Si ricorda che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo n. UE 2016/679 (G.D.P.R. – R.E.UE 2016/679) sulla protezione dei dati che integra e modifica la normativa attualmente in vigore. Le  Aziende e i professionisti che, nell’ambito della propria attività raccolgono, elaborano, conservano e distruggono dati personali di terzi – in […]

Si ricorda che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo n. UE 2016/679 (G.D.P.R. – R.E.UE 2016/679) sulla protezione dei dati che integra e modifica la normativa attualmente in vigore.

Le  Aziende e i professionisti che, nell’ambito della propria attività raccolgono, elaborano, conservano e distruggono dati personali di terzi – in qualità di titolare del trattamento  – dovranno adeguare le proprie procedure e la propria documentazione privacy.

Nel caso in cui il trattamento di dati personali venga effettuato per conto del Titolare da soggetto/i esterno/i (es. gestione del personale /consulenza del lavoro)  dovrà essere nominato un Responsabile esterno  (cfr. Allegato 2).

Di seguito un riepilogo dei principali punti del regolamento, che richiamano e integrano le precedenti disposizioni in materia di protezione dei dati.

 

► Dati personali oggetto di protezione :

• i dati identificativi: quelli che permettono l’identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
• i dati sensibili: quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
• i dati giudiziari: quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

 

► Trattamento dati  –  consenso dell’interessato:

I dati richiamati devono essere trattati, nei confronti del soggetto interessato,  in modo lecito, corretto e trasparente ; le finalità del trattamento devono essere determinate, esplicite e legittime; al trattamento deve essere garantita adeguata sicurezza.

Elemento fondamentale della liceità del trattamento si ravvisa nel consenso, che deve essere tale da dimostrare che:

• l’interessato ha acconsentito al trattamento;
• l’interessato ha prestato il consenso nella piena consapevolezza della misura e delle modalità con le quali il trattamento avviene;
• la forma sia accessibile e linguaggio semplice ed inequivocabile;
• ci sia l’indicazione dell’identità del titolare del trattamento dei dati;
• sia riportata la finalità del trattamento cui sono destinati i dati personali;
• ci sia la specifica indicazione del diritto alla revoca del consenso;
• ci sia la separazione tra i consensi prestati rispetto ai dati ed alle finalità di trattamento, laddove distinti.

Il consenso non è obbligatorio solo mei casi specificatamente previsto dal Regolamento UE (art 9); in particolare,

il trattamento è considerato lecito quando è necessario per assolvere gli obblighi ad esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione  sociale, nella misura in cui sia autorizzato dal diritto dell’Unione Europea o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali gli interessi dell’interessato.

 

► Documento aziendale specifico :

deve essere predisposto il documento di “Valutazione d’impatto sulla protezione dei dati”, secondo le indicazioni  R.E. UE, art.35;  sulla base delle informazioni emerse dalla valutazione si devono predisporre le attività di “protezione”.

Il Titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento è effettuato conformemente  al regolamento UE. Dette misure devono essere riesaminate e aggiornate qualora necessario (ciò implica anche la verifica e l’eventuale necessità di adeguamento degli strumenti hardware/software attraverso i quali il trattamento viene effettuato).

 

► Informativa :

va raccolta una nuova “Informativa privacy”, relativa al trattamento, archiviazione e distruzione (tempi e modi) dei dati raccolti, qualora l’informativa già in uso non fosse conferme al regolamento.

 

Il contenuto dell’informativa deve portare a conoscenza del soggetto titolare dei dati raccolti, tutti i diritti che gli sono riconosciuti dal Regolamento UE:

▪ diritto di accesso ai dati;

▪ diritto di rettifica;

▪ diritto alla cancellazione;

▪ diritto di limitazione al trattamento;

▪ diritto alla portabilità dei dati;

▪ diritto di opposizione .

 

► Responsabile protezione dati (DPO – data protection officer):

– è la nuova figura introdotta dal R.E.UE, le cui competenze non sono ancora state pienamente chiarite dagli organi comunitari;

– è una figura obbligatoria solo in casi specificatamente previsti dal regolamento (art.37);

– è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti.; può essere un dipendente del titolare o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista.

 

► Attività di controllo – Sanzioni

Il controllo degli adempimenti è demandato anche alla Guardia di Finanza;

la violazione degli obblighi previsti dal R.E. da parte delle Imprese è soggetta, a seconda delle diverse tipologie, a  sanzioni amministrative pecuniarie, fino al 2% o 4% del fatturato totale annuo dell’esercizio precedente.

Si evidenzia che il Garante della Privacy, con provvedimento del 22/2/2018 ha comunicato il differimento di sei mesi dei controlli relativi agli adempimenti sulla privacy e delle sanzioni eventualmente derivanti, semprechè i titolari del trattamento dimostrino  di aver avviato un processo di adeguamento alle norme comunitarie.

 

L’adeguamento alle nuove disposizioni in materia di protezione dati, così come la nomina del Responsabile protezione dati può essere demandata a società di consulenza specializzate in materia.

 

 

Distinti saluti.

TERRAZZINI & PARTNERS