Entra in vigore il nuovo regolamento europeo per il trattamento dei dati personali. Ma niente panico perché c’è Conflavoro PMI. L’associazione datoriale, infatti, è a disposizione delle piccole e medie imprese che vogliono mettersi in regola anche dopo il 25 maggio, data dalla quale il regolamento sarà effettivo.
Dopo aver organizzato una serie di incontri e convegni, che proseguiranno anche nelle prossime settimane, l’associazione di categoria, nel giorno dell’entrata in vigore delle nuove norme per il trattamento dei dati personali, fornisce un breve, ma utile vademecum per fare il punto della situazione e per permettere alle imprese di capire dove, e se, devono intervenire.
I principi generali
Innanzitutto il nuovo regolamento si applica a tutti coloro che trattino dati personali di persone fisiche e che effettuino attività di monitoraggio, sempre di persone fisiche, all’interno dell’Unione Europea.
I principi generali sono molto simili a quelli che già regolavano le norme precedenti: la liceità, correttezza e trasparenza nel trattamento, l’adeguatezza e pertinenza dell’utilizzo dei dati, l’esattezza, la conservazione per un periodo di tempo limitato, l’integrità e la riservatezza dei dati conservati. Una serie di principi che sottendono alla responsabilizzazione delle aziende che trattano dati o che utilizzano quelli di terze parti.
Dati personali: cosa significa?
Ma quali sono i dati personali che rispondono a questo regolamento? Si tratta di ogni informazione che possa in qualche modo identificare, direttamente o indirettamente, una persona fisica. Non solo il nome e il cognome, dunque, ma anche l’ubicazione, l’identificativo on line o elementi dell’identità fisica, psichica, economica, culturale o sociale.
Per quanto riguarda gli identificativi on line ci si riferisce in particolare a indirizzi Ip, cookies e tag. E se da una parte rimane vietato, salvo limitatissime eccezioni previste dal regolamento, trattare dati personali che rivelino origine razziale o etnica, convinzioni religiose, opinioni politiche, appartenenza sindacale, dati genetici e dati relativi a salute e orientamento sessuale (cosiddetti dati supersensibili), dall’altra anche i restanti dati sono soggetti a limitazioni.
Le figure responsbili del trattamento dati
Il nuovo regolamento prevede tre diverse figure legate al trattamento dei dati personali, secondo una struttura a piramide. Al vertice c’è il titolare del trattamento, che decide le finalità di trattamento, impartisce istruzioni e direttive e svolge funzioni di controllo. Ci sono poi il responsabile del trattamento, preposto dal titolare al trattamento dei dati personali, e l’incaricato del trattamento, ruolo che può essere ricoperto da una o da più persone.
Il titolare, in caso di persona giuridica o di studio associato, è l’azienda o lo studio stesso, mentre in caso di azienda individuale o professionista è la persona fisica. In ogni caso non è necessario nessun atto di nomina o requisiti particolari.
Il responsabile del trattamento può essere interno, di solito una persona di alto profilo che coadiuva il titolare per il rispetto della normativa sulla privacy, o esterno, e in quel caso può essere una persona fisica o giuridica il cui rapporto è regolato da un contratto. C’è, infine, l’incaricato del trattamento che, chiunque esso sia, deve essere obbligatoriamente istruito dal titolare o dal responsabile del trattamento.
Il ruolo del DPO – Data Protection Officer
Nel complesso sistema del trattamento dei dati personali ci sono poi altri soggetti, ciascuno con il suo ruolo definito: l’amministratore di sistema, una figura professionale dedita alla gestione di un impianto o alla manutenzione dei suoi componenti, e il responsabile della protezione dei dati (data protection officer), che è il soggetto incaricato di affiancare il titolare e il responsabile del trattamento dati, che può essere un dipendente o un soggetto esterno.
Quest’ultima è una figura di garanzia, facoltativa all’interno dell’azienda, la cui nomina diviene però obbligatoria in tre casi: se il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, abito o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando, infine, le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali. I compiti del data protection officer sono di verifica e controllo sull’attuazione e applicazione del regolamento, ma anche di sorveglianza sul trattamento dei dati, informazione e consulenza circa gli obblighi del regolamento.
Trattamento e conservazione limitata dei dati
Laddove presenti, tutti questi soggetti hanno come obbligo, nella custodia e trattamento dei dati, la riduzione al minimo di alcuni rischi, che sono quelli della distruzione o perdita anche accidentale dei dati; di accesso non autorizzato alle banche dati, siano esse cartacee o elettroniche; che il trattamento rimanga nel tempo conforme alle finalità della raccolta e che si eviti un trattamento illecito o non corretto.
Questo significa, in sostanza, che i dati devono essere innanzitutto conservati per il periodo strettamente necessario. Il diretto interessato deve poter accedere in ogni momento ai dati conservati per conoscere la finalità del trattamento, le categorie dei dati personali in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, il periodo o i criteri di conservazione, il diritto di proporre reclamo a un’autorità di controllo, le informazioni sull’origine dei dati qualora questi non siano stati raccolti dall’interessato, l’esistenza di un processo decisionale automatizzato quale la profilazione.
Su richiesta, il titolare del trattamento fornisce all’interessato le informazioni richieste entro un tempo stabilito e a titolo gratuito. Una volta ricevute le informazioni, il soggetto che le ha richieste può chiedere la rettifica dei dati o la limitazione del trattamento in caso di dati inesatti o, ancora, la loro cancellazione. Questo, in particolare, se si ritiene esaurita la finalità di trattamento, se è stato revocato il consenso, se è stata fatta opposizione al trattamento, se si tratta di violazione di legge.
Il registro dati: quando e perché tenerlo?
Il regolamento prevede anche la tenuta di un registro dei trattamenti, che non è obbligatorio per le imprese inferiori ai 250 dipendenti, a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che includa dati particolari o personali relativi a condanne penali o reati.
Per chi ne è obbligato, il registro deve contenere i nomi e i dati del titolare del trattamento e del responsabile della protezione dei dati. E, ancora, le finalità del trattamento e le misure di sicurezza, una descrizione delle categorie degli interessati e le categorie dei destinatari a cui i dati personali sono stati o saranno comunicati. E, infine, gli eventuali trasferimenti di dati personali verso paesi terzi e la loro identificazione e i termini ultimi per la cancellazione delle diverse categorie di dati.
La valutazione d’impatto
In caso di violazione dei dati personali (Data breach notification) ovvero perdita, distruzione o diffusione indebita degli stessi, corre obbligo di notifica al garante, con le misure di contrasto adottate e l’obbligo di comunicazione all’interessato. In particolari casi è richiesta anche una valutazione di impatto sul trattamento dei dati, ovvero nelle ipotesi di valutazione sistematica e globale di aspetti personali basata su trattamenti automatizzati, come la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o che incidono analogamente sulle persone fisiche; nei casi di trattamento su larga scala di dati particolari; in quelli di videosorveglianza sistematica e su larga scala di una zona accessibile al pubblico e di altre tipologie di trattamento indicate dall’autorità di controllo.
L’informativa privacy nel GDPR…
Oltre alla possibilità di richiedere al garante o a un’autorità esterna la certificazione sulla qualità del proprio trattamento dei dati personali, l’obbligo che sussiste in capo a tutti è quello di una informativa, ovvero della dichiarazione che il titolare fa all’interessato sull’esistenza del trattamento e delle sue finalità.
L’informativa deve essere immediata, chiara, in linguaggio non tecnico, che permetta l’immediata possibilità di contattare il titolare del trattamento dei dati personali. Se i dati personali sono raccolti direttamente dall’interessato, l’informativa è rilasciata prima della raccolta dei dati; se sono raccolti da terzi può essere rilasciata successivamente, in particolare all’atto della registrazione dei dati, e comunque non oltre la prima comunicazione.
L’informativa deve contenere l’identità dei dati del titolare del trattamento e, dove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento, gli eventuali destinatari o le categorie di destinatari dei dati. Una volta ottenuti i dati il titolare dovrà fornire all’interessato le informazioni sul periodo di conservazione dei dati o i criteri utilizzati per determinare il periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e l’eventuale rettifica o cancellazione degli stessi; il diritto, in casi particolari, di revocare il consenso al trattamento dei dati; il diritto di proporre reclamo all’autorità di controllo; l’esistenza di un processo decisionale automatizzato, compresa la profilazione dell’utente. Quanto ai dati ottenuti da terzi, oltre agli elementi previsti per i dati raccolti dall’interessato, c’è l’obbligo di indicare la fonte da cui hanno origine i dati personali e l’eventualità che i dati provengano da fonti accessibili al pubblico.
… e il consenso al trattamento dati
Per rendere legittimo il trattamento dei dati personali, oltre all’informativa è necessario il consenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che riguardano l’interessato siano oggetto di trattamento. Ci sono dei casi in cui è obbligatoria anche la notificazione, quando il trattamento ha ad oggetto dati genetici e biometrici; dati idonei a rivelare stato di salute e vita sessuale; dati volti a definire il profilo o la personalità dell’interessato; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi o dati sensibili per sondaggi di opinione e ricerche di mercato; dati registrati in banche dati relative al rischio sulla solvibilità economica; dati personali che vengono trasferiti all’estero.
Le sanzioni previste e il supporto di Conflavoro PMI
La mancata osservanza delle norme prevede anche delle sanzioni: da 6mila a 36mila euro per l’omessa o inidonea informativa; da 20mila a 120mila euro per l’omessa o incompleta notificazione. Le sanzioni pecuniarie per la violazione degli obblighi del regolamento europeo sono commisurate alla gravità dei fatti e può arrivare fino a 20 milioni di euro e al 4 per cento del fatturato.
Per evitare ogni problema, valutare il profilo di rischio e intervenire a risolvere le questioni è possibile rivolgersi alle sedi di Conflavoro PMI in tutta Italia.