Il nuovo Regolamento Europeo GDPR 2016/679 disciplina il trattamento dei dati personali riguardanti le persone fisiche. Lo scopo della norma è quello di trattare i dati personali solo se necessario, nella misura minore possibile, prevedendo ogni sistema di sicurezza utile alla tutela del dato trattato, nel rispetto delle libertà della persone e della libera circolazione di tali dati.
Qualsiasi impresa tratta dati personali ed è quindi soggetta alla normativa europea, questo perché il regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Attraverso i due termini fondamentali è facile comprendere che tutte le realtà imprenditoriali saranno soggette all’applicazione della nuova normativa.
Cosa si intende per dato personale?
Qualsiasi informazione riguardante una persona fisica (no persone giuridiche, cioè imprese) identificata o identificabile (interessato). Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento al nome, a un numero di identificazione, a dati relativi all’ubicazione, a un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. (per esempio, l’indirizzo mail mg.beretta@cnapavia.it è un dato personale poiché è riconducibile ad una persona fisica. L’indirizzo mail info@cnapavia.it non è un dato personale perché è un indirizzo che riconduce solo ad una persona giuridica i cui dati non sono disciplinati dalla normativa in questione).
Particolare attenzione va prestata per alcune “categorie particolari di dati personali” (ex dati sensibili), ad es. dati personali che rivelino l’origine etnica, le opinioni politiche, l’appartenenza sindacale, dati relativi alla salute, ecc. che non possono essere trattati se non in presenza di un consenso esplicito dell’interessato.
Cosa si intende per trattamento di un dato?
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la conservazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (per esempio, l’archiviazione di un documento, il semplice post-it con il cognome o con la mail di una persona fisica è un trattamento di dato personale).
Tutte le aziende quindi devono adottare le misure di sicurezza che possono riguardare sia i luoghi in cui i dati sono trattati, sia gli strumenti informatici utilizzati nel trattamento (concetto peraltro già previsto dal precedente Codice della Privacy).
Il dato trattato (riconducibile ad una persona fisica) va protetto: un dato cartaceo non può essere archiviato in un raccoglitore a cui possono accedere anche persone non autorizzate, oppure se il dato è su un pc bisogna garantire un minimo di sicurezza informatica (aggiornamenti del sistema operativo, antivirus/firewall, backup). Oltre a queste misure di sicurezza bisogna poi chiedersi quali dati si trattano e per quale motivo.
CNA è in grado di assistere le imprese nella gestione degli adempimenti previsti dal Regolamento europeo.
In allegato è possibile scaricare la scheda per richiedere il preventivo del servizio.
Come richiedere il preventivo:
- selezionare il tipo di azienda tra quelle proposte nella scheda
- inviarla al responsabile del servizio privacy di CNA mg.beretta@cnapavia.it.
PDF: La scheda di richiesta servizio privacy