PRIVACY -  SCADENZA 25 MAGGIO 2018

Con la presente Vi informiamo che a partire dal 25 maggio 2018 entrerà in vigore il Regolamento (UE) 2016/679 in materia di PRIVACY che prevede nuovi obblighi, una nuova figura professionale e, purtroppo,  anche un nuovo e pesante trattamento sanzionatorio.

Come detto il Regolamento si applicherà a partire dal 25 maggio 2018 a tutte le aziende aventi almeno uno stabilimento nell’UE che trattano in modo integrale o parziale, i dati personali, indipendentemente dal fatto che il trattamento sia effettuato all’interno dell’Unione.

 Per quanto riguarda il trattamento sanzionatorio, va subito precisato che esso viene inasprito. Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa, e possono arrivare fino ad un massimo del 4% del fatturato totale annuo.

 Tra le numerose attività che le aziende dovranno porre in essere entro il 25 maggio 2018, riteniamo utile segnalarvi in particolare:

- Registro delle Attività di Trattamento: tutti i Titolari ed i Responsabili del trattamento dovranno tenere un registro delle operazioni di trattamento sotto la propria responsabilità: sia ai fini dell’eventuale controllo da parte del Garante (anche attraverso la Guardia di Finanza), ma anche per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda. Il registro dovrà avere forma scritta o elettronica e dovrà essere esibito su richiesta al Garante. Si precisa comunque che Le imprese con meno di 250 dipendenti sono esonerate dalla tenuta del registro dei trattamenti, a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati sensibili o i dati relativi a condanne penali; a tale riguardo si ritiene, pertanto, che vi siano ben pochi esclusi.

- Valutazione d’impatto sulla protezione dei dati personali (“Data Protecion Impact Analysis” o “DPIA”): il Regolamento Europeo prevede che, quando un determinato trattamento – tenuto conto dell’uso di nuove tecnologie e della sua natura, così come del contesto e delle finalità – possa presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare debba anche effettuare una valutazione preliminare d’impatto di quel trattamento sulla protezione dei dati. Questa valutazione è sempre richiesta quando si è in presenza:

 trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

 trattamenti automatizzati, ivi compresa la profilazione;

 trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico.

La DPIA è un procedimento atto a costruire e dimostrare la conformità dell’azienda al Regolamento, nonché uno strumento di fondamentale importanza messo a disposizione del Titolare del trattamento.

- Responsabile della Protezione dei Dati - Data Protection Officer (“DPO”): tale figura dovrà essere obbligatoriamente presente in tutte le aziende dove i trattamenti presentino specifici rischi; (aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati” (Vi rientra ad esempio ogni forma di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale) o aziende che trattano “dati sensibili, genetici e biometrici”).

 Il DPO potrà essere un dipendente della società Titolare del trattamento o un soggetto esterno avente con la società un contratto di servizi: in ogni caso dovrà essere un professionista competente in tema di protezione dati, in possesso di specifici requisiti quali competenza, esperienza, indipendenza e autonomia di risorse.

 Ogni azienda dovrà rendere noti i dati del proprio DPO e comunicarli al locale “Garante per la protezione dei dati personali”. Il Responsabile della Protezioni Dati dovrà riferire direttamente ai vertici gerarchici dell’azienda, senza intermediazioni e con grande autonomia e indipendenza rispetto ad altri soggetti anche con poteri di dirigenza.

- Obbligo di comunicazione in caso di violazione dei dati personali: il Regolamento prevede l’estensione dell’obbligo di comunicare l’avvenuta violazione di dati personali (c.d. Data Breach) a tutte le società che effettuino un trattamento di dati personali, al di là del loro settore di business. Nello specifico, il Titolare deve notificare la violazione senza ingiustificato ritardo all’autorità di controllo (Garante) entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, invece, è previsto anche l’obbligo di comunicazione nei confronti di tutti gli interessati coinvolti.

- Diritto all’oblio: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di cancellazione dei suoi dati personali e che questi non siano più sottoposti a trattamento quando non siano più necessari per le finalità per le quali sono stati raccolti, così come quando abbia ritirato il consenso o si sia opposto al trattamento o il trattamento dei dati personali non sia altrimenti conforme al Regolamento Europeo.

- Diritto alla portabilità dei dati: il Titolare ha l’obbligo di dar corso alla richiesta dell’interessato di trasferire i dati personali da un Titolare del trattamento ad un altro da lui indicato, senza alcun impedimento da parte del Titolare al quale sono stati forniti in precedenza i dati. I Titolari del trattamento, per rendere effettivo il diritto alla portabilità, dovranno informare gli interessati dell’esistenza di tale nuovo diritto ed adempiere ai propri doveri senza ingiustificato ritardo (in ogni caso, entro un mese dal momento in cui è pervenuta loro la richiesta), avendo sempre l’obbligo di rispondere alle richieste fatte.

Gli adempimenti che imprese e professionisti dovranno porre in essere dal 25 maggio 2018 materia di PRIVACY per adeguarsi al Regolamento (UE) 2016/679, possono così essere riassunti schematicamente:

a) rivedere l’organizzazione interna dell’impresa conformandola al protocollo privacy (es. formalizzazione dei soggetti che compiono le operazioni di trattamento che dovranno essere specificatamente in possesso di autorizzazione da parte del titolare);

b) formalizzare con contratto i rapporti tra titolare e responsabile del trattamento dati, delineandone le rispettive responsabilità, soprattutto, ma non solo, nel caso il cui il responsabile sia un soggetto (professionista o società specializzata) esterno;

c) revisionale la modulistica con i clienti/utenti (riformulare le informative e raccogliere il nuovo consenso al trattamento dati);

d) programmare ed attuare sistemi di sicurezza nella protezione dei dati;

e) predisporre la documentazione dimostrativa della propria conformità alle regole previste nel Regolamento;

f) formazione obbligatoria del personale;

g) eventuale adesione a codici di correttezza e a sistemi di certificazione.

 Tenuto conto della complessità dell’argomento esposto, la presente informativa viene fornita esclusivamente a livello informativo senza che ciò possa essere interpretata come una prestazione di consulenza contabile, fiscale o di altra natura professionale, conseguentemente nessuna responsabilità nei confronti di chiunque può essere imputata al nostro Studio per decisioni o provvedimenti adottati facendo affidamento sulle informazioni contenute nella presente circolare.

 A tale riguardo si precisa che lo Studio è in grado di prestare consulenza professionale al fine di aiutare i propri clienti all’adeguamento alla normativa in questione, tramite personale professionale adeguatamente formato sula materia.

 Nel caso siate interessati, vi preghiamo di inviare una mail a:

Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

specificando il vostro interesse all’adeguamento alla Privacy 2018.

 Vi preghiamo avvisarci per tempo se interessati, in quanto la scadenza è vicina. Grazie.

 Restiamo a disposizione.

Studio Andrea Martini