Breaking News GDPR anno zero: il vademecum di Conflavoro PMI sulla rivoluzione Privacy 679/2016 venerdì 25 Maggio 2018 Array Breaking News Dai principi generali alle definizioni, dalle figure responsabili all’importanza dell’informativa da nominare: Conflavoro PMI accompagna aziende e professionisti nel cambiamento della privacy Diventa operativo il nuovo regolamento europeo per il trattamento dei dati personali. Ma niente panico perché c’è Conflavoro PMI. L’associazione datoriale, infatti, è a disposizione delle piccole e medie imprese che vogliono mettersi in regola anche dopo il 25 maggio, data dalla quale il regolamento sarà effettivo. Dopo aver organizzato una serie di incontri e convegni, che proseguiranno anche nelle prossime settimane, l’associazione di categoria, nel giorno dell’entrata in vigore delle nuove norme per il trattamento dei dati personali, fornisce un breve, ma utile vademecum per fare il punto della situazione e per permettere alle imprese di capire dove, e se, devono intervenire. I principi generali Innanzitutto il nuovo regolamento si applica a tutti coloro che trattino dati personali di persone fisiche e che effettuino attività di monitoraggio, sempre di persone fisiche, all’interno dell’Unione Europea. I principi generali sono molto simili a quelli che già regolavano le norme precedenti: la liceità, correttezza e trasparenza nel trattamento, l’adeguatezza e pertinenza dell’utilizzo dei dati, l’esattezza, la conservazione per un periodo di tempo limitato, l’integrità e la riservatezza dei dati conservati. Una serie di principi che sottendono alla responsabilizzazione delle aziende che trattano dati o che utilizzano quelli di terze parti. Dati personali: cosa significa? Ma quali sono i dati personali che rispondono a questo regolamento? Si tratta di ogni informazione che possa in qualche modo identificare, direttamente o indirettamente, una persona fisica. Non solo il nome e il cognome, dunque, ma anche l’ubicazione, l’identificativo on line o elementi dell’identità fisica, psichica, economica, culturale o sociale. Per quanto riguarda gli identificativi on line ci si riferisce in particolare a indirizzi Ip, cookies e tag. E se da una parte rimane vietato, salvo limitatissime eccezioni previste dal regolamento, trattare dati personali che rivelino origine razziale o etnica, convinzioni religiose, opinioni politiche, appartenenza sindacale, dati genetici e dati relativi a salute e orientamento sessuale (cosiddetti dati supersensibili), dall’altra anche i restanti dati sono soggetti a limitazioni. Le figure responsabili del trattamento dati Il nuovo regolamento prevede tre diverse figure legate al trattamento dei dati personali, secondo una struttura a piramide. Al vertice c’è il titolare del trattamento, che decide le finalità di trattamento, impartisce istruzioni e direttive e svolge funzioni di controllo. C’è poi il responsabile del trattamento, preposto dal titolare al trattamento dei dati personali. E, infine, l’incaricato del trattamento, ruolo che può essere ricoperto da una o più persone. Il titolare, in caso di persona giuridica o di studio associato, è l’azienda o lo studio stesso, mentre in caso di azienda individuale o professionista è la persona fisica. In ogni caso non è necessario nessun atto di nomina o requisiti particolari. Il responsabile del trattamento può essere interno, di solito una persona di alto profilo che coadiuva il titolare per il rispetto della normativa sulla privacy, o esterno, e in quel caso può essere una persona fisica o giuridica il cui rapporto è regolato da un contratto. C’è, infine, l’incaricato del trattamento che, chiunque esso sia, deve essere obbligatoriamente istruito dal titolare o dal responsabile del trattamento. Il ruolo del DPO – Data Protection Officer Nel complesso sistema del trattamento dei dati personali ci sono poi altri soggetti, ciascuno con il suo ruolo definito: l’amministratore di sistema, una figura professionale dedita alla gestione di un impianto o alla manutenzione dei suoi componenti, e il responsabile della protezione dei dati (data protection officer), che è il soggetto incaricato di affiancare il titolare e il responsabile del trattamento dati, che può essere un dipendente o un soggetto esterno. Quest’ultima è una figura di garanzia, facoltativa all’interno dell’azienda, la cui nomina diviene però obbligatoria nei tre casi seguenti. – Se il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni). – Quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, abito o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. – Quando, infine, le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali. I compiti del data protection officer sono di verifica e controllo sull’attuazione e applicazione del regolamento. Parimenti, il DPO si occupa di sorveglianza sul trattamento dei dati, informazione e consulenza circa gli obblighi del regolamento. Trattamento e conservazione limitata dei dati Laddove presenti, tutti questi soggetti hanno come obbligo, nella custodia e trattamento dei dati, la riduzione al minimo di alcuni rischi, che sono quelli della distruzione o perdita anche accidentale dei dati; di accesso non autorizzato alle banche dati, siano esse cartacee o elettroniche; che il trattamento rimanga nel tempo conforme alle finalità della raccolta e che si eviti un trattamento illecito o non corretto. Questo significa, in sostanza, che i dati devono essere innanzitutto conservati per il periodo strettamente necessario. Il diretto interessato deve poter accedere in ogni momento ai dati conservati per conoscere alcuni fatti. Tra questi abbiamo la finalità del trattamento, le categorie dei dati personali in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati. E ancora: il periodo o i criteri di conservazione, il diritto di proporre reclamo a un’autorità di controllo, le informazioni sull’origine dei dati qualora questi non siano stati raccolti dall’interessato, l’esistenza di un processo decisionale automatizzato quale la profilazione. Su richiesta, il titolare del trattamento fornisce all’interessato le informazioni richieste entro un tempo stabilito e a titolo gratuito. Una volta ricevute le informazioni, il soggetto che le ha richieste può chiedere la rettifica dei dati. O, eventualmente, la limitazione del trattamento in caso di dati inesatti o, ancora, la loro cancellazione. Questo, in particolare, se si ritiene esaurita la finalità di trattamento o se è stato revocato il consenso. Ma anche se è stata fatta opposizione al trattamento o se si tratta di violazione di legge. Il registro dati: quando e perché tenerlo? Il regolamento prevede anche la tenuta di un registro dei trattamenti, non obbligatorio per le imprese inferiori ai 250 dipendenti. A meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato. O che non sia occasionale. O che includa dati particolari o personali relativi a condanne penali o reati. Per chi ne è obbligato, il registro deve contenere i nomi e i dati del titolare del trattamento e del responsabile della protezione dei dati. E, ancora, le finalità del trattamento e le misure di sicurezza, una descrizione delle categorie degli interessati e le categorie dei destinatari a cui i dati personali sono stati o saranno comunicati. E, infine, gli eventuali trasferimenti di dati personali verso Paesi terzi e la loro identificazione e i termini ultimi per la cancellazione delle diverse categorie di dati. La valutazione d’impatto In caso di violazione dei dati personali (Data breach notification) ovvero perdita, distruzione o diffusione indebita degli stessi, corre obbligo di notifica al garante, con le misure di contrasto adottate e l’obbligo di comunicazione all’interessato. In particolari casi è richiesta anche una valutazione di impatto sul trattamento dei dati. L’ipotesi è quella della valutazione sistematica e globale di aspetti personali basata su trattamenti automatizzati, come la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o che incidono analogamente sulle persone fisiche; nei casi di trattamento su larga scala di dati particolari; in quelli di videosorveglianza sistematica e su larga scala di una zona accessibile al pubblico e di altre tipologie di trattamento indicate dall’autorità di controllo. L’informativa privacy nel GDPR… Oltre alla possibilità di richiedere al garante, o a un’autorità esterna, la certificazione sulla qualità del proprio trattamento dei dati personali, l’obbligo che sussiste in capo a tutti è quello di una informativa. Di cosa si tratta? Della dichiarazione che il titolare fa all’interessato sull’esistenza del trattamento e delle sue finalità. L’informativa deve essere immediata, chiara, in linguaggio non tecnico, che permetta l’immediata possibilità di contattare il titolare del trattamento dei dati personali. Se i dati personali sono raccolti direttamente dall’interessato, l’informativa è rilasciata prima della raccolta dei dati; se sono raccolti da terzi può essere rilasciata successivamente, in particolare all’atto della registrazione dei dati, e comunque non oltre la prima comunicazione. L’informativa deve contenere l’identità dei dati del titolare del trattamento e, dove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento, gli eventuali destinatari o le categorie di destinatari dei dati. Una volta ottenuti i dati il titolare dovrà fornire all’interessato le informazioni sul periodo di conservazione dei dati o i criteri utilizzati per determinare il periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e l’eventuale rettifica o cancellazione degli stessi; il diritto, in casi particolari, di revocare il consenso al trattamento dei dati; il diritto di proporre reclamo all’autorità di controllo; l’esistenza di un processo decisionale automatizzato, compresa la profilazione dell’utente. Quanto ai dati ottenuti da terzi, oltre agli elementi previsti per i dati raccolti dall’interessato, c’è l’obbligo di indicare la fonte da cui hanno origine i dati personali. E con l’eventualità che i dati provengano da fonti accessibili al pubblico. … e il consenso al trattamento dati Per rendere legittimo il trattamento dei dati personali, oltre all’informativa, è necessario il consenso. Esso deve arrivare mediante dichiarazione o azione positiva inequivocabile. Serve ad attestare che i dati personali riguardanti l’interessato siano oggetto di trattamento. Ci sono dei casi in cui è obbligatoria anche la notificazione, quando il trattamento ha ad oggetto dati genetici e biometrici. Un caso riguarda i dati idonei a rivelare stato di salute e vita sessuale. Un altro, i dati volti a definire il profilo o la personalità dell’interessato. Un terzo caso di obbligatorietà è inerente ai dati sensibili registrati in banche di dati. Rigistrazioni da intendersi a fini di selezione del personale per conto terzi o dati sensibili per sondaggi di opinione e ricerche di mercato. E, infine, l’ultimo caso riguarda i dati registrati in banche dati relative al rischio sulla solvibilità economica; dati personali che vengono trasferiti all’estero. Le sanzioni previste e il supporto di Conflavoro PMI La mancata osservanza delle norme prevede anche delle sanzioni: da 6mila a 36mila euro per l’omessa o inidonea informativa; da 20mila a 120mila euro per l’omessa o incompleta notificazione. Le sanzioni pecuniarie per la violazione degli obblighi del regolamento europeo sono commisurate alla gravità dei fatti. La sanzione può arrivare fino a 20 milioni di euro e al 4 per cento del fatturato. Per evitare ogni problema, valutare il profilo di rischio e intervenire a risolvere le questioni è possibile rivolgersi alle sedi di Conflavoro PMI in tutta Italia. Clicca qua sotto per scaricare il pratico vademecum di Conflavoro PMI e averlo sempre con te La tua crescita passa da una nostra sede Cerca la più vicina a te Tanti vantaggi in una tessera associativa Iscriviti ora Tanti vantaggi in una tessera associativa Iscriviti ora Scopri le altre nostre convenzioni 10% di sconto sui tuoi viaggi Leggi tutto Gestione delle risorse umane in un clic Leggi tutto 30% di sconto sulle tariffe web Leggi tutto Nexi, l'innovazione dei pagamenti digitali in Italia Leggi tutto