GDPR

Introduzione

La presente informativa è redatta in conformità al Decreto Legislativo n. 101/2018 della Repubblica Italiana e al General Data Protection Regulation (GDPR) dell’Unione Europea.
Il suddetto decreto ha modificato il Codice in materia di protezione dei dati personali (Decreto Legislativo n. 196/2003) al fine di adeguare l’ordinamento giuridico italiano alla normativa europea in materia di protezione dei dati personali.

In Italia, l’autorità di controllo competente è il Garante per la Protezione dei Dati Personali (di seguito denominato “Garante”).
Tale autorità è incaricata di vigilare sull’applicazione del GDPR, emanare linee guida interpretative e svolgere attività di indagine e sanzione in caso di violazioni delle disposizioni in materia di protezione dei dati.

La presente informativa ha lo scopo di illustrare le modalità con cui i dati personali vengono raccolti, utilizzati, conservati e protetti, nonché i diritti riconosciuti agli interessati.

Ambito di applicazione

La presente informativa si applica ai seguenti soggetti:

i titolari del trattamento dei dati (Data Controller) e i responsabili del trattamento (Data Processor) stabiliti nel territorio italiano che effettuano trattamenti di dati personali;

organizzazioni o imprese stabilite al di fuori dell’Unione Europea che offrono beni o servizi a residenti in Italia oppure monitorano il loro comportamento.

La presente informativa si applica al trattamento dei dati personali effettuato mediante strumenti automatizzati o tramite sistemi non automatizzati, quali archivi e sistemi di registrazione strutturati. Non si applica invece alle attività svolte esclusivamente per scopi personali o domestici.

Principi del trattamento dei dati

Ai sensi dell’articolo 5 del General Data Protection Regulation, il trattamento dei dati personali deve avvenire nel rispetto dei seguenti principi fondamentali:

Liceità, correttezza e trasparenza

Il trattamento deve essere fondato su una base giuridica valida e le informazioni devono essere fornite agli interessati in modo chiaro e trasparente.

Limitazione delle finalità

I dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non devono essere successivamente trattati in modo incompatibile con tali finalità.

Minimizzazione dei dati

Devono essere trattati esclusivamente i dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento.

Esattezza

I dati personali devono essere accurati e aggiornati quando necessario.

Limitazione della conservazione

I dati personali devono essere conservati per un periodo non superiore a quello necessario rispetto alle finalità per cui sono trattati.

Integrità e riservatezza

Il trattamento deve garantire un adeguato livello di sicurezza dei dati personali attraverso l’adozione di misure tecniche e organizzative appropriate.

Base giuridica del trattamento

Ai sensi del GDPR, il trattamento dei dati personali è lecito solo se fondato su almeno una delle seguenti basi giuridiche:

il consenso esplicito dell’interessato;

l’esecuzione di un contratto o l’adozione di misure precontrattuali;

l’adempimento di un obbligo legale;

la tutela degli interessi vitali dell’interessato o di terzi;

l’esecuzione di un compito di interesse pubblico;

il perseguimento del legittimo interesse del titolare del trattamento, purché non prevalgano i diritti e le libertà fondamentali dell’interessato.

Il titolare del trattamento è tenuto a indicare chiaramente la base giuridica applicabile al momento della raccolta dei dati.

Diritti dell’interessato

Conformemente al General Data Protection Regulation, gli interessati godono dei seguenti diritti:

diritto di accesso ai propri dati personali e alle informazioni relative al loro trattamento;

diritto di rettifica dei dati inesatti o incompleti;

diritto alla cancellazione dei dati personali (diritto all’oblio) nei casi previsti dalla normativa;

diritto alla limitazione del trattamento;

diritto alla portabilità dei dati in formato strutturato, di uso comune e leggibile da dispositivo automatico;

diritto di opposizione al trattamento fondato sul legittimo interesse o effettuato per finalità di marketing diretto.

Nel caso di minori di età inferiore a 14 anni, il trattamento dei dati personali richiede il consenso dei genitori o del tutore legale.

Tutte le informazioni relative alla protezione dei dati devono essere fornite in modo chiaro, conciso e facilmente comprensibile.

Obblighi del titolare e del responsabile del trattamento

Il titolare del trattamento è tenuto a:

garantire la conformità delle attività di trattamento al GDPR e alla normativa italiana applicabile;

trattare i dati personali esclusivamente sulla base di una valida base giuridica;

stipulare accordi di trattamento dei dati conformi al GDPR con eventuali responsabili del trattamento;

adottare adeguate misure tecniche e organizzative per garantire la sicurezza dei dati;

notificare eventuali violazioni dei dati personali al Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta;

effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) nei casi in cui il trattamento presenti un rischio elevato;

designare un responsabile della protezione dei dati (DPO) nei casi previsti dalla legge e comunicarne la nomina all’autorità di controllo competente.

Le pubbliche amministrazioni e le grandi organizzazioni sono inoltre incoraggiate a promuovere programmi periodici di formazione del personale in materia di protezione dei dati.

Trasferimento internazionale dei dati

Qualora i dati personali siano trasferiti verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), il titolare del trattamento deve rispettare le disposizioni previste dal Capitolo V del GDPR.

I meccanismi di trasferimento legittimi includono:

decisioni di adeguatezza adottate dalla Commissione Europea;

clausole contrattuali standard (Standard Contractual Clauses – SCCs);

altre garanzie adeguate conformi ai requisiti del GDPR.

A seguito della sentenza Schrems II, le imprese sono tenute a effettuare valutazioni supplementari sui trasferimenti internazionali di dati al fine di garantire un livello di protezione equivalente a quello previsto nell’Unione Europea.

Vigilanza e applicazione

Il Garante per la Protezione dei Dati Personali dispone di ampi poteri di controllo e intervento, tra cui:

lo svolgimento di indagini e audit;

l’adozione di avvertimenti e ordini correttivi;

la sospensione o il divieto delle attività di trattamento dei dati;

l’irrogazione di sanzioni amministrative.

Ai sensi del General Data Protection Regulation, le sanzioni amministrative possono raggiungere:

20 milioni di euro, oppure

il 4% del fatturato annuo globale dell’impresa, se superiore.

La normativa italiana consente inoltre agli individui di stabilire disposizioni relative al trattamento dei propri dati personali dopo la morte, ad esempio tramite testamento o altri strumenti giuridici.

Contatti

Telefono: +1 (509) 223-9614

Email: team@serendoranest.com

Indirizzo: 9921 NE 116TH ST APT 9,KIRKLAND,WA 98034-4237,United States

Orario di servizio: dal lunedì al venerdì, dalle 9:00 alle 18:00 (ora dell’Europa centrale)