GDPR

Introduzione

La presente politica è redatta in conformità con il Decreto Legislativo n. 101/2018 dell’Italia e con il General Data Protection Regulation (GDPR) dell’Unione Europea.
Tale decreto legislativo ha modificato il Codice in materia di protezione dei dati personali (Decreto Legislativo n. 196/2003) al fine di garantire l’allineamento dell’ordinamento giuridico italiano con la normativa europea in materia di protezione dei dati.

In Italia, l’autorità di controllo competente in materia di protezione dei dati è il Garante per la Protezione dei Dati Personali (di seguito “Garante”).
Questa autorità è responsabile della supervisione dell’applicazione del GDPR, della pubblicazione di linee guida e della conduzione di indagini e sanzioni in caso di violazioni delle norme sulla protezione dei dati.

La presente politica ha lo scopo di spiegare in che modo i dati personali vengono raccolti, utilizzati, conservati e protetti, nonché i diritti riconosciuti agli interessati.

Ambito di applicazione

La presente politica si applica ai seguenti soggetti:

ai titolari del trattamento dei dati (Data Controller) e ai responsabili del trattamento (Data Processor) stabiliti in Italia che trattano dati personali;

alle organizzazioni o imprese situate al di fuori dell’Unione Europea che offrono beni o servizi a residenti in Italia oppure monitorano il loro comportamento.

La presente politica si applica al trattamento dei dati personali effettuato sia con strumenti automatizzati sia con modalità non automatizzate (ad esempio sistemi di archiviazione). Non si applica invece alle attività esclusivamente personali o domestiche.

Principi del trattamento dei dati

Ai sensi dell’articolo 5 del General Data Protection Regulation, il trattamento dei dati personali deve rispettare i seguenti principi fondamentali:

Liceità, correttezza e trasparenza

Il trattamento dei dati personali deve essere basato su una chiara base giuridica e accompagnato da informazioni trasparenti fornite agli interessati.

Limitazione delle finalità

I dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non devono essere successivamente trattati in modo incompatibile con tali finalità.

Minimizzazione dei dati

Devono essere raccolti solo i dati personali strettamente necessari al raggiungimento delle finalità del trattamento.

Esattezza

I dati personali devono essere accurati e, se necessario, aggiornati tempestivamente.

Limitazione della conservazione

I dati personali non devono essere conservati per un periodo superiore a quello necessario al conseguimento delle finalità per cui sono trattati.

Integrità e riservatezza

Devono essere adottate adeguate misure tecniche e organizzative per garantire la sicurezza dei dati e prevenire accessi non autorizzati, perdite o divulgazioni.

Base giuridica del trattamento dei dati

Secondo il GDPR, il trattamento dei dati personali deve basarsi su almeno una delle seguenti basi giuridiche:

il consenso esplicito dell’interessato;

l’esecuzione di un contratto o l’adozione di misure precontrattuali;

l’adempimento di un obbligo legale;

la tutela degli interessi vitali dell’interessato o di un’altra persona;

l’esecuzione di un compito di interesse pubblico;

il legittimo interesse del titolare del trattamento, purché non prevalgano i diritti e le libertà fondamentali dell’interessato.

Il titolare del trattamento deve indicare chiaramente la base giuridica applicabile al momento della raccolta dei dati.

Diritti dell’interessato

In conformità con il General Data Protection Regulation, ogni individuo gode dei seguenti diritti quando i suoi dati personali vengono trattati:

diritto di accesso: ottenere conferma dell’esistenza dei propri dati personali e informazioni sul loro trattamento;

diritto di rettifica: richiedere la correzione di dati inesatti o incompleti;

diritto alla cancellazione (diritto all’oblio): richiedere la cancellazione dei dati personali in determinate circostanze;

diritto alla limitazione del trattamento: limitare il trattamento dei dati in specifiche situazioni;

diritto alla portabilità dei dati: ricevere i dati in formato strutturato, di uso comune e leggibile da dispositivo automatico e trasferirli ad un altro titolare;

diritto di opposizione: opporsi al trattamento dei dati basato sul legittimo interesse o utilizzato per finalità di marketing diretto.

Per i minori di età inferiore a 14 anni, il trattamento dei dati personali deve essere autorizzato dai genitori o dal tutore legale.

Tutte le informazioni relative alla privacy devono essere fornite con un linguaggio chiaro, semplice e facilmente comprensibile.

Obblighi del titolare e del responsabile del trattamento

Il titolare del trattamento deve:

garantire che tutte le attività di trattamento dei dati siano conformi al GDPR e alla normativa italiana;

trattare i dati personali solo su basi giuridiche valide;

stipulare con i responsabili del trattamento accordi conformi ai requisiti del GDPR;

adottare adeguate misure tecniche e organizzative per proteggere i dati personali;

in caso di violazione dei dati personali, notificare l’evento al Garante per la Protezione dei Dati Personali entro 72 ore;

effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) per le attività di trattamento che possono comportare rischi elevati;

nominare un responsabile della protezione dei dati (DPO) quando richiesto dalla legge e registrarlo presso l’autorità competente.

Le autorità pubbliche e le grandi organizzazioni dovrebbero inoltre organizzare regolarmente programmi di formazione sulla protezione dei dati per i propri dipendenti.

Trasferimento internazionale dei dati

Quando i dati personali vengono trasferiti verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), il titolare del trattamento deve rispettare le disposizioni del Capitolo V del GDPR.

I meccanismi legali di trasferimento dei dati includono:

decisioni di adeguatezza adottate dalla Commissione Europea;

clausole contrattuali standard (Standard Contractual Clauses, SCCs);

altre garanzie adeguate conformi ai requisiti del GDPR.

Dopo la sentenza Schrems II, le imprese devono effettuare ulteriori valutazioni sui meccanismi di trasferimento internazionale dei dati per garantire che il livello di protezione non sia inferiore agli standard dell’Unione Europea.

Vigilanza e applicazione

Il Garante per la Protezione dei Dati Personali dispone di ampi poteri di controllo, tra cui:

condurre indagini e audit;

emettere avvertimenti o ordini correttivi;

sospendere o vietare attività di trattamento dei dati;

imporre sanzioni amministrative in caso di violazioni.

Ai sensi del General Data Protection Regulation, le sanzioni amministrative possono arrivare fino a:

20 milioni di euro, oppure

il 4% del fatturato annuo globale dell’impresa, se superiore.

Inoltre, la legislazione italiana consente alle persone di esprimere disposizioni relative al trattamento dei propri dati personali dopo la morte, ad esempio tramite testamento o altri atti giuridici.

Contatti

Telefono: +1 (509) 215-1399

Email: care@avonaraliving.com

Indirizzo: 10433 SE KENT KANGLEY RD APT 314,KENT,WA 98030-7670,United States

Orario di apertura: dal lunedì al venerdì, dalle 9:00 alle 18:00 (ora dell’Europa centrale)