Reg. (UE) 2016/679 (GDPR)
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (GDPR)
Il GDPR (Reg. UE 2016/679) disciplina il trattamento dei dati personali di tutte le persone fisiche residenti nell'Unione Europea. Si applica a tutti gli operatori che raccolgono e trattano dati personali, compresi i laboratori di analisi. 123Acqua tratta dati personali dei clienti (anagrafica, indirizzi, fatturazione, risultati di analisi associati a un punto di prelievo) nel rispetto pieno del GDPR e del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018.
Anno
2016
Tipo
Regolamento
Soggetti obbligati
3
Ambito di applicazione
Regolamento europeo sulla protezione dei dati personali. Si applica al trattamento di dati personali dei clienti del laboratorio, dei risultati di analisi e degli atti collegati.
Soggetti obbligati
- Tutti i titolari e responsabili del trattamento di dati personali
- Laboratori di analisi (per anagrafiche clienti, fatturazione, risultati associati)
- Imprese e professionisti che gestiscono dati di clienti, dipendenti, fornitori
Articoli chiave
| Articolo | Contenuto |
|---|---|
| Art. 5Principi del trattamento | Liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, accountability. |
| Art. 6Liceità del trattamento | Basi giuridiche: consenso, contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse. |
| Artt. 12-22Diritti degli interessati | Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate. |
| Art. 32Sicurezza del trattamento | Misure tecniche e organizzative adeguate al rischio: pseudonimizzazione, cifratura, integrità, disponibilità, resilienza. |
| Art. 33Notifica violazioni | Notifica al Garante entro 72 ore in caso di data breach con rischio per i diritti degli interessati. |
Cosa regola
Il GDPR disciplina il trattamento dei dati personali di tutte le persone fisiche nell'Unione Europea. Si applica a qualunque trattamento, anche solo parzialmente automatizzato, di dati personali. Stabilisce principi, basi giuridiche, diritti degli interessati, obblighi del titolare e del responsabile, requisiti di sicurezza, regole sui trasferimenti extra UE.
In Italia è integrato dal D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, che adatta il GDPR all'ordinamento nazionale.
Soggetti obbligati
Il GDPR si applica a tutti i titolari e responsabili del trattamento. Per un laboratorio di analisi i ruoli tipici sono: titolare del trattamento (il laboratorio stesso, per anagrafica clienti, fatturazione, risultati), responsabile (es. il fornitore del software gestionale, il corriere, il provider di hosting). I dati relativi ai risultati delle analisi non rientrano di norma tra le categorie particolari di dati (art. 9 GDPR), salvo casi specifici di analisi a fini sanitari.
Articoli chiave
Art. 5 fissa i principi (liceità, correttezza, trasparenza, minimizzazione, ecc.). Art. 6 elenca le basi giuridiche. Art. 7 disciplina il consenso. Artt. 12-22 disciplinano i diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Art. 13-14 obblighi informativi. Art. 28 contratti con i responsabili. Art. 30 registro dei trattamenti. Art. 32 sicurezza. Art. 33-34 notifica delle violazioni. Art. 35 valutazione di impatto. Artt. 44-49 trasferimenti extra UE.
Sicurezza e diritti
Le misure di sicurezza devono essere adeguate al rischio: cifratura dei dati in transito (HTTPS) e a riposo, controllo degli accessi, pseudonimizzazione, backup, resilienza dei sistemi. Gli interessati possono esercitare i propri diritti scrivendo al titolare; la risposta deve essere fornita entro un mese.
Sanzioni
Le sanzioni amministrative pecuniarie possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale (importo maggiore). In Italia l'autorità competente è il Garante per la protezione dei dati personali, che può anche prescrivere misure correttive o limitazioni del trattamento.
Aggiornamenti recenti
Nel 2024-2025 il Garante italiano ha pubblicato linee guida specifiche su intelligenza artificiale, cloud, gestione dei data breach. La sentenza Schrems II e le successive decisioni della Corte di Giustizia europea hanno ridefinito le regole sui trasferimenti extra UE, in particolare verso gli Stati Uniti (Data Privacy Framework).
Come 123Acqua applica il GDPR
123Acqua opera nel pieno rispetto del GDPR e del D.Lgs. 196/2003. L'informativa privacy è disponibile nel sito, il consenso è richiesto solo dove necessario (newsletter, marketing), i dati personali sono trattati con misure di sicurezza adeguate (cifratura, controllo accessi, backup). Gli utenti possono esercitare i propri diritti in qualsiasi momento.