Normative a protezione dati personali in vigore

GDPR (Regolamento UE 2016/679

Il GDPR (General Data Protection Regulation), ovvero il regolamento generale sulla protezione dei dati (UE  2016/679),  è una normativa dell'Unione Europea in materia di trattamento dei dati personali e della privacy.

Con il GDPR, la Commissione Europea ha voluto rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti dell'Unione Europea , sia all'interno che all'esterno dei confini. 

Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio dello stesso anno; è operativo a partire dal 25 maggio 2018.

 

GDPR Testo completo

D. LGS. 196/03

Il Decreto Legislativo 196/2003 del 30 giugno 2003, entrato in vigore il 1° gennaio 2004 – comunemente noto come legge sulla privacy – riconosce il diritto del cittadino ai propri dati personali ed alla regolamentazione della gestione degli stessi.

La legge sulla privacy  prevede, inoltre, che alcuni documenti aziendali contenenti dati personali, dopo un periodo di tempo, debbano essere distrutti. I documenti che contengono informazioni sensibili e riservate devono essere distrutti attraverso una procedura che li renda inutilizzabili ed eviti la diffusione di dati protetti dalla legge sulla privacy. Tale decreto ha subito recentemente alcune modifiche allo scopo di recepire la normativa europea (GDPR).

L’adeguamento di questa normativa italiana alle disposizioni dell’UE è stata attuata attraverso il decreto legislativo 101 del 10 agosto 2018 (101/2018), entrato in vigore il 19 settembre 2018.

 

D. LGS. 196/03 Testo completo

UNI EN 15713:2009

La norma UNI EN 15713:2009 è la prima norma italiana a trattare l´argomento della distruzione e successivo smaltimento di supporti contenenti dati personali.
Il rispetto di tale normativa permette di limitare al massimo la diffusione involontaria dei dati trattati, escludendo la possibilità di eventuali accuse di dolo. 
 

UNI CEI EN ISO/IEC 27001: 2017

Entrata in vigore il 30 marzo 2017, specifica i requisiti per stabilire, attuare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni nel contesto dell'organizzazione. Inoltre essa include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell'informazione adatti alle esigenze dell'organizzazione. I requisiti presenti nella norma sono generici e destinati ad essere applicati a tutte le organizzazioni, indipendentemente dal tipo, dalla dimensione o dalla loro natura.

NORMA DIN 66399

La NORMA DIN 66399 tiene conto della varietà di supporti di memoria contenenti i dati personali, definendo i criteri di sicurezza per tutti i tipi di supporti utilizzati, le varie classi di protezione di cui necessitano le varie tipologie di dati trattati, i requisiti che devono avere le macchine ed i processi impiegati nella distruzione.
Per determinare il grado di protezione si esamina il genere di dati trattati, deducendo il grado di protezione adatto e di conseguenza la classe di protezione prevista.

  

DIN 66399 Testo


DEVI DISTRUGGERE DOCUMENTI CARTACEI? 
CHIEDI INFORMAZIONI, SOPRALLUOGO O PREVENTIVO GRATUITO 

francis.today@tiscali.it

 

tel. 02-7386415


dati sensibili e dati personali

Il GDPR non parla mai di dati sensibili, ma di dati personali e all'art. 4 li definisce “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

 

Sempre il GDPR, all'art. 9, definisce il trattamento di categorie particolari di dati personali affermando che “è vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

 

Secondo il Garante della Privacy, che recepisce il GDPR, sono dati personali “le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, la sua situazione economica, ecc.”

Si veda il testo completo del Garante al seguente link: www.garanteprivacy.it/home/diritti/cosa-intendiamo-per-dati-personali 

NOTA

L´attività di trattamento dei dati personali è qualificata dalla Magistratura ordinaria come attività pericolosa, disciplinata dal Codice Civile.
Questo significa che colui che ritenga di essere stato leso nei suoi diritti inerenti al trattamento dei propri dati personali può richiedere un risarcimento danni. Sarà cura del titolare del trattamento dei dati dimostrare di avere adottato tutte le misure necessarie ad evitare il danno per il quale si richiede il risarcimento (Art. 2050 cc).


Devi Distruggere Documenti Cartacei? 
Chiedi Informazioni, Sopralluogo o Preventivo Gratuito 

francis.today@tiscali.it

 

02 7386415


sanzioni in caso di inadempienza

La violazione del GDPR prevede sanzioni di natura amministrativa e civile.

Per quanto riguarda le sanzioni pecuniarie, possono raggiungere i 10 milioni di euro, o alternativamente, il 2% del fatturato mondiale d'impresa. L’importo di tali sanzioni può salire fino a 20 milioni di euro, o alternativamente, sino al 4% del fatturato mondiale dell’impresa, a seconda della gravità dell’inadempienza.

Nonostante il GDPR focalizzi la propria attenzione, prevalentemente, sulle violazioni di tipo amministrativo, all'interno del “Considerando 149 “ è stabilito che gli Stati Membri “dovrebbero poter stabilire disposizioni relative a sanzioni penali” come strumento di attuazione e tutela della nuova disciplina.

In Italia,  il GDPR  integra e sostituisce in parte il D. LGS. 196/03. Quest’ultimo stabilisce sanzioni penali per il trattamento illecito dei dati, con pene che vanno da sei mesi a 18 mesi di reclusione e, in determinate condizioni, fino a tre anni.

 

Resta anche la reclusione da sei mesi a tre anni per falsa dichiarazione di fronte al Garante della Privacy. C’è poi una differenza sostanziale tra responsabilità penale e amministrativa: la prima è sempre personale, mentre la seconda può essere comminata sia alla persona fisica che all'azienda.


Devi Distruggere Documenti Cartacei? 
Chiedi Informazioni, Sopralluogo o Preventivo Gratuito 

francis.today@tiscali.it

 

02 7386415