Ultimo aggiornamento 10 Marzo 2020 di Alessandra

Regole Nuove, domande nuove: come cambierà il trattamento dei dati personali 

Dal 25 maggio 2018 entrerà in vigore il regolamento UE 2016-679 sulla protezione e il trattamento dei dati personali, più comunemente conosciuto con l’acronimo GDPR (General Data Protection Regulation); di conseguenza tutti i tipi d’impresa che offrono prodotti o servizi a persone in territorio europeo dovranno obbligatoriamente adeguarsi alle nuove regole per non incorrere in sanzioni molto salate (fino a 20 milioni di euro!).

Probabilmente ti starai chiedendo cosa significa tutto questo nella pratica e cosa fare per conformare la tua azienda entro la scadenza: per rispondere a tutte le tue domande, abbiamo intervistato l’avvocato Silvia Zazzarini dello Studio Legale Busetto.

Ecco di seguito le sei domande (e risposte) più importanti per sapere come comportarsi nel caso in cui tu abbia un’azienda!

P.s.: l’Avvocato Silvia Zazzarini ci ha lasciato qualche consiglio personale, non perdere l’occasione per scoprire di cosa si tratta!

1) Cos’è il GDPR (General Data Protection Regulation) e cosa cambia per le aziende in merito al trattamento dei dati personali?

Si tratta di un regolamento europeo, cioè di un atto legislativo direttamente obbligatorio e vincolante per gli stati membri e per i cittadini. È il regolamento n. 679 del 2016 che riguarda il trattamento dei dati personali e la libera circolazione dei dati all’interno dell’Unione. 
Per le aziende cambia molto: deve essere innanzitutto conservata tutta la documentazione relativa ai dati per provare di averli ottenuti ed elaborati in modo legale. Per questo motivo l’impresa deve dotarsi di infrastrutture in grado di gestire correttamente i dati e i documenti relativi, garantendone l’organizzazione e l’accesso. Il GDPR dunque, impatta sui sistemi e sulle procedure della singola azienda, che deve adeguarsi alla nuova normativa.

2) Come adeguarsi al nuovo regolamento?

Ci sono degli adempimenti che le imprese devono compiere: per prima cosa conformare l’organizzazione al regolamentoformando i soggetti incaricati del trattamento (coloro che compiono le operazioni del trattamento) e nominando un DPO (Data Protection Officer). Nei confronti dei clienti o degli utenti, ciascuna azienda deve predisporre un’adeguata informativa e verificare a quali condizioni può trattare i dati.

3) DPO (Data Protection Officer), una nuova figura in azienda: che ruolo ha? È obbligatorio?

Il DPO è il responsabile della protezione dei dati e va nominato entro il 25 maggio 2018. È obbligatorio per le aziende che fanno monitoraggio delle persone su larga scala o che trattano dati sensibili, biometrici, genetici o giudiziari. È una figura di alta professionalità, competente e che riveste un ruolo di responsabilità.

Tra i suoi obblighi vi sono quelli di:

  • dare comunicazioni;
  • promuovere la cultura della protezione dei dati;
  • rendicontare l’attività svolta;
  • dare pareri sull’osservanza del regolamento.

Il Data Protection Officer può essere un soggetto interno o un soggetto esterno all’azienda e, in quest’ultimo caso, sarà necessario scrivere un disciplinare che ne specifichi i ruoli.

4) Raccolta del consenso: quali sono i cambiamenti?

Per quanto riguarda i dati “sensibili” e le decisioni basate su trattamenti informatizzati (ad es. la profilazione) il consenso deve essere “esplicito”. Quest’ultimo non deve essere necessariamente essere “documentato per iscritto” e non è richiesta la “forma scritta”, anche se questa è una modalità idonea a configurare un consenso inequivocabile ed esplicito.
Per i minori, il consenso è valido a partire dai 16 anni; prima, occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Restano fermi, invece, i principi per cui il consenso deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto.

Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutte queste caratteristiche. In caso contrario sarà necessario, prima dell’entrata in vigore, raccogliere di nuovo il consenso degli interessati in modo conforme al regolamento.

I contenuti dell’informativa sono maggiori rispetto al codice privacy e sono elencati dal regolamento. Ad esempio, il titolare deve sempre specificare i dati di contatto del DPO (se esiste), la base giuridica del trattamento e se trasferisce i dati personali in Paesi terzi e con quali strumenti. Deve poi specificare il periodo di conservazione dei dati e indicare il diritto di presentare un reclamo all’autorità di controllo.
L’informativa deve avere una forma concisa, trasparente, chiara e facilmente accessibile; è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi “altri mezzi”, quindi può essere fornita anche oralmente, sempre nel rispetto delle caratteristiche che abbiamo visto.

5) Sanzioni per le aziende: in che casi? A quanto ammonteranno?

Il regolamento prevede un sistema di responsabilità complesso: c’è una responsabilità civile per danni, che dà diritto ad ottenere il risarcimento del danno causato da una violazione delle norme da parte del titolare del trattamento o dal responsabile del trattamento. Il DPO risponde del danno solo se non ha adempiuto agli obblighi specificamente a lui imputati dal regolamento o ha agito in modo difforme o contrario alle legittime istruzioni del titolare. Tra i due soggetti vi è una responsabilità solidale, cioè ciascuno risponde per l’intero ammontare del danno.

C’è poi una responsabilità amministrativail garante può infliggere, tenendo conto anche delle dimensioni dell’azienda, fino a 10 milioni di € o al 2% del fatturato per la violazione di obblighi del titolare e del responsabile, dell’organismo di certificazione e dell’organismo di controllo; fino a 20 milioni di € o al 4% del fatturato per violazione dei diritti degli interessati e delle condizioni di trattamento.
Inoltre, il garante ha il potere di rivolgere avvertimenti e ammonimenti.

6) DPIA (Data Protection Impact Analysis): di cosa si tratta? Come comportarsi con i vecchi dati?

È la valutazione d’impatto sulla protezione dei dati, obbligatoria prima di iniziare il trattamento dei dati personali che possa comportare un rischio elevato per i diritti e le libertà delle persone interessate. La DPIA serve a responsabilizzare i titolari nei confronti dei trattamenti effettuati, che sono tenuti a garantire il rispetto del regolamento e a dimostrare come lo fanno. L’analisi viene fatta dal titolare, insieme al DPO se designato, e si tratta di un processo soggetto a revisione continua. Può essere una buona prassi anche quando non è prescritta.

Per quanto riguarda i vecchi dati, la valutazione d’impatto non è obbligatoria per quei trattamenti già in corso che siano stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio.

I consigli dell’esperta

Il mio primo consiglio per le aziende è di investire sulla formazione dei dipendenti, non solo per la figura del DPO, ma anche per tutti i soggetti che compiono le operazioni di trattamento dei dati personali che, se adeguatamente istruiti e resi consapevoli delle operazioni che vanno a svolgere, possono contribuire al rispetto del regolamento e a prevenire eventuali violazioni da parte dell’azienda e, di conseguenza, evitare le sanzioni.
Il secondo consiglio è di rivolgersi a dei professionisti che possano aiutarvi a mettere l’azienda nella condizione di ottemperare autonomamente alla nuova normativa.

Considerazioni finali 

La scadenza è ormai vicina ed abbiamo appreso quanto sia delicata ed importante la questione del trattamento dei dati personali. Il nostro consiglio è quello di non aspettare che sia troppo tardi ma rivolgersi subito a delle infrastrutture competenti. Se hai qualche dubbio o delle considerazioni che vuoi condividere con noi, scrivilo nei commenti!