➢COSA E’?
Dal 25 maggio 2018 è pienamente in vigore il nuovo Regolamento Gdpr Privacy.
Rappresenta un cambiamento di prospettiva e si applica a tutte le aziende, piccole e grandi, nel pubblico e nel privato.
Vi è un nuovo approccio che privilegia l’aspetto sostanziale (non più adempimenti meramente formali). L’azienda è “responsabilizzata” ad analizzare la propria situazione e gli eventuali specifici rischi prima porre in essere azioni concrete anche da un punto di vista organizzativo.
Non ci sono più le “misure minime” previste dall’attuale Codice della Privacy ma spetta al titolare del trattamento valutare se e come trattare i dati, quali sono i rischi connessi al trattamento e quali sono le conseguenti misure da adottare per l’effettiva tutela dei dati stessi.

In sintesi l’impresa, ovvero il titolare del trattamento, ha il compito di:
– decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati;
– valutare il rischio che tale trattamento comporta;
– dimostrare di aver adottato le misure tecniche ed organizzative, costantemente aggiornate, tali da garantire un livello di sicurezza adeguato al rischio.

Altrettanto rilevante è il principio della minimizzazione ovvero devono essere trattati solo i dati necessari per raggiungere le finalità del trattamento. In altri termini i dati raccolti devono essere adeguati e pertinenti rispetto al fine che si intende perseguire e non possono essere raccolti in misura maggiore a quella necessaria.

 

➢ COSA DEVE FARE L’IMPRESA?
1) Mappare i trattamenti ovvero verificare la sua situazione attuale rispetto al trattamento dei dati personali. Ciò consentirà di avere una fotografia dell’impresa rispetto a:
• le tipologie di trattamenti (ad es. raccolta, archiviazione, etc.);
• le tipologie dei dati trattati (che potranno essere dati personali semplici o sensibili);
• le finalità dei trattamenti (ad esempio la gestione delle relazioni commerciali);
• i soggetti che trattano i dati;
• il flusso dei dati (in entrata e in uscita);
• la durata dei trattamenti;
• la base giuridica del trattamento (contratto, consenso, interesse legittimo).

2) Individuare le azioni per essere in regola con la nuova normativa:
• la minimizzazione dei dati (l’impresa dovrà limitarsi a trattare solo i dati strettamente necessari alla finalità perseguita);
• l’identificazione per ogni trattamento della base giuridica (ad es. un contratto o un obbligo legale);
• la revisione della modulistica (informativa, consenso, etc.);
• il controllo delle misure tecnico-organizzative (sono adeguate alla protezione effettiva ed efficace dei dati in base anche al rischio connesso ai tipi di dati (soprattutto sensibili) e al trattamento effettuato?);
• la verifica dell’esistenza di trattamenti automatizzati (ad es. profilazione) che richiedono particolare attenzione e misure di protezione più elevate;
• l’eventuale trasferimento di dati al di fuori dell’UE.
Con quali strumenti? Misure tecniche ed organizzative (es. adeguata formazione del personale che tratta i dati, misure di sicurezza in termini di accessibilità ai dati, di sicurezza cartacea e informatica); modulo informativa; modulo consenso.

3) Documentare la conformità alla nuova disciplina.
Registro dei trattamenti nel quale sono contenute una serie di informazioni relative ai vari trattamenti effettuati (ad es. chi è il titolare o il responsabile, la finalità e la durata, la base giuridica, etc.).

  • Modulistica aggiornata;
  • Consenso al trattamento;
  • Atto di designazione del responsabile del trattamento;
  • Procedure specifiche in caso di data breach (perdita, distruzione o diffusione indebita dei dati posseduti dall’impresa);
  • Procedure in caso di esercizio dei diritti dell’interessato previsti dal regolamento (ad esempio il diritto di accesso, o di rettifica o cancellazione dei dati).

 

➢ COME PUO’ FARLO?
M&W Veronesi e Associati ha realizzato una serie di strumenti che possono essere utilizzati dalle imprese.

 

PAROLE CHIAVE della NUOVO REGOLAMENTO GDPR PRIVACY:
Obbligo di informativa: deve essere chiara e semplice e deve contenere tutte le informazioni relative al trattamento dei dati, i dati del titolare del trattamento e dell’eventuale responsabile della protezione dei dati (dpo).
Consenso dell’interessato per l’utilizzo dei dati comuni: è necessario acquisirlo, in modo particolare se i dati personali comuni sono utilizzati per eseguire un contratto; per soddisfare un obbligo di legge (ad es. antiriciclaggio); per dati di fonte pubblica (es. dati dell’anagrafe); dati economici (es. codice fiscale).
Consenso dell’interessato per l’utilizzo di dati sensibili: è necessario acquisirlo ad eccezione se i dati sensibili sono trattati per la gestione dei rapporti di lavoro e per la sicurezza sul lavoro; per i dati giudiziari in conformità all’autorizzazione generale del Garante.
Registro dei Trattamenti: Vi è l’obbligo per le imprese con più di 250 dipendenti e per quelle imprese che trattano dati sensibili o giudiziari, ma per le piccole imprese è obbligatorio il registro dei trattamenti semplificato. E’ uno strumento fondamentale anche per disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’impresa ed è indispensabile per la valutazione del rischio. Deve avere forma scritta e deve essere esibito di richiesta al Garante.
Valutazione dell’impatto della protezione dei dati: è introdotta dal nuovo Regolamento ed è da attuare solo quando il trattamento presenta rischi potenzialmente elevati per gli interessati. Consiste nella valutazione dei rischi derivanti dal trattamento dei dati personali per i diritti e le libertà degli interessati e nelle misure per mitigarli.
Titolare del trattamento: l’impresa che ha potere decisionale sull’uso dei dati personali di propria pertinenza.
Data Protection Officer (DPO) o Responsabile della Protezione dei Dati: nuovo organo indipendente di sorveglianza circa l’effettività del sistema realizzato dall’azienda per essere conforme al regolamento. E’ obbligatorio in alcuni casi. Il Garante ha pubblicato uno schema di atto di designazione ed ha chiarito quali sono i soggetti privati obbligati alla sua designazione (ad es. sindacati, Caf, Patronati, società che forniscono servizi informatici) e la raccomanda per gli altri casi alla luce del principio di “accountability”.

 

Dott. Simone Vincenzi

M&W Veronesi e Associati

Commercialisti, Revisori Legali e Consulenti per le imprese