PRIVACY: DAL 25.05.2018 DATI PERSONALI BLINDATI
A partire dalla data del 25 maggio 2018 tutti i soggetti economici, società, ditte individuali, professionisti e altri enti commerciali o no profit, pubblici o privati dovranno fare i conti con la nuova normativa in materia di protezione dei dati personali (Privacy) ovvero il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (anche detto GDPR) che, rispetto alla normativa nazionale già in vigore (D.Lgs.196/2003), introduce:
- Nuove metodologie gestionali;
- Una nuova figura professionale;
- Un inasprimento delle sanzioni.
La normativa interessa tutti i casi in cui avviene un “trattamento” di dati personali di terze persone per cui si può certamente affermare che tutti i soggetti economici (salvo rari casi di esonero) siano interessati alla presente normativa.
Si ha, infatti, un “trattamento” di dati personali quando si effettua ” .. qualsiasi operazione o complesso di operazioni, effettuate con o senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati trattati“.
Possiamo brevemente riassumere gli obblighi connessi alla nuova normativa con le seguenti attività:
- Analizzare la tipologia dei dati personali trattati nella propria realtà aziendale o professionale;
- Verificare che il trattamento sia fondato sui principi di liceità, correttezza, trasparenza, che i dati raccolti siano esclusivamente quelli strettamente necessari, pertinenti ed adeguati a svolgere le finalità per cui sono stati richiesti e che siano state adottate le misure necessarie per aggiornarli, rettificarli, cancellarli e soprattutto per proteggerli.
- Informare per iscritto l’Interessato (titolare dei dati trattati) circa l’identità di chi effettua i trattamento (fornendo relativi dati di contatto), le finalità e la base giuridica del trattamento, sulla obbligatorietà o meno del trattamento, su eventuali destinatari dei dati, il periodo di conservazione, i diritti a lui riconosciuti (accesso, rettifica, cancellazione, ecc.), ecc.
- Acquisire il consenso al trattamento dei dati (nei casi in cui non sia previsto l’esonero);
- Individuare un Organigramma interno dei soggetti coinvolti nel trattamento, identificando il Titolare del trattamento (colui che determina le modalità di trattamento dei dati personali e degli strumenti da utilizzare), il Responsabile del trattamento (il soggetto a cui è affidata la realizzazione pratica di quanto stabilito dal Titolare), l’Incaricato al trattamento (il collaboratore o dipendente autorizzato dal Titolare al trattamento dei dati), il Responsabile della Protezione dei Dati (figura eventuale che ha il compito di verificare la corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza, ecc).
- Istituire un Registro dei trattamenti (eventuale) in cui refertare periodicamente le attività poste in essere per adempiere alla normativa;
- Definire politiche di sicurezza e valutazione dei rischi al fine di prevenire il cosiddetto data breach, ossia la distruzione, perdita, modifica, divulgazione non autorizzata dei dati personali o una violazione del sistema di privacy posto in essere;
- Comunicare l’eventuale violazione dei dati personali all’autorità di controllo (Garante) entro 72 ore dal momento in cui se ne viene a conoscenza.
Rispetto alla vigente normativa nazionale (D.Lgs.n.196/2003) il Regolamento UE chiede di adeguare al singolo contesto organizzativo specifiche misure di sicurezza elaborando un piano d’azione apposito attraverso una preventiva, consapevole e responsabile mappatura dei rischi di trattamento dei dati gestiti.
Ciò in quanto, diversamente dal passato, il nuovo modello proposto dal Legislatore Comunitario non è più basato su un disciplinare tecnico delle “misure minime di sicurezza“, essendo posta a carico del Titolare della realtà aziendale (o professionale) la responsabilità (c.d. principio di “Accountability“) di definire, dopo un’attenta analisi dei rischi, le misure di sicurezza idonee a garantire la Privacy dei dati personali trattati.
Il Regolamento introduce un nuovo sistema sanzionatorio che prevede sanzioni penali ed un aumento delle sanzioni amministrative pecuniarie fino ad un massimo di 20 milioni di euro o, per le imprese, fino al 4% del fatturato totale annuo dell’esercizio precedente, se superiore.
Lo Studio è a disposizione per l’assistenza nella messa in pratica degli adempimenti connessi ai nuovi obblighi comunitari.