Premessa
Manca poco ormai al debutto del nuovo Regolamento Ue 2016/679, previsto per il 25 maggio 2018.
Il countdown è iniziato per aziende, professionisti, farmacie, studi medici e in generale tutti coloro che utilizzano dati personali per lo svolgimento delle proprie mansioni.
Forniamo a tal proposito un quadro completo sull’iter da seguire per porre in essere una corretta gestione degli adempimenti privacy fin dal subito, vista ormai l’imminente entrata in vigore delle nuove regole.
NOTA BENE – È innanzitutto doveroso precisare che è fondamentale essere in regola già a partire dalla data x, è opportuno quindi mettersi “all’opera” fin da ora per l’adozione di tutte le misure tecniche ed organizzative adeguate e per la corretta gestione degli adempimenti previsti dal nuovo Regolamento privacy per non vedersi imbattere in pesanti sanzioni, tra le più alte mai stabilite in quest’ambito. |
Ma andiamo, per meglio comprendere, a delinearne gli elementi chiave del cambiamento in atto.
ATTENZIONE – Per chi pensasse ancora di far affidamento al vecchio codice della privacy dovrà abbandonare l’idea: se prima poteva esserci qualche ben minimo dubbio sulla validità e sulla continuità nell’applicazione, lo schema di Decreto approvato in via preliminare il 21 marzo ha sciolto ogni nodo. La disciplina sulla privacy dovrà far riferimento infatti esclusivamente al nuovo Regolamento europeo e al decreto attuativo. Bisognerà però attendere ancora il 19 maggio per vedere l’iter legislativo del nuovo decreto completato, dopo i pareri del Consiglio di Stato, delle commissioni parlamentari competenti e del Garante della privacy. |
La normativa di riferimento in materia di protezione dei dati personali è costituita da:
- Provvedimenti del Garante della privacy;
- D.Lgs. 196/2003 (Codice privacy e suoi allegati);
i quali fanno riferimento al Regolamento Ue 2016/679.
Le direttive sono state introdotte con il D.L. approvato in via preliminare il 21.03
Le novità
Con il D.L. approvato in via preliminare il 21.03 cambia sostanziamente l’approccio a tutto il sistema; mentre prima l’obiettivo principale da parte delle aziende era quello di svolgere una serie di adempimenti a cui le stesse dovevano provvedere, ora si pone l’attenzione sul principio di sensibilizzazione delle imprese. L’approccio sarà basato, infatti, sul rischio e sulle misure di accountability (responsabilizzazione) di titolari e responsabili, ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Accountability:
- privacy by design (prevenire non correggere): principio secondo cui i problemi e le soluzioni da adottare vanno valutati nella fase di progettazione;
- privacy by default: necessità della tutela della vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita.
Come adeguarsi al GDPR in 10 punti:
- La valutazione della compliance: raccolta e analisi delle informazioni sull’organizzazione aziendale;
- Creazione del registro dei trattamenti: un registro delle attività di trattamento svolte sotto la responsabilità del titolare del trattamento;
- Stesura/modifica della documentazione: tutta la documentazione deve essere necessariamente sempre aggiornata e completa;
- Individuazione dei ruoli e delle responsabilità: individuare, sensibilizzare e formare tutte le persone “attive” del processo; individuare anche le singole responsabilità;
- Individuazione e nomina di un data protection officer: nuova figura professionale – uno degli elementi-chiave del nuovo sistema di governance dei dati – prevede una serie di condizioni in rapporto alla nomina, allo status e ai compiti specifici;
- Definizione delle politiche di sicurezza e valutazione dei rischi: determinazione del valore quantitativo o qualitativo dei rischi connessi ad una situazione concreta o minaccia conosciuta;
- Valutazione d’impatto sulla protezione dei dati personali: consente di valutare gli aspetti relativi alla protezione dei dati, prima che questi vengano trattati;
- Implementazione dei processi per l’esercizio dei diritti dell’interessato: al fine di assicurarsi di aver adottato tutte le procedure idonee alla tutela dei diritti dell’interessato;
- Processo di data breach: analizzare e fissare gli adempimenti nel caso di un data breach (perdita, violazione ecc…di dati sensibili, protetti o riservati);
- Adeguare il proprio sito web.
Domande
Domanda 1: Con l’avvento del GDPR cosa cambia per la mia aziende?
Il nuovo Regolamento (Ue) 2016/679 relativo alla libera circolazione e alla protezione del trattamento dei dati personali delle persone fisiche (che abroga la direttiva 95/46/CE – regolamento generale sulla protezione dei dati). Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016 è entrato in vigore il 24 maggio 2016, ma la sua piena attuazione è stata prevista per il 25 maggio 2018.
Con l’avvento delle nuove norme gli studi professionali, le aziende ecc., non dovranno più attenersi al vecchio Codice della privacy (il D.Lgs. 196 del 2003) bensì al nuovo Regolamento e al Decreto Legislativo che verrà approvato da qui a breve (l’iter legislativo verrà concluso entro il 19 maggio proprio a pochi giorni dall’entrata in vigore del nuovo Regolamento).
Le imprese dovranno metter mano al tema privacy con uno sguardo non solo al quadro giuridico nazionale ma in un’ottica comunitaria, il fine ultimo infatti è quello di applicare le medesime norme in tutto il continente, per garantire la certezza giuridica per le imprese e lo stesso livello di protezione dei dati in tutta l’UE.
I vantaggi vanno infatti dall’avere un’unica autorità per la protezione dei dati (anche per attività svolte all’estero) e norme univoche in tutto il territorio dell’Unione europee (si pensi ai vantaggi per le imprese che si spingono sempre più verso l’internalizzazione).
Precedentemente l’obiettivo principale da parte delle aziende era quello di svolgere una serie di adempimenti a cui le stesse dovevano provvedere, ora si pone l’attenzione sul principio di sensibilizzazione delle imprese. L’approccio sarà basato infatti sul rischio e sulle misure di accountability (responsabilizzazione) di titolari e responsabili, ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.
Domanda 2: Devo nominare un Responsabile della protezione dei dati?
L’obbligo di designazione è stabilito dall’art. 37 del Regolamento ovvero qualora:
- il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico (eccetto le autorità giurisdizionali quando esercitano le loro funzioni);
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Al di fuori di tali ipotesi, invece, la designazione del DPO rimane facoltativa.
Non è obbligatoria ad esempio:
- in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.
Nonostante la non obbligatorietà, il Garante ne consiglia e ne raccomanda anche a tali soggetti la designazione, anche alla luce del principio di “accountability” (secondo il principio di responsabilizzazione).
E’ obbligatoria ad esempio nei casi di istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
Domanda 3: Cosa devo fare per adeguare la mia attività al nuovo Regolamento?
In sintesi secondo il nuovo regolamento europeo ogni azienda dovrà:
- effettuare un controllo interno;
- verificare il proprio livello di esposizione ai rischi;
- svolgere una serie di interventi per mitigare i rischi;
- innalzare il livello di tutela;
- documentare le scelte prese secondo un processo di accountability che caratterizza l’intero regolamento.
Ovvero:
- designare, nei casi previsti e in tempi stretti il Responsabile della protezione dei dati (o DPO – Data Protection Officer);
- istituire, nei casi previsti, il Registro delle attività del trattamento, in cui sono descritti i trattamenti effettuati e le procedure di sicurezza adottate;
- definire tutti gli adempimenti da adottare per ogni evento che potrebbe accadere in azienda dalla notifica delle violazioni dei dati personali, i cosiddetti Data Breach, alla valutazione di impatto, fino all’eventuale consultazione preventiva con il Garante ecc;
- formare adeguatamente le persone “attive” del processo;
- definizione delle politiche di sicurezza e valutazione dei rischi;
- adeguare il proprio sito web alle richieste del nuovo Regolamento;
- modificare e riaggiornare tutte le informative da fornire all’interessato;
- adottare tutte le misure adeguate per la cyber security.
Domanda 4: Come devo mettere in regola il mio sito web?
Tutti i siti web che posseggono un modulo di contatto, di raccolta dati, che utilizza la tecnologia dei cookies o magari che posseggono anche un’area dedicata all’e-commerce dovranno mettersi in regola con le disposizioni del nuovo Regolamento, ovvero dovranno:
- adeguare le misure idonee che permettano all’utente di confermare il proprio consenso all’attività di trattamento e tracciamento dei dati personali;
- fornire una chiara e dettagliata Privacy Policy;
- Informare l’utente in riguardo a chi sia il Responsabile del trattamento dei dati;
- Informare l’utente in riguardo ai tempi di conservazione dei dati, le modalità di cancellazione, la modifica degli stessi;
- Informare l’utente se il sito web prevede procedure tecniche volte a profilarne la navigazione e le preferenze (cookies ecc.);
- predisporre il sito di un software che permetta, nel caso in cui l’utente scelga di poter navigare con i cookies non attivi, di bloccare preventivamente qualsiasi attività di tracciamento che non sia espressamente confermata da parte del navigatore. L’utente dovrà avere la facoltà di poter navigare sul sito decidendo quali cookies potranno rimanere attivi e quali no;
- fornire espressamente all’utente le finalità per cui i dati vengono raccolti (n.b. per ogni finalità dovrà essere fornita una specifica informativa – per più finalità quindi, più informative).
Domanda 5: Dovrò reinviare la modulistica aggiornata a tutti i miei clienti? Dovrò reinviarla solo ai nuovi, a partire dal 25 maggio, o anche a quelli acquisiti prima di tale data? Dovrò riaggiornare tutta la modulistica riguardo al consenso per l’utilizzo dei dati? Quali caratteristiche dovrà contenere la nuova modulistica? Dovrò chiedere il consenso per ogni finalità?
Anzitutto c’è da precisare che il rinnovo dell’informativa per il consenso è uno dei primi adempimenti da porre in essere all’interno del processo di adeguamento al nuovo Regolamento.
A partire da 25 maggio tutta la modulistica presente in azienda dovrà riportare i riferimenti alla nuova normativa e non più al codice della privacy quindi, facendo un esempio pratico, per ogni finalità di trattamento non dovrà più riportare sommariamente ai riferimenti all’art. 7 del Codice della privacy (diritto dell’interessato alla cancellazione, opposizione, rettifica ecc. dei dati) bensì specificatamente e dettagliatamente ai singoli artt. del nuovo Reg. UE 2016/679: art. 15 (diritto di accesso); art. 16 (diritto di rettifica); art. 17 – diritto alla cancellazione («diritto all’oblio»); art. 18 (diritto di limitazione di trattamento); art.20 (diritto alla portabilità dei dati) ecc.
Altra precisazione doverosa è quella di capire se il consenso prestato prima del 25 maggio, rimane valido o meno; in proposito vanno effettuate due valutazioni: la vecchia modulistica rispecchia i nuovi standard europei? Il consenso è stato espresso in maniera specifica?
Una volta valutata la vecchia modulistica e se risponde in maniera positiva alle caratteristiche sopra esposte non occorre reinviarla, così come anche il consenso raccolto precedentemente al 25 maggio 2018 che resta valido e non dovrà essere raccolto nuovamente. In caso contrario, dovrà essere reinviata secondo le nuove forme anche ai “vecchi clienti” e sarà opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento per non incorrere in pesanti conseguenze in caso di controlli da parte dell’Autorità competenti.
Lo conferma anche il considerando 171: “qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento”.
0 commenti