NOVITÀ PRIVACY - GENNAIO 2020
GDPR – Privacy al gennaio 2020
STORIA E APPLICAZIONE
Dal 25 maggio 2018 il GDPR, ossia il (nuovo) Regolamento Europeo per la protezione dei dati (Regolamento 2016/679/UE, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) è entrato in vigore in tutta la UE. Infatti, essendo un Regolamento e non una Direttiva che richiede un atto di recepimento, anche in Italia è stato immediatamente vigente.
Contrariamente a quanto si possa pensare, l’applicazione in Italia è stata dilazionata, non tanto dal punto di vista operativo, quanto da quello sanzionatorio, spostando il termine molto più in là, quasi un anno dopo.
Ad oggi, in Italia, tanto per complicarci un po’ la vita, sono cogenti ben 3 riferimenti da seguire:
- il D.Lgs. 196/2003, che non è stato abrogato, ma continua a vivere, anche se risistemato (o meglio, novellato) dal decreto di accompagnamento del GDPR;
- il GDPR, del Parlamento Europeo (maggio 2016);
- il D.Lgs. 101/2018, il decreto di accompagnamento del GDPR, del 10 agosto, vigente dal 16 settembre 2018.
Quest’ultimo atto legislativo definisce la data dell’inizio delle sanzioni (o la fine del cosiddetto “periodo di tolleranza”) traslando il termine di 8 mesi dalla data in cui il D.Lgs. 101/18 è stato pubblicato in Gazzetta Ufficiale, arrivando quindi al 19/05/2019, quasi un anno dopo la fatidica data del 25/05/2018, appunto!
PROVVEDIMENTI ED ALTRI ATTI PRECEDENTI
I Provvedimenti del Garante esistenti, qualora ulteriori rispetto al GDPR, rimangono ovviamente valide, fino ad una successiva opera di integrazione da parte del Garante. È questo il caso, ad esempio, di:
- Linee guida del Garante per posta elettronica e internet (2007);
- Provvedimento del Garante sull’Amministratore di Sistema (2008-2009);
- Provvedimento del Garante sulla Videosorveglianza (2010).
A COSA SI APPLICA?
Il GDPR:
- stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
- protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
PERSONE FISICHE O PERSONE GIURIDICHE?
Il GDPR si applica alle sole “persone fisiche”, quindi non alle “persone giuridiche” (ad esempio le aziende), ma tutte le imprese hanno all’interno persone fisiche, quindi il GDPR è da applicare anche in azienda (ovviamente solo per i trattamenti dei dati delle persone fisiche).
IL PRINCIPIO DELLA RESPONSABILIZZAZIONE (ACCOUNTABILITY)
L’azienda che tratta i dati personali è da considerare come “titolare del trattamento dei dati”, cioè come la persona (fisica o giuridica) che definisce le finalità nonché le modalità del trattamento e che ha la responsabilità delle scelte e delle azioni. Questo è il principio di responsabilizzazione o di “accountability”, concetto fondamentale del GDPR (art. 5.2).
Il titolare del trattamento dei dati diventa quindi l’unico responsabile per qualsiasi trattamento non a norma di legge. È anche il soggetto che deve eventualmente motivare e sostenere le scelte effettuate, in quanto determina le finalità e i mezzi del trattamento di dati personali.
MISURE DI SICUREZZA
Nel Codice Privacy, si parlava di MISURE MINIME DI SICUREZZA, quali, ad esempio:
- Password
- Antivirus
- Aggiornamento del Sistema Operativo
- Backup
Nel GDPR le Misure di Sicurezza non sono state definite, lasciando la responsabilità della scelta e dell’idoneità delle stesse al Titolare del Trattamento dei dati. E questo è uno dei rischi principali, non da sottovalutare!
SCARICO DI RESPONSABILITÀ
Nel caso di trattamento dei dati da parte di soggetti esterni all’impresa, è possibile scaricare la relativa responsabilità su tali soggetti (Commercialista, Consulente del Lavoro, RSPP, Medico Competente, Associazione di Categoria, ecc.); questo vale solo se:
- esiste un contratto/mandato/incarico tra le parti che specifichi chiaramente:
- Finalità
- Durata
- Tipologia dei dati
- viene redatta idonea lettera (con valore legale) per:
- Nomina di Responsabile di trattamento dei dati (non esistono le AUTONOMINE)
- Designazione di Titolare autonomo di trattamento dei dati (liberi professionisti).
COSA FARE?
Il primo passo del percorso di adeguamento consiste in una valutazione dei processi aziendali per quanto riguarda il livello di conformità alla normativa vigente, dove si possa anche analizzare la documentazione eventualmente già esistente.
L’analisi si deve concentrare poi su procedure, flussi di trattamento, accessi ai dati, modalità di effettuazione del trattamento e tipologia dei dati, anche ricorrendo alla formazione per i soggetti coinvolti nel trattamento.
Particolare attenzione deve essere posta anche sulle modalità di gestione del sistema informatico, per assicurare che sia conforme alle nuove disposizioni e che i dati inseriti siano sufficientemente protetti dai rischi informatici e telematici.
Una volta individuate le criticità nel sistema organizzativo aziendale e messe in atto le procedure necessarie alla sicurezza dei dati e del loro trattamento, è poi importante prevedere una verifica periodica sullo stato di protezione e sull'effettiva esecuzione delle misure di sicurezza individuate.
PASSAGGI FONDAMENTALI DAL PUNTO DI VISTA DOCUMENTALE
È quindi importante:
- verificare innanzitutto per ogni trattamento la liceità dello stesso (GDPR art. 6) anche per evitare di chiedere consensi inutili;
- redigere idonee informative per i vari trattamenti, magari strutturate per tipologia di attività svolta (dati dei clienti e dei fornitori, dei dipendenti, ecc.);
- richiedere i vari consensi necessari;
- redigere gli incarichi;
- redigere nomine a Responsabile del trattamento dei dati ed individuare i Titolari autonomi per il trattamento;
- predisporre il Registro dei Trattamenti (spesso è sufficiente la versione semplificata, appositamente predisposta dal Garante).
PROSPETTIVE
Alla data attuale, il Garante è in scadenza di mandato (dal maggio scorso). Gli eventi politici non lasciano immaginare una pronta nomina del successore. Quindi l’attuale Garante si sta limitando alla “normale amministrazione” senza ulteriori attività di sviluppo e di integrazione.
Disattendendo le aspettative delle imprese, infatti, ad oggi non sono ancora state proposte le modalità semplificative per le PMI (annunciate all’inizio del 2018 come futura attività del Garante). Leggendo il D.Lgs. 101 si evidenzia con chiarezza l’esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese.
Auspichiamo quindi che il Garante per la protezione dei dati personali si convinca al più presto di definire le tanto attese linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR per il settore delle PMI, individuando delle modalità semplificate di adempimento degli obblighi del Titolare del trattamento.
ASSOCIAZIONE ARTIGIANI E PRIVACY
L’Associazione Artigiani vi inviata a mettervi in contatto con il nostro ufficio privacy ai numeri 030/2209824 – 57 – 60 – 21, per l’adeguamento alla normativa in vigore.
Rimanendo in argomento, si invitano i visitatori di queste pagine a visionare le rispettive informative dell’ASSOCIAZIONE ARTIGIANI DI BRESCIA E PROVINCIA nonché quella della società di servizi ASSOARTIGANI s.c. a r.l. alla pagina https://www.assoartigiani.it/privacy/
Brescia, gennaio 2020