INFORMATIVA SUL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI

1. Introduzione

Dal 25 maggio 2018, il Regolamento Generale sulla Protezione dei Dati (GDPR) è pienamente applicabile in tutti gli Stati membri dell’Unione Europea. In Italia, il GDPR è stato attuato tramite il Decreto Legislativo 30 giugno 2003, n. 196, come modificato dal Decreto Legislativo 10 agosto 2018, n. 101 (c.d. “Codice in materia di protezione dei dati personali”). L’autorità di controllo nazionale è il Garante per la protezione dei dati personali.

Obiettivi principali del GDPR:

• Garantire all’utente il controllo sui propri dati personali;

• Assicurare trasparenza e sicurezza nei trattamenti;

• Definire chiaramente responsabilità e obblighi di conformità per i titolari e i responsabili del trattamento.

2. Ambito di applicazione

Il GDPR si applica:

• A qualsiasi organizzazione stabilita nel territorio dell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati;

• Ai soggetti stabiliti al di fuori dell’UE che offrono beni o servizi (anche gratuiti) a utenti situati in Italia o in altri Stati membri, oppure che monitorano il loro comportamento (ad esempio tramite cookie, tecniche di tracciamento, profilazione online).

Sono escluse le attività di trattamento effettuate da una persona fisica per scopi puramente personali o domestici.

3. Principi fondamentali del trattamento

Il trattamento dei dati personali deve rispettare i seguenti principi (art. 5 GDPR):

• Liceità, correttezza e trasparenza: il trattamento deve avere una base giuridica valida (consenso, contratto, obbligo legale, interesse vitale, interesse pubblico o interesse legittimo) e l’interessato deve essere informato in modo chiaro e accessibile.

• Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite e legittime, e non trattati in modo incompatibile con tali finalità.

• Minimizzazione dei dati: solo i dati strettamente necessari per le finalità perseguite possono essere raccolti e trattati.

• Esattezza: i dati devono essere aggiornati, esatti e, se necessario, rettificati tempestivamente.

• Limitazione della conservazione: i dati sono conservati per un periodo non superiore al conseguimento delle finalità per le quali sono trattati.

• Integrità e riservatezza: i dati devono essere protetti da rischi di accesso non autorizzato, perdita, distruzione o danno mediante misure tecniche e organizzative adeguate (es. cifratura, controlli degli accessi, firewall).

4. Diritti degli interessati

Il GDPR riconosce agli utenti i seguenti diritti (artt. 15-22 GDPR e integrazioni del Codice italiano):

• Diritto di accesso (art. 15): ottenere la conferma che i propri dati siano o meno oggetto di trattamento e accedervi, ricevendone copia.

• Diritto di rettifica (art. 16): correggere dati inesatti o completare quelli incompleti.

• Diritto alla cancellazione (“diritto all’oblio”) (art. 17): ottenere la cancellazione dei dati quando non più necessari, il consenso è revocato, i dati sono trattati illecitamente, o sussiste un obbligo legale.

• Diritto di limitazione del trattamento (art. 18): ottenere la sospensione del trattamento in determinate circostanze (es. contestazione dell’esattezza dei dati).

• Diritto alla portabilità dei dati (art. 20): ricevere in formato strutturato, di uso comune e leggibile i dati forniti, e trasmetterli ad altro titolare senza impedimenti.

• Diritto di opposizione (art. 21): opporsi in qualsiasi momento al trattamento basato su interesse legittimo o per finalità di marketing diretto, compresa la profilazione.

• Diritti relativi alla decisione automatizzata e alla profilazione (art. 22): non essere sottoposti a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o incidano significativamente, salvo eccezioni.

Protezione dei minori: per i minori di 18 anni, il trattamento basato sul consenso è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. L’età del consenso digitale in Italia è fissata a 14 anni (d.lgs. 101/2018).

Disposizioni post mortem: secondo il Codice italiano (art. 2-sexies, comma 2, d.lgs. 196/2003), l’interessato può esprimere disposizioni riguardanti il trattamento dei propri dati personali dopo la morte, mediante una dichiarazione scritta a un notaio, o tramite un fiduciario, oppure direttamente al Garante. In assenza di tali disposizioni, i diritti di cui agli artt. 15-22 GDPR possono essere esercitati dai soggetti che hanno un interesse proprio o agiscono a tutela dell’interessato (eredi, familiari, ecc.).

5. Obblighi dei responsabili del trattamento

I responsabili del trattamento (es. fornitori di servizi IT, piattaforme di marketing) devono:

• Seguire rigorosamente le istruzioni scritte del titolare del trattamento;

• Implementare misure di sicurezza adeguate (cifratura, controllo degli accessi, backup, firewall, protezione da attacchi informatici);

• Assistere il titolare nell’evasione delle richieste degli interessati (es. accesso, rettifica, cancellazione);

• Notificare al titolare qualsiasi violazione dei dati personali (“data breach”) senza ingiustificato ritardo, e comunque entro 24 ore se possibile;

• Tenere un registro delle attività di trattamento (se occupano più di 250 dipendenti o il trattamento comporta rischi elevati);

• Condurre una valutazione d’impatto sulla protezione dei dati (DPIA) quando il trattamento è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

• Designare un Responsabile della Protezione dei Dati (DPO) se il trattamento è effettuato da un’autorità pubblica, o richiede monitoraggio regolare e sistematico su larga scala di interessati, o comporta trattamento su larga scala di dati sensibili (salute, opinioni politiche, dati biometrici, ecc.). Il DPO deve essere nominato e i suoi dati di contatto comunicati al Garante.

6. Trasferimenti di dati verso Paesi terzi

I dati personali possono essere trasferiti al di fuori dello Spazio Economico Europeo (SEE) solo a determinate condizioni (artt. 44-49 GDPR):

• Se la Commissione Europea ha riconosciuto che il Paese terzo garantisce un livello di protezione adeguato (decisione di adeguatezza); oppure

• In assenza di tale decisione, il trasferimento deve avvenire sulla base di clausole contrattuali tipo (SCC) approvate dalla Commissione, integrate da misure supplementari di sicurezza (come cifratura end-to-end, pseudonimizzazione, controlli di accesso rafforzati). Sono inoltre possibili norme vincolanti d’impresa (BCR) per i gruppi multinazionali.

7. Vigilanza e sanzioni

Il Garante per la protezione dei dati personali italiano ha poteri ispettivi e sanzionatori, tra cui:

• Eseguire verifiche e accessi presso i titolari/responsabili;

• Disporre la limitazione o il divieto di trattamenti non conformi;

• Irrogare sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Le sanzioni sono applicabili a titolari e responsabili, anche per violazione degli obblighi di sicurezza, mancata notifica di data breach, o violazione dei diritti degli interessati.

8. Importanza del GDPR per aziende e utenti

• Per gli utenti: maggiore trasparenza e controllo sui propri dati, diritto di opporsi alla profilazione e al marketing diretto, possibilità di esercitare i diritti facilmente e gratuitamente.

• Per le piattaforme e le aziende (come Cortedomino): riduzione del rischio legale, miglioramento della conformità normativa e della fiducia degli utenti.

• Per il mercato: creazione di un ambiente digitale più affidabile, in linea con i requisiti di policy di Google e altri motori di ricerca.

9. Contatti del titolare del trattamento per Cortedomino

Il titolare del trattamento per i dati raccolti tramite i servizi di Cortedomino è:

• Indirizzo: 800 Vallotton Dr, Valdosta, GA 31601, USA

• Telefono: +1 (516) 695-2677

• Email: client@cortedomino.com

• Orario di assistenza: dal lunedì al venerdì, 9:00 - 12:30 e 14:00 - 18:00 (CET)