Nuovo regolamento UE 2016/679 in materia di privacy: Amministrazione Srl, con sede a Crema, eroga servizio di consulenza per la contabilità ordinaria e straordinaria.
Il 25 maggio 2018 acquisteranno efficacia in tutta Europa le disposizioni relative alla protezione dei dati delle persone fisiche, con riguardo al trattamento e alla libera circolazione dei dati personali.
Il vigente codice sulla Privacy (D.Lgs 196/2003) sarà abrogato con l’applicazione delle nuove disposizioni che si riassumono di seguito:
Ambito applicazione
- Le nuove disposizioni riguardano la protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati stessi. Per il trattamento di dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, l’orientamento sessuale, i dati genetici e biometrici è necessario il consenso esplicito.
Informativa sulla privacy: dovere di documentazione
- L’informativa che viene fornita all’interessato deve essere preventiva e deve rispondere a criteri di trasparenza. Deve essere intelligibile, accessibile, comprensibile, scritta con linguaggio chiaro e semplice e deve essere fornita all’interessato per iscritto o con altri mezzi, ivi compresi i mezzi elettronici. Tutti i soggetti che partecipano al trattamento devono tenere documentazione di tutti i trattamenti effettuati ed essere in grado di provare tale attività (principio di responsabilizzazione o accountability)
Il titolare del trattamento che non riesce a documentare il trattamento dei dati è soggetto a sanzione.
Il consenso:
Il consenso al trattamento dei dati deve essere espresso in modo libero, specifico e inequivocabile anche quando espresso attraversi mezzi elettronici.
Per il trattamento dei dati personali di natura sensibile è necessario il consenso esplicito.
Se il soggetto interessato al trattamento dei dati è un minore di anni 16 il consenso dovrà essere prestato dai genitori.
Per il trattamento dei dati personali comuni il consenso non è necessario se sono utilizzati per fini difensivi, per eseguire un contratto, per dati economici, per soddisfare un obbligo di legge.
Per “titolare del trattamento” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Il titolare del trattamento è quindi chi decide il motivo e le modalità del trattamento ed è responsabile giuridicamente dell’ottemperanza degli obblighi previsti dalla normativa in materia di protezione dei dati personali. Egli deve garantire che i dati non siano persi, alterati, distrutti o trattati illecitamente.
Il “responsabile del trattamento” è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Il responsabile del trattamento tratta i dati attenendosi alle istruzioni del titolare e assume responsabilità proprie; può essere interno o esterno all’azienda.
La nomina è obbligatoria se si trattano dati sensibili.
Valutazione dell’impatto sulla protezione dei dati
Il DPS verrà sostituito dal documento denominato Data Protection Impact Assessment (DPIA).
Il titolare del trattamento dovrà valutare gli impatti, i rischi connessi al trattamento e predisporre gli eventuali interventi per ridurre al minimo i rischi e per prevenire la violazione dei dati personali.
Il Garante per la Privacy renderà noto l’elenco delle tipologie di trattamento soggette al requisito della valutazione di impatto sulla protezione dei dati.
Data Protection Officer (DPO)
Il regolamento istituisce la figura del Data Protection Officer (DPO) ovvero il responsabile della protezione dei dati.
Il DPO viene nominato dal titolare del trattamento e dal responsabile del trattamento, dovrà essere obbligatoriamente presente all’interno delle aziende pubbliche e delle aziende private che trattano dati sensibili.
Nelle aziende private che trattano dati non sensibili l’introduzione del DPO è facoltativa.
Il DPO potrà essere un dipendente del titolare del trattamento o del responsabile del trattamento o un consulente esterno e potrà assumere altri compiti, non in conflitto di interesse con la funzione.
Il DPO svolgerà i seguenti compiti:
- informare, consigliare e formare il titolare e il responsabile del trattamento e i dipendenti sugli obblighi del regolamento;
- verificare l’attuazione del regolamento;
- fungere da punto di riferimento per gli interessati al trattamento e per il Garante.
Obbligo di notifica in caso di violazione dei dati
In caso di violazione dei dati, il titolare del trattamento dovrà effettuare una segnalazione al Garante entro le 72 ore successive e nel più breve tempo possibile dovrà informare gli interessati al trattamento qualora la violazione dei dati rappresenti una minaccia per i diritti e le liberà delle persone (c.d. data breach).
Tale tipo di informazione può essere effettuata anche per pubblici proclami o attraverso il sito web.
Registro dei trattamenti
Le società con 250 o più dipendenti e le società che trattano dati sensibili (indipendentemente dal numero dei lavoratori) dovranno dotarsi di un registro nel quale verranno indicati il nome e i dati del titolare del trattamento, le finalità del trattamento, la descrizione delle categorie degli interessati e delle categorie dei dati trattati, la descrizione delle misure di sicurezza adottate a tutela della privacy.
Il registro potrà essere cartaceo o elettronico
Riconoscimento di nuovi diritti
Il regolamento introduce la tutela di nuovi diritti tra i quali il diritto alla portabilità dei dati e il diritto all’oblio.
Il diritto alla portabilità dei dati consiste nella richiesta dell’interessato al titolare del trattamento di restituzione dei propri dati su supporto elettronico.
Il diritto all’oblio si sostanzia nel diritto dell’interessato ad essere totalmente cancellato dal data-base del titolare del trattamento.
Le sanzioni
Il tetto massimo delle sanzioni è previsto nella misura di 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
L’interessato al trattamento che abbia subito un danno per la violazione delle norme sulla privacy potrà pretendere un risarcimento dal titolare o dal responsabile del trattamento.
La responsabilità per la violazione della normativa sulla privacy è ancorata al concetto di responsabilità per l’esercizio delle attività pericolose: per non rispondere del danno commesso in violazione della normativa bisognerà provare di aver fatto tutto il possibile per evitare il danno.
Riassumendo gli incombenti che sarà opportuno tenere presenti per adeguarsi all’entrata in vigore della nuova normativa sono:
- rivedere l’informativa da fornire al Cliente, adeguando il testo attualmente in uso ed inserendo il riferimento ai nuovi diritti (diritto alla portabilità e diritto all’oblio);
- informare il Cliente del diritto alla revoca del trattamento per finalità di marketing nonché della possibilità attribuita al titolare del trattamento di trasferire i dati dell’interessato all’estero;
- raccogliere un consenso esplicito del Cliente qualora i dati siano di natura sensibile nonché inserire un’apposita previsione per la raccolta del consenso al trattamento dei dati per il minore di anni sedici;
- redigere il nuovo documento denominato DPIA qualora necessario. Tale documento dovrà tracciare il profilo dei rischi collegato alla raccolta e al trattamento dei dati e i rimedi volti a eliminare o ridurre il rischio di perdita/appropriazione da parte di terzi dei dati;
- predisporre una policy aziendale per l’archiviazione dei dati, in modo da poter sempre dimostrare – in caso di controllo – che il titolare del trattamento ha adottato misure giuridiche, organizzative, tecniche adeguate e conformi al Regolamento per la protezione dei dati;
- verificare che gli strumenti aziendali e, in particolare, informatici, utilizzati siano in grado di garantire il rispetto delle norme in materia di sicurezza dei dati personali trattati.
Per qualsiasi informazione e chiarimento potete contattare lo studio al: T. 037386885 – E. info@amministrazionesrl.it
