Il Regolamento UE 679/2016, noto anche come General Data Protection Regulation (GDPR), è una normativa europea che ha l'obiettivo di agevolare la libera circolazione dei dati nell’Unione Europea tutelando i diritti dei cittadini in materia di privacy.
Tutti i soggetti che trattano dati personali di persone fisiche, ivi ricomprese aziende e liberi professionisti, sono obbligati a rispettare detta normativa e ad adeguarsi alle sue disposizioni per evitare sanzioni.
Ma cosa si intende per ‘trattamento’?
Costituiscono trattamento dei dati personali ai sensi dell’art. 4 del GDPR tutte le operazioni, compiute con o senza l'ausilio di processi automatizzati, applicate ai dati personali, quali ad esempio la raccolta, l’utilizzo, la conservazione, la memorizzazione su supporti informatici, la comunicazione, la diffusione, la cancellazione, la pseudonominizzazione dei dati.
Da ciò è evidente come la disciplina in questione impatti significativamente sulla stragrande maggioranza (se non la totalità) delle attività a carattere economico, in cui è essenziale entrare a contatto con i dati personali di lavoratori, clienti, fornitori.
Vediamo, in sintesi, cinque dei principali obblighi imposti dal GDPR al Titolare del trattamento.
1. OBBLIGO DI INFORMATIVA
Le aziende devono informare i propri clienti e dipendenti su come vengono utilizzati i loro dati personali ed in base alla finalità perseguita devono ottenere il loro consenso prima di raccogliere e utilizzare tali informazioni.
ESEMPIO
Se un’azienda intende utilizzare i dati dell’utente per finalità di marketing, sarà necessario che l’azienda acquisisca il consenso libero, specifico, informato ed inequivocabile del cliente per poter utilizzare lecitamente i dati dello stesso recapitandogli, ad esempio, una newsletter o altro materiale pubblicitario. A tale fine, l’azienda dovrà fornire al cliente un’apposita informativa in cui dovrà essere evidenziata, separatamente rispetto alle altre parti del documento, la richiesta di consenso alla ricezione di comunicazioni per finalità promozionali e di vendita. Oltre a ciò, l’azienda dovrà fornire al cliente la possibilità di revocare il proprio consenso in qualsiasi momento.
Naturalmente, l’azienda dovrà essere in grado di documentare di aver adottato tutte le misure predette in caso di ispezione dell’Autorità Garante.
2. OBBLIGO DI NOMINARE UN DPO
La nomina del DPO è obbligatoria soltanto nei casi previsti dall’art. 37 GDPR, ed in particolare:
- se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,
- quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
- quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati categorie particolari di dati (come dati relativi alla salute) o dati giudiziari relativi a condanne penali e reati.
La nomina di un DPO, dunque, solitamente non riguarda singoli professionisti o aziende di piccola dimensione in cui vengono trattati dati comuni su ridotta scala.
Per valutare la sussistenza dei requisiti di obbligatorietà di cui all’art. 37 GDPR, l’azienda dovrà in ogni caso svolgere un’analisi approfondita dei propri processi interni.
3. OBBLIGO DI DOTARSI DI UN REGISTRO DEI TRATTAMENTI
L'obbligo di adozione di un registro dei trattamenti ex art. 30 GDPR è una delle principali responsabilità per le imprese e i professionisti che operano nell'Unione Europea in materia di protezione dei dati personali.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che tutte le organizzazioni che effettuano trattamenti di dati personali debbano tenere un registro delle attività di trattamento svolte. Questo registro deve contenere informazioni dettagliate sulle finalità del trattamento, sulla natura dei dati trattati, sulle categorie di interessati e sui destinatari a cui i dati vengono comunicati.
Inoltre, l'articolo 30 del GDPR richiede che il registro sia mantenuto in modo da poter essere messo a disposizione delle autorità di controllo in caso di verifica. Ciò significa che il registro deve essere aggiornato regolarmente e conservato anche in seguito alla cessazione del trattamento dei dati.
L'adozione di un registro dei trattamenti è un adempimento essenziale poiché consente alle organizzazioni di dimostrare la conformità al GDPR e di identificare eventuali rischi per la protezione dei dati personali. Inoltre, esso consente di avere una panoramica completa delle attività di trattamento dei dati personali svolte dall'organizzazione, agevolando l'adozione di misure adeguate per garantire la sicurezza e la riservatezza dei dati personali.
4. OBBLIGO DI CONTRATTUALIZZARE IL RAPPORTO CON EVENTUALI RESPONSABILI DEL TRATTAMENTO
Qualora, nello svolgimento delle proprie attività, l’azienda o il professionista si avvalessero di servizi erogati da soggetti terzi, cui demandino determinati compiti che comportano il trattamento di dati personali, l’art. 28 GDPR prescrive l’obbligo di disciplinare all’interno di un contratto i rapporti tra Titolare e Responsabile.
ESEMPIO
Sono considerati, solitamente, responsabili del trattamento (e, conseguentemente, debbono essere nominati per atto scritto) il commercialista, il consulente del lavoro nell’elaborazione delle buste paga dell’azienda, la società di manutenzione informatica relativamente alle attività di manutenzione svolte per conto dell’impresa, ecc.
All’interno del contratto il titolare impartirà al responsabile le istruzioni da seguire nello svolgimento delle attività di trattamento dati per conto del primo. Il responsabile dovrà attenersi scrupolosamente alle indicazioni del titolare, pena l’acquisizione della qualità di titolare autonomo del trattamento (e correlate responsabilità).
Nella scelta del responsabile, naturalmente, il titolare dovrà ricorrere unicamente a soggetti che presentino garanzie sufficienti del rispetto della normativa in materia di trattamento dei dati personali e dell’adozione di misure di sicurezza idonee a prevenire eventuali violazioni.
5. OBBLIGO DI ADOZIONE DI ADEGUATE MISURE DI SICUREZZA
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che tutte le organizzazioni che effettuano trattamenti di dati personali debbano adottare misure di sicurezza adeguate a garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
Le misure di sicurezza devono essere proporzionate al rischio e alla natura dei dati personali trattati. Ad esempio, per trattare dati personali ‘sensibili’, come quelli relativi alla salute, le misure di sicurezza devono essere più rigorose rispetto ai dati personali comuni.
Le misure di sicurezza possono includere, tra le altre, la crittografia dei dati, la protezione fisica dei sistemi di trattamento, la formazione del personale e la predisposizione di procedure per la gestione delle violazioni di sicurezza.
Inoltre, l'articolo 32 del GDPR richiede che le organizzazioni valutino regolarmente i rischi per la protezione dei dati personali e che adattino le misure di sicurezza in base alle eventuali modifiche.
Per le imprese e i professionisti, l'adozione di adeguate misure di sicurezza è essenziale al fine di dimostrare la conformità al GDPR e di garantire la protezione dei dati personali dei cittadini dell'Unione Europea. Inoltre, esso consente di avere maggiore controllo sulla gestione dei dati personali e di garantirne la sicurezza e la riservatezza.
IN CONCLUSIONE
Abbiamo visto solo cinque dei principali adempimenti in materia privacy prescritti dal Regolamento Europeo sulla Protezione dei Dati.
È importante sottolineare che, in ogni caso, l'adeguamento al GDPR non consiste solo in adempimenti burocratici, ma deve essere personalizzato in base alle esigenze specifiche dell'azienda.
La corretta predisposizione delle informative e delle nomine a responsabili o a designati del trattamento, la predisposizione del registro trattamenti, la stesura delle policy aziendali per la gestione degli account aziendali o per la gestione di un data breach, costituiscono solo una parte delle misure che l’azienda dovrà porre in essere per dimostrare, in caso di ispezione, la propria conformità alla normativa privacy.
Ricordiamo che le sanzioni previste in caso di mancato adeguamento possono essere molto elevate ed arrivare fino a un massimo di 20 milioni di euro o del 4% del fatturato globale annuo dell'azienda se superiore.
In sintesi, il GDPR rappresenta un'importante tappa nel sistema di protezione dei dati personali dei cittadini europei e le aziende devono adeguarsi alle sue disposizioni per evitare sanzioni. L'adeguamento deve essere personalizzato in base alle esigenze specifiche dell'azienda e non deve essere visto solo come un mero adempimento burocratico.
Lo Studio Legale dell’avv. Lucrezia Giachetti si occupa continuativamente delle tematiche privacy e di supportare l’azienda o il professionista nell’adeguamento della propria attività.
Per approfondimenti o per richiedere una consulenza, è possibile fare riferimento alla sezione “Contatti” presente su questo sito.