Il tuo browser non supporta JavaScript!
ORARIO CONTINUATO

Da lunedì al venerdì 8.30 - 19.30
Il sabato 8.30-13.00 e 15.30-19.30

Nuova Disciplina Privacy

ll 25 maggio prossimo diventerà operativo sul territorio Italiano il Regolamento generale sulla protezione dati o GDPR entrato in vigore esattamente due anni fa (24/05/2016) a livello di Regolamento Europeo 2016/679. Pertanto il vecchio codice in materia di dati personali ex D.Lgs.30/06/2003 n.196 dovrà essere oggetto di revisione entro breve in quanto la Legge di Delegazione Europea 2016/2017 ha delegato il Governo a legiferare entro il 21/05/2018 una norma di adeguamento rispetto alla vecchia normativa sulla privacy attualmente in vigore.

Pertanto il nostro legislatore dovrà adeguare le attuali regole sul trattamento dei dati personali ai nuovi criteri di delega stabiliti dall'Unione Europea, in materia di disposizioni amministrative e penali.

Oggi ancora non abbiamo nessun decreto legislativo che ci possa essere di ausilio, ma nonostante ciò il GDPR a partire dal 25 maggio 2018 sarà operativo seppure in assenza di una norma nazionale di recepimento.

 Iniziamo col chiarire che, seppure ad oggi vi siano tante difficoltà interpretative ed operative, l'entrata in vigore di questo nuovo regolamento non è soggetta a proroghe.

 Destinatari del trattamento: gli interessati

 

La nuova disciplina sulla privacy incentra il suo raggio di azione sul trattamento dei dati della sola persona fisica, in quanto l'obiettivo che si pone è quello di tutelare e proteggere i diritti e le libertà delle persone fisiche in tutti gli Stati aderenti all'Unione Europea.

  • Escludiamo quindi il trattamento dei dati delle persone giuridiche dal GDPR
  • In riferimento ai soggetti diversi dalla persona fisica il trattamento dei dati riguarderà esclusivamente la figura del rappresentante legale

 il trattamento dei dati:

  • per il trattamento dei dati personali occorre partire dalla definizione di dato personale.  Si intende per dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile.

 Identificazione: la protezione dei soggetti interessati, persone fisiche ai sensi del GDPR deve essere applicata su di essi, a prescindere dalla nazionalità o dal luogo di residenza di questi.
Una persona fisica diviene identificabile, quindi diviene “destinatario del trattamento dei dati” o soggetto interessato quando si entra in possesso degli elementi minimi (dati personali) adeguati al fine di distinguerla da altre persone in modo univoco.  I dati si considerano personali quando sono sufficienti ad “identificare” la persona.
Attenzione al fatto che se siamo in possesso di un elemento che da solo non è sufficiente ad identificare il soggetto titolare non possiamo ritenere di trattare un “dato personale” tuttavia se da questa informazione si è in grado attraverso l'incrocio con altri elementi di risalire alla identificabilità della persona siamo di fronte ad una identificazione indiretta che porta all'obbligo di protezione dei dati in misura identica rispetto alla identificazione diretta.

Quali dati identificativi dobbiamo prendere a riferimento per l'identificazione dei nostri soggetti interessati:
nome e cognome, indirizzo di casa, indirizzo mail, numero identificativo nazionale, numero di passaporto, indirizzo IP numero di targa del veicolo, numero di patente, identità digitale, smart card, documento di identità codice fiscale, numero partita iva, informazioni genetiche, numero di telefono, account personale informatico, fotografia identificativa dei tratti somatici, impronte digitali, certificati anagrafici o parrocchiali, abbonamenti, tessere sociali.

Ambito di applicazione territoriale

  • il principio di stabilimento definisce come titolari del trattamento tutte le persone fisiche o giuridiche che effettuano il trattamento dei dati personali, nello svolgimento di un'attività di impresa, o di lavoro autonomo, o di qualsiasi attività economica, o di autorità pubblica, in quanto dotate di una stabile organizzazione presso uno dei Paesi UE. (Prevale il principio di stabile organizzazione su quello della residenza effettiva o sede legale.
  • Vi sono tuttavia eccezioni a tale regola che riguardano i soggetti privi di stabile organizzazione nell'UE quando le attività di trattamento per i quali il GDPR ha stabilito la loro soggezione alla normativa privacy quando le attività di trattamento riguardano offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione.

 

Dati sensibili:

Tra i dati personali abbiamo alcuni dati che risultano soggetti ad un trattamento differenziato (dati sensibili)
si intende per dati sensibili quei dati personali che individuano l'origine etnica e razziale, il credo religioso, l'identità sessuale, quella politica, quella filosofica, nonché l'appartenenza sindacale, lo stato di salute, e altri aspetti personali particolarmente privati di un individuo, che potrebbero essere oggetto di discriminazione, o giudizio personale. Tra questi dati il  GDPR introduce anche dati genetici, e biometrici, legati all'identificazione di parti fisiche dell'individuo, o anche i dati giudiziari.

Il titolare del trattamento dei dati personali ha il compito di trattarli nel rispetto delle disposizioni normative vigenti, in corrispondenza del principio di responsabilizzazione, che impone al titolare di porre in essere tutte le misure tecniche ed organizzative “adeguate” a garantire la corretta tenuta ed il corretto trattamento. Questo significa che il legislatore comunitario non ha voluto dettare delle linee guida ma ha lasciato alla libera interpretazione dei destinatari adozione di quei criteri opportuni al raggiungimento di questo scopo in relazione alle dimensioni e alle caratteristiche della propria struttura.
Pertanto il titolare del trattamento è tenuto ad usare tutte le misure che ritiene opportune al fine di garantire la correttezza del suo operato, e deve essere in grado di giustificare le sue scelte in conformità con i principi contenuti nel GDPR.

L'incaricato al trattamento dei dati è la persona fisica che è autorizzata dal titolare o dal responsabile del trattamento a poter trattare i dati personali dell'interessato.

 

Il DPO: Al titolare del trattamento dei dati si aggiunge un altro soggetto – il consulente in materia di privacy che assume degli specifici compiti di supporto e consulenza in materia. In termini tecnici viene definito Responsabile della Protezione dei Dati o DPO. Si tratta di una nuova figura di professionista non regolamentata, dotata di particolari competenze, quali la conoscenza appropriata della normativa, e la capacità di fornire informazioni e soluzioni inerenti i problemi legati alla gestione, al trattamento e conservazione dei dati.
Il DPO è un consulente del titolare del trattamento dei dati, che deve svolgere questo incarico in autonomia, mantenendo durante il suo incarico il requisito della indipendenza, pur eseguendo questo incarico sia in qualità di lavoratore autonomo, sia in qualità di lavoratore dipendente della stessa azienda titolare del trattamento dati.

Il trattamento dei dati personali prevede prima di tutto l'acquisizione del consenso informato da parte del soggetto interessato. Tuttavia a monte tale consenso deve essere esercitato in funzione di un trattamento legittimo e lecito nonché finalizzato al raggiungimento di un obiettivo legittimo, lecito, determinabile, e necessario.

L'informativa del consenso informato deve contenere:

  • liceità correttezza e trasparenza – il trattamento è necessario al fine dell'esecuzione di un atto giuridico di cui l'interessato sia parte. I dati personali sono raccolti e trattati per finalità lecite, determinabili, esplicite e chiare.
  • Limitazione della finalità – nell'informativa del consenso si definiscono le finalità specifiche del trattamento dei dati, in modo da sottoscrivere nel documento che non si farà uso dei dati stessi per finalità diverse o incompatibili.
  • Minimizzazione dei dati – il trattamento dei dati deve essere effettuato nel rispetto delle finalità per le quali viene concesso, quindi secondo adeguatezza e pertinenza.  La minimizzazione consiste in una raccolta dei dati esclusivamente pertinenti alla finalità esposta, in ossequio all'altro principio portante della pertinenza.
  • Esattezza – l'informativa del consenso deve indicare che il titolare del trattamento dei dati personali adotterà tutte le misure adeguate al fine di garantire l'esattezza, e l'aggiornamento, degli stessi, provvedendo alla sostituzione, e cancellazione di quelli non più adeguati.
  • Limitazione della conservazione – l'informativa deve indicare che i dati personali verranno conservati in una forma che consenta l'identificazione dei soggetti interessati per un periodo di tempo non illimitato, ma corrispondente al conseguimento delle finalità per le quali vengono trattati. Una conservazione più lunga può essere richiesta nel caso di obblighi normativi, o nell'interesse della salute dell'individuo, o per obiettivi di ricerca scientifica. (nell'ambito dei nostri studi si presume un termine convenzionale di conservazione di 10 anni)
  • integrità e riservatezza – il titolare del trattamento dei dati deve garantire che il trattamento dei dati personali avvenga in modo da offrire adeguata sicurezza, e protezione, con strumenti opportunamente tarati a questo scopo.
  • Il trattamento dei dati personali può avvenire anche senza consenso informato quando questo sia necessario per l'adempimento di obblighi previsti dalla legge, o da disposizioni comunitarie e soprattutto porgiamo attenzione a questo aspetto: quando è necessario per eseguire obblighi che scaturiscono da un negozio giuridico di cui è parte indiretta l'interessato. Esempio il consenso informato riguarda il datore di lavoro nei confronti del professionista nel disbrigo delle elaborazioni delle paghe o negli altri adempimenti di consulenza mentre non riguarda il lavoratore dipendente che sarà coinvolto nel trattamento dei dati , in quanto questo è parte interessato del rapporto, per il quale vige soltanto l'obbligo di informativa del trattamento dei suoi dati.

 

Il GDPR stabilisce che il consenso da parte dell'interessato debba essere prodotto mediante una manifestazione di volontà libera, autonoma, ed informata, pertanto nei nostri studi è fortemente auspicabile che esso venga reso mediante dichiarazione scritta e controfirmata dallo stesso interessato. Il professionista quale incaricato al trattamento dei dati deve essere in condizione di dimostrare sempre di aver acquisito tale consenso informato. É preferibile evitare di inserire la dichiarazione di consenso al trattamento dei dati all'interno di un altro modello quale lettera di incarico professionale o sottoscrizione di particolari deleghe allo svolgimento di adempimenti di ufficio o pratiche amministrative.
L'interessato ha il diritto di revocare il consenso al trattamento dei suoi dati in qualsiasi momento, e tale revoca deve essere fornita mediante atto datato e controfirmato dall'interessato. La revoca non esercita mai un effetto retroattivo per cui non annulla mai l'efficacia del precedente consenso prestato in riferimento agli atti e alle azioni compiute nel periodo in cui il professionista aveva l'incarico di titolare del trattamento dei dati.

 La profilazione:  per profilazione delle persone fisiche si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti della persona e in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica,  lo stato di salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento.

 Il Registro dei trattamenti: il titolare del trattamento dei dati o il DPO se nominato, hanno l'onere della tenuta di un registro dei trattamenti come previsto dalla normativa del GDPR. Quale funzione ha? Quella di offrire una corretta gestione della privacy garantendo una piena ed esaustiva consultazione dei dati trattati e delle modalità di protezione adottate. Si tratta quindi di uno strumento propedeutico alla corretta valutazione dei rischi di tenuta, trattamento, e conservazione dei dati.
Occorre considerare che il registro è obbligatorio per gli organismi con almeno 250 dipendenti, tuttavia è caldamente raccomandata la sua tenuta a prescindere dalle dimensioni aziendali. Nei nostri studi dovrebbe diventare un elemento di individuazione, mappatura, della clientela fondamentale.Il registro può essere tenuto in forma cartacea, mediante supporto word o griglia excel o mediante un applicativo software predisposto da software house.
Altro aspetto rilevante è dato dal fatto che l'eventuale esonero non scatta qualora il titolare del trattamento dei dati come un commercialista, faccia uso di tali dati non in via occasionale, quindi basta trattare i dati personali in modo continuativo, per ricadere nell'obbligo di tenuta del registro.

Nel registro dei trattamenti sono riportati:

Quali informazioni contiene il registro?
1)     indicare chi è il titolare del trattamento e il contitolare o responsabile DPO
2)     indicare le finalità del trattamento 
3)     elencazione delle categorie di interessati e delle categorie dei dati personali raccolti e conservati
4)     trasferimenti di dati personali
5)     termini previsti per la cancellazione delle diverse categorie di dati
6)     descrizione generale delle misure di sicurezza tecniche e organizzative

Al momento non siamo in possesso di un modello ufficiale di registro dei trattamenti. Ad ogni modo sembrerebbe per i soggetti di minore entità che sia adottabile un registro semplificato.

Data Protection Impact Analysis DPIA -

La ceck list di valutazione: consiglio di scaricare il documento delle Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679

 

la valutazione d'impatto sulla protezione dei dati è un processo volto a individuare i rischi per le libertà delle persone fisiche derivanti dal trattamento dei dati e a trovare le misure per proteggerli.
Si tratta di uno dei passi più significativi perché la mancata esecuzione della valutazione dei rischi o una valutazione errata portano alla applicazione di pesantissime sanzioni amministrative.
Per brevità focalizziamo la valutazione in una serie di domande:

  • che cosa esamina una valutazione d'impatto sulla protezione dei dati?
  • Quali trattamenti sono soggetti ad una valutazione d'impatto sulla protezione dei dati?
  • Quale regola si applica ai trattamenti già esistenti?
  • Come si svolge la valutazione d'impatto sulla protezione dei dati?
  • Quando è necessario consultare l'autorità di controllo ?

che cosa esamina una valutazione d'impatto sulla protezione dei dati? Il DPIA è un insieme di operazioni volte ad analizzare il rischio, valutandone le problematiche ed i punti deboli per trovare adeguate contromisure in grado di assolvere agli obblighi di adeguata conservazione e tutela dei dati.
Il titolare del trattamento dei dati deve valutare l'esigenza di un riesame del trattamento dei dati per verificare se ha adottato procedure conformi alla valutazione di rischio sulla protezione dei dati al verificarsi di un mutamento del rischio stesso. Tale valutazione dovrebbe essere ripetuta ogni 3 anni.

Quali trattamenti sono soggetti ad una valutazione d'impatto sulla protezione dei dati? Tutti i trattamenti che possono presentare un rischio elevato. Tuttavia il WP29 raccomanda di farla comunque. Quando si parla di particolari esempi di richiesta di una valutazione d'impatto sulla protezione dei dati?
Prestiamo attenzione ai clienti che adottano sistemi di monitoraggio sistematico delle attività dei propri dipendenti, controllando la postazione di lavoro, e le loro attività su internet. Prestiamo attenzione ai clienti medici o operatori sanitari che trattano dati di pazienti con carattere di dati sensibili o estremamente personali.
Pensiamo infine ai clienti che svolgono attività di commercio elettronico e che sono tenuti ad una profilazione dei loro gusti ed orientamenti commerciali.  

Quale regola si applica ai trattamenti già esistenti? Quando siano mutate le condizioni di attuazione cioè l'ambito di applicazione, le finalità del trattamento, i dati, il periodo di conservazione, le misure e gli accorgimenti tecnici organizzativi rispetto alla prima verifica effettuata dal DPO possono verificarsi notevoli mutamenti del livello di rischio, per cui occorre effettuare una nuova valutazione dell'impatto sulla protezione dei dati personali.

Come si svolge la valutazione d'impatto sulla protezione dei dati? La valutazione deve essere fatta prima del trattamento, senza indugio, nella fase di raccolta documentale, o di avvio di un progetto lavorativo, e successivamente i dati saranno oggetto di un controllo periodico al fine di aggiornarne i contenuti.
Obbligato ad effettuare la valutazione rischi sulla protezione dei dati è il titolare del trattamento ed il DPO.
Quindi il titolare del trattamento ha il dovere di assicurarsi che la valutazione rischi sulla protezione dei dati sia stata eseguita,
In riferimento alla nomina del DPO qualora sia stato designato, il DPIA deve contenere il parere del DPO e le decisioni del titolare del trattamento.

Quando è necessario consultare l'autorità di controllo ? Le linee guida citano testualmente che il titolare del trattamento deve consultare l'autorità di controllo quando non sia in grado di trovare misure idonee a ridurre i rischi ad un livello accettabile.

 L'articolo è scaricabile in PDF

L'autore: Antonio Tuzio
Dottore Commercialista in Reggio Emilia
Curatore fallimentare presso il Tribunale di Reggio Emilia
Responsabile di svariati corsi di formazione professionale
Pubblicista

Via Maria Melato 13
42122 Reggio Emilia
Tel. 328 6781837
E-mail studiotuzio@gmail.com
http://www.studiotuzio.it



Guarda tutti gli articoli scritti da Antonio Tuzio

Protezione dei dati nella piccola e media impresa. L'applicazione del Regolamento Generale europeo sulla protezione dei dati n. 679/2016

di Adalberto Biasiotti

editore: EPC

pagine: 296

La piccola e media impresa rappresenta, in tutta Europa, l'ossatura portante della struttura economica di una nazione

I profili professionali nella protezione dei dati personali. Le nuove figure secondo la Norma UNI 11697:2017

di Michele Iaselli

editore: EPC

pagine: 272

L'UNI, Ente italiano di normazione, ha pubblicato di recente la norma 11697 che definisce i profili professionali relativi al

Manuale per il trattamento dei dati personali. Le opportunità e le sfide del nuovo regolamento europeo sulla privacy

Autori vari

editore: Il Sole 24 Ore

pagine: 252

Molteplici gli obiettivi di questo manuale: è una guida per chiunque sia chiamato a svolgere la funzione di DPO (Responsabile

Privacy e regolamento europeo

II ed.

Autori vari

editore: Ipsoa

Dopo un iter legislativo durato quattro anni, è stato pubblicato nella Gazzetta Ufficiale Europea del 4 maggio 2016 il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO sulla protezione dei dati, che abroga il precedente Codice della Privacy (D.Lgs. n. 196/2003), che a sua volta discendeva dalla Direttiva Madre 95/46/CE.Il provvedimento entrato in vigore il 24 maggio 2016 dà 2 anni di tempo agli Stati per adeguare la propria legislazione alle regole europee che diventeranno effettive il 25 maggio 2018. In questo periodo professionisti ed imprese dovranno adattare i propri modelli organizzativi alle nuove prescrizioni per evitare di incorrere in un apparato sanzionatorio molto severo. La seconda edizione del presente volume cerca di approfondire i temi trattati dal Regolamento fornendo una nuova e più meditata interpretazione rivolta sempre a professionisti ed aziende che dovranno intervenire sui processi per adeguare i propri sistemi alle nuove misure previste dalla disciplina europea.

Le regole della privacy. Guida pratica al nuovo GDPR

di Federica De Stefani

editore: Hoepli

pagine: 168

Il 25 maggio 2018 entrerà in vigore il GDPR (acronimo di General Data Protection Regulation) che porterà un cambiamento radicale nella gestione dei dati personali, qualificati dalla stessa normativa come diritti fondamentali dell'uomo. Il processo di adeguamento al GDPR è complesso e impone di rivedere i sistemi organizzativi fino a oggi adottati. Questo significa conoscere e comprendere il Regolamento europeo in modo da poter individuare quelle misure adeguate che consentono di applicare correttamente la nuova regolamentazione. Le regole della privacy analizza il Regolamento in 10 punti che riprendono tutte le novità più importanti e gli adempimenti da seguire per l'adeguamento alla nuova normativa. Spiegato con un linguaggio chiaro e comprensibile anche per i non addetti ai lavori, come nella tradizione di questa collana, questo libro è la guida pratica per tutti coloro che devono confrontarsi con le disposizioni del GDPR.

Il Nuovo Regolamento Privacy Oltre 200 risposte a quesiti

di Carlo Nocera

editore: Maggioli Editore

pagine: 156

L'avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approcc

Adempimenti privacy per professionisti e aziende

Autori vari

editore: Giuffrè

pagine: 312

Il tema della privacy assume una portata sempre più ampia e significativa in relazione alla prossima entrata in vigore del Regolamento Europeo. Il "diritto alla riservatezza" , inteso anche come il diritto a controllare il trattamento dei propri dati personali, trascende ormai l'originaria configurazione e si prospetta sempre più come un diritto fondamentale dell'individuo che può essere oggetto di limitazione solo in casi tassativi. Da qui la necessità di un approccio che, senza dimenticare il valore dei principi generali, sia pragmatico e multidisciplinare, anche in relazione alle importanti sanzioni in caso di violazione della normativa. Il volume, redatto da operatori specializzati della materia, risponde appunto a tale esigenza, fornendo al lettore una visione globale della disciplina ed apprestando risposte dirette ai quesiti che possono insorgere nell'esperienza quotidiana.   

Nuove regole sulla privacy

editore: Euroconference

pagine: 104


Inserisci un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con un asterisco*

Inserire il codice per il download.

Inserire il codice attivare il servizio.