• Viale Porta Adige, 5/C, 45100 Rovigo RO
  • Ufficio di Rovigo Tel. 0425.1885519 Ufficio di Padova Tel. 049.8594703

25 maggio e privacy: le novità dall’entrata in vigore del Regolamento 2016/679 GDPR

La privacy al giorno d’oggi deve essere intesa non come mera presentazione della documentazione, ma come metodo, come logica formativa e informativa che deve permeare l’aspetto della tutela legale, dell’organizzazione e della predisposizione di sistemi informatici ad hoc per assicurare la migliore protezione dei dati personali di che tutti hanno nel proprio database.
Per questo motivo il 25 Maggio 2018 con l’entrata in vigore del nuovo Regolamento (UE) 2016/679 (cosiddetto “GDPR”) non avverrà l’abrogazione del già noto D.Lgs. n. 196/2003, ma queste due fonti normative dovranno trovare applicazione in combinato disposto, in quanto il GDPR è inteso come misura di implementazione e armonizzazione a livello europeo di quanto già normato dai singoli Stati membri sul tema protezione e trattamento dei dati personali.
L’aspetto della privacy in azienda non deve essere visto e affrontato come un “calderone”, anzi devono essere ben distinte le informative in base al tipo di trattamento, alla finalità del trattamento e al fatto che ci si stia riferendo a dati di clienti esterni all’azienda ovvero ai dati dei dipendenti dell’azienda stessa.
La tematica della videosorveglianza è strettamente collegata al tema del trattamento dei dati, ma anche in questo caso è necessario calibrare gli adempimenti: ad esempio, il cartello indicativo della presenza di videosorveglianza potrebbe di per sé sostituire l’informativa per il trattamento dei dati, ma in realtà è sempre meglio avere un modello di informativa “sintetica” e un modello di informativa “estesa” in modo da poter eventualmente rispondere in modo puntuale e pronto nel caso in cui una persona (cliente o potenziale) entrando in azienda richieda l’informativa per il trattamento dei dati.
Per quel che riguarda invece il tema delle fidelity card, la problematica è differente a seconda che si tratti di una fidelity non nominativa e per la quale non siano stati raccolti dati che consentono l’identificazione e tanto meno la profilazione della persona, dal caso in cui la fidelity sia invece nominativa e siano stati raccolti i dati personali per il rilascio.
Nel primo caso non sussiste alcuna problematica di privacy; diversamente, nel secondo caso esiste sia un problema di informativa corretta per la raccolta dati (informativa che deve prevedere in un paragrafo separato ed in maniera espressa il consenso della persona per la raccolta dati, deve essere indicato lo scopo del trattamento, chi è abilitato ad effettuare il trattamento e per quanto tempo i dati possono essere conservati, in che modo vengono protetti i dati da conservare e come si esplica il diritto all’oblio), sia un problema legato alle finalità per le quali vengono trattati i dati personali e, in particolare, per la finalità di profilazione del cliente e delle sue preferenze.

QUALI SONO LE REGOLE DI BASE E LE NOVITÀ PRINCIPALI PORTATE DALL’ENTRATA IN VIGORE DEL REGOLAMENTO 2016/679 GDPR?

  • Il Regolamento si applica solo al trattamento di dati personali delle persone fisiche; infatti se il titolare del trattamento è una persona giuridica che tratta dati di altre persone giuridiche il problema non si pone. Se invece la persona giuridica tratta dati delle persone fisiche allora il titolare dei dati è la persona fisica, che deve dare il consenso alla persona giuridica per poter trattare i dati e in eventuale giudizio la persona giuridica sarà rappresentata dal rappresentante legale pro tempore;
  • onere della prova in capo all’azienda: in tema di privacy è l’azienda che deve dimostrare in un eventuale sviluppo processuale di aver implementato in maniera corretta il sistema di gestione;
  • il concetto di scadenza dei dati: è un concetto nuovo, bisogna informare del tipo di trattamento che si intende fare dei dati e anche del periodo di tempo per il quale questi dati verranno conservati e come vengono conservati, cioè se in cartaceo o in archivio informatico, quali sono i sistemi di protezione dei dati e chi ha accesso a quei dati, per quale motivo e con quale finalità. Ogni azienda nella propria informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo;
  • è indispensabile assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali e assicurare e informare del relativo diritto all’oblio; in merito a quest’ultimo, il consumatore/cliente potrà richiedere la cancellazione dei propri dati personali online nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.

Per quel che riguarda la gestione dei dati in via telematica, è necessario analizzare la situazione caso per caso:

  • la conservazione dei dati avviene mediante un server? A questo server hanno accesso tutti oppure solo determinate persone con password dedicate?
  • i dati presenti a gestionale vengono gestiti da tutti o ci sono addetti deputati in maniera specifica all’utilizzo del gestionale e al trattamento dei relativi dati?
  • l’accesso ai dati anagrafici e ai dati relativi alla contabilità avviene da parte della stessa persona? Ci sono sistemi di password adeguati per la protezione di questi dati?
  • Se c’è un sito, sono presenti banner o cookies? In questo caso a chi visita la pagina viene data la possibilità di visualizzare e accettare il documento informativo per il trattamento dei dati?
  • Se dalla pagina del sito è possibile accedere alla sezione “contattaci” con un form dedicato per la compilazione, viene data la possibilità di visualizzare e accettare il documento informativo per il trattamento dei dati (perché vengono raccolti i dati? Quali sono i diritti? Tempo di conservazione? Tipo e finalità del trattamento?) prima dell’invio del form compilato?
  • Se viene usato un sistema di invio automatico delle newsletter, quando la mail arriva c’è anche l’informativa per accettare che i dati vengano trattati per espressa finalità di promozione?

L’INFORMATIVA, QUANDO DEVO REDIGERLA?

L’’informativa deve essere “personalizzata” indicando in modo specifico le finalità del trattamento, da chi verrà effettuato il trattamento, per quanto tempo i dati verranno conservati e il diritto di recesso; l’informativa deve essere diversa anche a seconda che si stia parlando di dati dei clienti o di dati dei dipendenti; in quest’ultimo caso c’è un’altra problematica collegata, ossia il conferimento di incarico e il relativo consenso al trattamento dei dati per specifiche finalità da parte di professionisti esterni all’azienda (ad esempio: consulente del lavoro, commercialista e altre figure di consulenti). Poiché la ditta per la quale il dipendente lavora è persona fisica titolare dei dati dei dipendenti, nel momento in cui i dati devono essere trasmessi al commercialista o al consulente del lavoro, la ditta stessa dovrà conferire specifico incarico per il trattamento dei dati.

Non viene fissata una scadenza degli adempimenti privacy, ma è importante che venga a determinarsi un metodo, in base al quale nel tempo ogni nuovo cliente, ogni nuovo dipendente, ogni nuovo fornitore, ogni nuovo contatto in rete ecc deve essere informato di tutto quanto concerne lo specifico trattamento dei dati che lo interessa.

PRINCIPALI SANZIONI PER MANCATA O INCOMPLETA GESTIONE DEL DATO PERSONALE O SENSIBILE
-art. 161 D.Lgs. n. 196/2003: per omessa o inidonea informativa all’interessato: da € 6.000 a € 36.000;
-art. 162 D.Lgs. n. 196/2003: inidonea cessione dei dati in occasione della cessazione del trattamento: da € 10.000 a € 60.000; violazione delle disposizioni in materia di comunicazione dei dati sensibili: da € 1.000 a € 6.000;
-art. 83 Reg. (UE) 2016/679 GDPR: la violazione delle disposizioni relative agli obblighi del titolare del trattamento e del responsabile del trattamento può comportare l’applicazione di sanzioni amministrative pecuniarie fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente; la violazione delle disposizioni relative ai principi di base del trattamento e del consenso, ai diritti dell’interessato e ai trasferimenti di dati personali a un destinatario in un paese terzo può comportare l’applicazione di sanzioni amministrative pecuniarie fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente;
-art. 84 Reg. (UE) 2016/679 GDPR: gli Stati membri dell’Unione possono stabilire disposizioni normative relative alle altre sanzioni per le violazioni del Regolamento GDPR ed in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma del precedente art. 83.

COME RICEVERE AIUTO PER SAPERE ESATTEMENTE COSA FARE
La situazione va analizzata e scritta su procedure e moduli finalizzati alla richiesta di autorizzazione e i documenti vanno fatti firmare ai clienti, fornitori e consulenti. È come elaborare qualcosa, come un DVR o un HACCP: sequenza di sopralluogo, rilievi, consulenza, elaborazione!
Siamo a disposizione per elaborare assieme il tuo documento conforme al nuovo GDPR e al D.Lgs. 196/2003 se ancora da adeguare.
Inserito da safetia / Posted on 24 Mag
  • data protection, dvr aziendale, gdpr, privacy aziendale, safetia sicurezza aziendale, videosorveglianza aziendale
  • Post Comments 0