Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Generale Europeo per la protezione dei dati personali (Regolamento UE n. 2016/679) che uniformerà le normative sulla privacy in tutti i paesi europei e andrà a sostituire il precedente Codice della Privacy con l’inizio dell’applicazione del nuovo Regolamento da parte dei soggetti interessati che dovranno adeguare e mantenere attivo il proprio sistema di protezione dei dati degli interessati.
A ulteriore chiarimento della normativa e a rafforzamento delle norme, interverrà apposito Decreto di adeguamento da parte del nostro ordinamento. Quindi dal 25 di maggio si dovrà tenere conto comunque delle norme generali europee.
L’introduzione del suindicato Regolamento U.E. in applicazione dei nuovi principi di “data protection by design e data protection by default”, ha l’obiettivo di assicurare la massima protezione dei dati in modo che la protezione della sfera privata del soggetto interessato venga considerata fin dalla progettazione dei trattamenti, imponendo, di fatto, ai titolari del trattamento la minimizzazione della raccolta, comunicazione e utilizzo dei dati.
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e raccolti per finalità determinate, esplicite e legittime e trattati in modo compatibile con le finalità.
L’entrata in vigore di tale regolamento comporterà per molti soggetti una serie di nuovi adempimenti che qui si richiamano, invitandovi, in ragione della propria realtà aziendale e professionale a rivolgervi alle proprie categorie associative, ordini professionali e software house, al fine di adempiere a quanto previsto con il minor aggravio di risorse e di mezzi e nel modo più corretto.
SOGGETTI INTERESSATI
La nuova normativa riguarda tutti soggetti (pubblica amministrazione, aziende, privati e professionisti) che in ragione della loro attività commerciali e professionali si trovano a trattare i cosiddetti dati personali di un soggetto (dove per DATO PERSONALE s’intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”) che può essere identificata direttamente o indirettamente o identificabile (interessato) con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (DATI SENSIBILI) e per TRATTAMENTO qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la comunicazione, la distruzione ecc.
In sostanza, il Regolamento trova applicazione esclusivamente a tutela dei dati sensibili delle persone fisiche, quando conferiscono informazioni personali a:
– soggetti pubblici, aziende, studi professionali, associazioni.
NUOVI ADEMPIMENTI
INFORMATIVA
Nella previgente disciplina l’Informativa non doveva avere particolari requisiti, ma solo dei contenuti specifici elencati nell’articolo 13 D. D.Lgs. n. 196/2003. La nuova normativa definisce invece i contenuti e le regole necessarie a rendere effettiva la comprensione e l’efficacia dell’Informativa secondo i nuovi principi ispiratori del Regolamento.
Il nuovo Regolamento stabilisce infatti che il trattamento dei dati personali, prima dell’utilizzo degli stessi, deve essere preceduto dall’informativa sulla privacy, atto con il quale s’informa l’interessato in forma concisa, trasparente, intellegibile dei suoi diritti in materia di privacy.
L’informativa sulla privacy è data preferibilmente per iscritto, anche in formato elettronico, ma anche con altri strumenti: può consistere in una clausola contenuta in un contratto, oppure predisposta in un documento affisso nella reception aziendale o pubblicato sul sito web aziendale.
L’informativa deve riportare in modo chiaro e completo le seguenti informazioni:
– modalità e scopo del trattamento dei dati personali;
– obbligatorietà (es. in caso di fatturazione);
– estremi identificativi del titolare e se designato, del responsabile del trattamento;
– soggetti e categorie di soggetti ai quali i dati personali possono essere comunicati;
– diritti dell’interessato (periodo di conservazione dei dati, accesso ai dati, rettifica o cancellazione dei dati ecc.)
L’informativa viene richiesta all’inizio del rapporto / trattamento es. tra clienti e fornitori e nel caso di raccolta presso terzi.
L’informativa non è richiesta nel caso in cui i dati siano richiesti in base ad un obbligo di legge, da un regolamento o dalla normativa europea, da codici deontologici (per esclusivi scopi scientifici, statistici, storici), per la salvaguardia dell’incolumità o della vita dell’interessato, per investigazioni difensive in materia di diritto penale. (In allegato fac simile di informativa da compilare ed integrare secondo i parametri aziendali / professionali).
CONSENSO
La normativa europea richiede per il trattamento dei dati il consenso esplicito dell’interessato intendendo per consenso “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva, inequivocabile, che i dati personali che lo riguardano, siano oggetto di trattamento”; la normativa non richiede necessariamente la forma scritta, se non nei casi di trattamento di dati genetici – biometrici – e relativi alla salute per i quali è richiesta espressamente la forma scritta. Il consenso precedentemente raccolto, se presenta le caratteristiche suindicate resta valido ed efficace. Pur non trattando lo Studio nello specifico la materia della privacy, si consiglia la forma scritta, in quanto di immediata e inequivocabile efficacia probatoria. (si allega fac simile della raccolta del consenso che potrà anche essere inserito in calce all’informativa, anche se altri modelli di raccolta del consenso possono essere reperiti sui vari siti internet).
CHI INTERVIENE NEL TRATTAMENTO DEI DATI
1) TITOLARE DEL TRATTAMENTO è il soggetto, persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, che singolarmente o con altri viene in possesso dei dati, determina le modalità, le finalità e i mezzi del trattamento dei dati personali, decide sugli strumenti da utilizzare e sulle misure di sicurezza da applicare; è il soggetto responsabile in caso di violazione del Codice Privacy; nell’esecuzione delle operazioni, il Titolare, nella gestione degli adempimenti può avvalersi di collaboratori sia esterni che interni appositamente incaricati.
2) RESPONSABILE DEL TRATTAMENTO DEI DATI è il soggetto – persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento, con il preciso compito di gestire il trattamento dei dati. La nomina del Responsabile è facoltativa, ma è una figura da considerare in un contesto più ampio in ragione dell’attività, della struttura dell’azienda e dello studio. La nomina di tale figura è conferita con un contratto nel quale dovranno essere contenuti le materie da trattare e specifici obblighi :
– tenuta del Registro dei Trattamenti svolti (non richiesto per i soggetti con meno di 250 dipendenti e che non effettuano “trattamenti a rischio”;
– adozioni di misure tecniche e organizzative per garantire la sicurezza dei trattamenti;
– designare, nel caso in cui sia necessario, il Responsabile per la protezione dei Dati (DPO);
3) RESPONSABILE PER LA PROTEZIONE DEI DATI ( RPD /DPO Data Protection Officer) è il soggetto in possesso di specifici requisiti con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione della normativa; può essere un dipendente, o un soggetto terzo all’azienda; è una figura obbligatoria per gli enti pubblici e privati che effettuano
monitoraggio delle persone su larga scala o trattano dati sensibili su larga scala, per l’Autorità pubblica quando esercita le proprie funzioni (tranne le autorità giurisdizionali nell’esercizio delle proprie funzioni),o relativi a reati e condanne penali. Sono tenuti a tale adempimento ad esempio:
istituti di credito, imprese assicurative, società finanziarie, società di revisione, controllo, CAF e patronati, società operanti nel settore della cura della salute, della prevenzione – diagnostica – diagnostico sanitaria.
Il nominativo del D.P.O. deve essere comunicato al Garante della privacy usando il sistema telematico definito dal Garante. Lo stesso Garante specifica che nei casi diversi da quelli soprarichiamati, la designazione di tale figura è auspicabile, ma non obbligatoria, come nel caso di trattamenti effettuati da liberi professionisti operanti in forma individuale – agenti – rappresentanti e mediatori non operanti su larga scala – imprese individuali e familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti. Tale ruolo può essere ricoperto da un dipendente del Titolare o del Responsabile (non in conflitto di interesse) che conosce la realtà operativa in cui avvengono i trattamenti; l’incarico può essere affidato anche a soggetti esterni, purché garantiscano l’assolvimento dei compiti che il Regolamento UE 679/2016 assegna a tale figura. Anche tale figura è designata dal Titolare del trattamento a mezzo contratto.
4) REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO SVOLTO Obbligatorio per tutte le imprese che superano 250 dipendenti, e per tutti quei soggetti che trattano dati sensibili o particolari categorie di dati (dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, i dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) e che il trattamento dei dati non presenti un rischio per la libertà e per i diritti dell’interessato.
Il Registro dovrà essere gestito dal Titolare, dal Responsabile dei dati (se nominato) e la sua funzione è quella di assicurare un sistema di corretta gestione dei dati personali; può essere tenuto in forma scritta, anche in formato elettronico e deve contenere di massima:
– dati del Titolare del trattamento, del Rappresentante del Titolare e del Responsabile della protezione dei dati (se presente) ;
– finalità del trattamento dei dati;
– descrizione delle categorie dei dati e categorie interessati;
– descrizione delle categorie dei destinatari a cui sono destinati;
– indicazioni dei trasferimenti di dati verso paesi esteri ecc. ;
– termini di cancellazione delle diverse categorie di dati;
– descrizione delle misure di sicurezza;
SANZIONI
Sono previste due distinte categorie di sanzioni amministrative pecuniarie a seconda della natura della violazione; in particolare sono previste le seguenti sanzioni:
– fino al 2% del fatturato dell’esercizio precedente per le sanzioni relative agli obblighi:
– del Titolare / Responsabile del trattamento
fino al 4% del personali fatturato dell’esercizio precedente per le violazioni relative:
– ai principi base del Trattamento, comprese le condizioni del consenso;
– ai diritti degli interessati;
– ai trasferimenti dei dati personali a un destinatario di uno stato terzo o un’organizzazione internazionale;
– a qualsiasi obbligo ai sensi della legislazione nazionale;
– all’inosservanza di un ordine, di una limitazione provvisoria / definitiva di trattamento o di un ordine di sospensione dei flussi di dati all’Autorità di controllo o il negato accesso.
Lo Studio è a disposizione per eventuali ulteriori chiarimenti.