativo
Monitoraggio costante

È richiesto un monitoraggio continuo delle misure di sicurezza e della gestione dei dati personali per prevenire violazioni e garantire il rispetto della normativa.

Cosa succede se non sono conforme al GDPR?

Le sanzioni possono essere fino al 4% del fatturato annuo globale della tua azienda, oltre a gravi danni reputazionali.

Come posso sapere se sono conforme?

Effettuiamo un GDPR Assessment per valutare lo stato di conformità della tua azienda e forniamo soluzioni pratiche per colmare eventuali lacune.

Che cos'è un Data Breach?

È una violazione della sicurezza che porta alla distruzione, perdita, alterazione o accesso non autorizzato ai dati personali. Deve essere notificato entro 72 ore.

Il GDPR si applica solo alle grandi aziende?

No, tutte le aziende che trattano dati personali di cittadini dell'UE, indipendentemente dalla dimensione, devono essere conformi.

Come posso prevenire un Data Breach?

Implementando rigorose misure di sicurezza informatica, come quelle che offriamo in Dottor Marc: Vulnerability Assessment, Compliance e Incident Response.

CERCHI SOLUZIONI PER ALTRI ADEMPIMENTI?

ISO 27001

 sistema di gestione della sicurezza delle informazioni

NIS2

normativa europea sulla cybersecurity

DORA

Digital Operational Resilience Act

SOC2

System and Organization Controls

footer-shape
earth-footer

Dottor Marc S.r.l.

SEDE LEGALE E OPERATIVA : Viale Colonnello Galliano n. 57, 37138, Verona
P IVA : 04569090238
CODICE SDI : M5UXCR1

Orari e contatti

LUN-VEN : 8:30 – 13:00 14.30 – 18:00
TELEFONO : 045 511 85 50
DPO : Giovanni Piccione
PEC DPO : [email protected]
Interventi tecnici e consulenza urgente
Privacy Policy
Politica della Qualità

© Copyright Dottor Marc S.r.l. - P.IVA IT04569090238 - Tutti i diritti riservati - Privacy policy