GDPR

1. Contesto normativo

Dal 25 maggio 2018 il Regolamento (UE) 2016/679, noto come GDPR, è applicabile in tutti gli Stati membri dell’Unione Europea. In Italia tale disciplina è integrata dal Codice in materia di protezione dei dati personali e supervisionata dall’Autorità Garante per la Protezione dei Dati Personali.
Il quadro normativo mira principalmente a:

• garantire agli individui il controllo sulle proprie informazioni personali;

• assicurare che le operazioni di trattamento siano chiare, tracciabili e protette;

• definire responsabilità precise e requisiti di conformità per i soggetti che gestiscono dati personali.

2. Ambito di applicazione

Le disposizioni del GDPR si applicano nei seguenti casi:

• a tutte le entità stabilite all’interno dell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati;

• a soggetti stabiliti al di fuori dell’UE che offrono beni o servizi a persone residenti in Italia o in altri Stati membri, oppure che analizzano o monitorano il comportamento online degli utenti mediante strumenti come cookie o tecnologie di tracciamento.

Sono escluse dal campo di applicazione le attività di trattamento effettuate esclusivamente per scopi personali o domestici.

3. Principi fondamentali del trattamento

Qualsiasi attività relativa ai dati personali deve rispettare i seguenti criteri:

• Liceità e trasparenza: il trattamento deve basarsi su una base giuridica valida e deve essere comunicato in modo comprensibile agli interessati;

• Limitazione delle finalità: la raccolta dei dati deve essere collegata a scopi determinati, espliciti e legittimi;

• Minimizzazione dei dati: devono essere acquisiti soltanto gli elementi strettamente necessari alle finalità dichiarate;

• Esattezza: le informazioni devono essere corrette e aggiornate quando necessario;

• Limitazione della conservazione: i dati non devono essere mantenuti oltre il periodo strettamente richiesto;

• Integrità e riservatezza: occorre adottare misure tecniche e organizzative adeguate per prevenire accessi non autorizzati, perdita o uso improprio.

4. Diritti degli interessati

Le persone i cui dati vengono trattati possono esercitare i seguenti diritti:

• Diritto all’informazione e di accesso: ottenere chiarimenti sul trattamento e ricevere copia dei dati personali detenuti;

• Diritto di rettifica: correggere informazioni inesatte o incomplete;

• Diritto alla cancellazione (diritto all’oblio): richiedere la rimozione dei dati quando ricorrono le condizioni previste dalla normativa;

• Diritto alla limitazione del trattamento: sospendere temporaneamente l’utilizzo dei dati in determinate circostanze;

• Diritto alla portabilità: ricevere i dati in formato strutturato e trasferirli a un altro fornitore di servizi;

• Diritto di opposizione: rifiutare trattamenti basati su interessi legittimi, inclusi quelli connessi alla profilazione o alla pubblicità comportamentale;

• Tutela dei minori: per gli utenti con meno di 18 anni è necessario il consenso esplicito di un genitore o tutore legale.

5. Obblighi dei responsabili del trattamento

Le attività di gestione dei dati devono rispettare i seguenti requisiti operativi:

• esecuzione delle operazioni esclusivamente secondo istruzioni documentate del titolare del trattamento;

• implementazione di misure di sicurezza adeguate, quali crittografia, sistemi di controllo degli accessi e protezione tramite firewall;

• gestione tempestiva delle richieste presentate dagli interessati riguardo ai propri dati;

• comunicazione immediata alle autorità competenti e agli interessati in caso di violazioni dei dati personali;

• mantenimento di registri aggiornati delle operazioni di trattamento;

• realizzazione di valutazioni d’impatto sulla protezione dei dati (DPIA) quando richiesto;

• designazione di un Responsabile della Protezione dei Dati (DPO) e relativa notifica quando previsto dalla normativa.

6. Trasferimento internazionale dei dati

Qualora i dati personali vengano trasferiti verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), devono essere rispettate specifiche condizioni di garanzia, tra cui:

• riconoscimento da parte della Commissione Europea di un livello adeguato di protezione nel paese destinatario; oppure

• adozione delle Clausole Contrattuali Standard approvate dall’Unione Europea, integrate da ulteriori misure di sicurezza come la cifratura end-to-end.

7. Controllo e sanzioni

L’Autorità Garante per la Protezione dei Dati Personali in Italia dispone di poteri di vigilanza e può:

• effettuare verifiche, audit e ispezioni;

• ordinare la sospensione o limitazione di trattamenti non conformi;

• applicare sanzioni amministrative fino a 20 milioni di euro oppure fino al 4% del fatturato annuo mondiale, scegliendo l’importo più elevato.

Gli interessati possono inoltre stabilire, tramite dichiarazione o disposizione testamentaria, modalità di gestione dei propri dati personali dopo il decesso; in assenza di indicazioni specifiche, tali diritti possono essere esercitati dagli eredi.

8. Rilevanza della normativa

L’applicazione del GDPR comporta diversi effetti:

• per gli utenti: maggiore chiarezza nelle pratiche di trattamento e rafforzamento della sicurezza dei dati personali;

• per le piattaforme digitali: riduzione dei rischi legali e maggiore conformità normativa;

• per il mercato online: sviluppo di un ambiente digitale più affidabile, in linea con i requisiti stabiliti dalle politiche di Google e Google Merchant Center.

9. Contatti

Per richiedere informazioni, esercitare i diritti previsti dalla normativa o ottenere chiarimenti sulla politica di protezione dei dati, è possibile contattare il Responsabile della Protezione dei Dati (DPO):

Email: mail@cozylivingnook.com

Le comunicazioni vengono normalmente esaminate entro 24 ore; nei casi più complessi potrebbero essere necessari tempi aggiuntivi di gestione.