Il Consiglio dei Ministri del 21 marzo 2018 ha approvato il Decreto Legislativo di attuazione della Direttiva Europea 2016/679 sul GDPR (General Data Protection Regulation). Dal 25 maggio 2018 diventerà, quindi, efficace in tutti gli Stati dell’Unione Europea, e ovviamente anche in Italia, il nuovo Regolamento sulla Privacy che andrà ad abrogare il Codice del 2003.
Un argomento complesso e controverso e, su certe questioni, neppure ancora così chiaro, a cui la Confida ha dedicato un convegno specifico, rivolto ai suoi associati, che si è tenuto presso il “Glam Hotel” di Milano lo scorso 28 marzo e a cui hanno partecipato oltre 40 imprenditori. Il titolo è stato: “Privacy: il GDPR, indicazioni operative per le aziende del Vending”. È intervenuto, in qualità di relatore, il Dott. Roberto Cerminara, Responsabile Settore Commercio e Legislazione d’Impresa di Confcommercio-Imprese per l’Italia. L’obiettivo, pienamente centrato, è stato quello di focalizzare gli adempimenti già in vigore studiandone la possibile evoluzione alla luce delle indicazioni del nuovo Regolamento.
Spiega Confida: “La nuova normativa, che aggrava gli adempimenti già in essere con la legge 196/2003 e le successive regolamentazioni in materia, deve essere vista come l’occasione per effettuare un’autoanalisi sulla gestione dei dati personali all’interno della propria impresa e per porre in atto tutti gli accorgimenti per avere la necessaria compliance con la legge 196/2003 e il nuovo Regolamento Europeo. Anche perché i rischi sono alti: sanzioni elevate e la possibilità di vedersi bloccato l’utilizzo dei dati aziendali”.
Confida, nell’ottica di fornire il maggior numero di strumenti operativi ialle imprese associate, ha preparato un video informativo che è stato pubblicato nell’area riservata del sito: www.confida.com.
Il nuovo Regolamento sulla Privacy imporrà obblighi stringenti e introdurrà nuove responsabilità volte a garantire maggiori misure di sicurezza a protezione dei dati personali. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali.
Il Titolare del trattamento dei dati è colui che determina le finalità e i mezzi del trattamento degli stessi; perciò, di solito, si tratta del titolare d’azienda.
Secondo l’art. 5, par. 2, del Regolamento, il Titolare è competente per il rispetto dei principi applicabili al trattamento dei dati (liceità, correttezza, trasparenza, adeguatezza, pertinenza, ecc.) ed è in grado di comprovarlo.
Secondo l’art. 24, par. 1, del Regolamento: il titolare – considerati natura, ambito di applicazione, contesto, finalità e rischi per i diritti e le libertà delle persone fisiche – mette in atto misure tecniche e organizzative adeguate (e da aggiornare) per garantire ed essere in grado di dimostrare che il trattamento è conforme al Regolamento.
Altre figure eventualmente coinvolte sono: il responsabile del trattamento (colui che agisce in nome e per conto del titolare) e le persone autorizzate al trattamento (gli incaricati designati dal titolare d’azienda, a cui fanno capo le varie funzioni: contabilità, commerciale, marketing, ecc.).
Il Regolamento ha introdotto anche la nuova figura del Responsabile della Protezione dei Dati Personali (DPO). Si tratta di un soggetto (che può essere interno o esterno all’azienda) in possesso di specifici requisiti come competenza, esperienza, indipendenza e autonomia di risorse, con il compito di garantire la tutela della Privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale e la sua sensibilizzazione, la consulenza ecc.
La figura del DPO è obbligatoria quando:
il trattamento è effettuato da una autorità pubblica o da un organismo pubblico;
le attività principali del titolare (o responsabile) consistono:
in trattamenti che per natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su “larga scala”;
nel trattamento su “larga scala” di categorie particolari di dati (dati sensibili e/o dati giudiziari).
Nello specifico del nostro settore, ha spiegato il dottor Cerminara, la figura del DPO fa riferimento, principalmente, ad aziende che hanno attività e interessi che si estendono in ambito nazionale (in base appunto al concetto di “larga scala”).
La nuova disciplina in tema di trattamento di dati personali mette forte enfasi sul concetto di “scadenza dei dati”. Ciò significa che, nel momento in cui l’azienda entra in possesso di dati di alcuni utenti, non può tenerli per sempre. Pertanto, ogni azienda nella propria informativa privacy dovrà specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.
L’informativa al trattamento dei dati di un’azienda dovrà spiegare, quindi, in maniera semplice e con un linguaggio di facile comprensione (art. 12, par. 1), come saranno utilizzati i dati e per quanto tempo saranno conservati nella sua banca dati.
Se tali dati saranno utilizzati con finalità di marketing e promozione, nell’informativa privacy dovrà essere indicato, in maniera esplicita, ai clienti che i loro dati potrebbero utilizzati o trasferiti a terzi per tali finalità. Il discorso riguarda anche le “digital advertising” (ad esempio le iniziative sponsorizzate tramite i social network) o le attività commerciali in cui è prevista per l’utente l’installazione e l’utilizzo di una app per device mobili. Tutti ambiti, questi, in cui è richiesta una profilazione del cliente oggetto della comunicazione.
Nel caso l’azienda si avvalga di un fornitore terzo (esterno) che tratta i dati per suo conto, l’art. 28 del Regolamento impone di disciplinare il rapporto con contratto o altro atto giuridico stipulato in forma scritta.
Il consenso al trattamento dei dati personali dovrà essere preventivo e inequivocabile, così come, peraltro, è previsto già oggi. Quel che cambia è la modalità per esprimerlo: non varrà mai la regola del “chi tace acconsente”. Il consenso dovrà essere esplicito e mai basato ponendo all’interessato una serie di opzioni già selezionate.
Se l’azienda, negli anni precedenti, ha raccolto il consenso dei propri clienti utilizzando il sistema di caselle precompilate, dovrà chiedere ai clienti già “consenzienti” l’autorizzazione al trattamento dei dati utilizzando le nuove modalità del GDPR.
La nuova legge estende anche il campo del cosiddetto “diritto all’oblio”, ovvero la facoltà di chiedere che il titolare/responsabile del trattamento di un’azienda cancelli i dati personali, non li diffonda più e impedisca ad altri di elaborarli.
Una delle più grandi novità del nuovo Regolamento è quella che riguarda i casi di ”data breach“, ossia le violazioni dei dati, per esempio in occasione di attacchi informatici.
In caso di violazione del sistema – intesa come violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali (cfr. art. 4, n. 12 Reg.) – il titolare deve notificare la violazione all’Autorità di Controllo senza ingiustificato ritardo, se possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche (valutazione che spetta al titolare).
La norma introduce, inoltre, il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante.
Il nuovo regolamento sulla Privacy introduce, a partire dal 25 maggio 2018, l’obbligo di tenuta del registro dei trattamenti. Si tratta di un documento all’interno del quale bisognerà indicare le caratteristiche del Titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve, soprattutto, all’impresa come strumento di valutazione delle attività poste in essere.
L’obbligo di tenuta del registro riguarda tutti i titolari e i responsabili del trattamento dei dati personali, ad esclusione delle PMI con meno di 250 dipendenti.
L’obbligo, tuttavia, si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.
Le norme che sanzionano il trattamento illecito di dati personali sono molto severe. Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che partono da 6mila euro per arrivare fino a un massimo di 20 milioni o fino al 4% del fatturato annuo o al blocco dell’operatività dell’azienda per i casi più gravi di violazione.
e.c.
Fonti citate nell’articolo:
www.informazionefiscale.it; www.agendadigitale.it
