Home Home Chi deve adeguarsi alla nuova legge sulla privacy

Chi deve adeguarsi alla nuova legge sulla privacy

18
0

 

Normativa in vigore da oltre un anno ma in tanti ancora non si sono adeguati

Dal 25 Maggio 2018 è in vigore in Italia il cosiddetto Gdpr ossia il Regolamento europeo n. 679/2016 avente ad oggetto la tutela dei dati personali. Il legislatore italiano al fine di adeguare il nostro ordinamento al regolamento di matrice europea ha emanato il dlgs n. 101/ 2018, al fine di chiarire in che modo le novità presenti nel Gdpr si implementassero nella normativa privacy italiana fondata sul Dlgs n. 196/2003. Nonostante sia trascorso oltre un anno dal’emanazione del Dlgs n. 101, dobbiamo constatare che sulla normativa privacy moltissime aziende, professionisti e svariati enti pubblici italiani non si sono ancora adeguati. La confusione è parecchia specie su coloro i quali sono i destinatari della normativa, cerchiamo di fornire in questo articolo una serie di chiarimenti per consentire di far comprendere chi è tanuto ad adeguarsi alla normativa.

Chi è tenuto ad adeguarsi alla normativa sulla privacy

E’ tenuto ad adeguarsi alle norme di cui al Gdpr e al Dlgs n 101 chiunque effettui trattamento dei dati personali nello svolgimento della propria attività lavorativa. Per trattamento si intende qualunque attività relativa ai dati personali: Es (  registrazione,  conservazione. classificazione, elenchi di essi su un pc o su supporti cartacei). Per dati personali si intendono : nome, cognome, posta elettronica, numero di telefono, codice fiscale, dati relativi allo stato di salute, al credo politico, religioso, orientamento sessuale, attinenti al reddito e alla situazione patrimoniali, dati giudiziari, al contratto di lavoro, alle spese personali, alla geolocalizzazione, quelli biometrici e/o genetici. Non devono effettuare alcun adempimento normativo in relazione alla privacy coloro che detengono dati personali altrui privatamente ( pensiamo a chi nel proprio pc detiene foto di feste private),ovviamente essi sono tenuti a rispettare le norme generali relativi al divieto di diffusione dei dati altrui senza consenso ma non devono effettuare adempimenti relativi alle modalità con le quali tutelano la sicurezza dei dati altrui in loro possesso. Inoltre non hanno alcun obbligo privacy i titolari di piccole attività di vendita al dettaglio che non registrano i dati dei clienti e che non hanno dipendenti. Escluse queste due categorie tutti coloro che svolgono il trattamento di dati personali sono tenuti ad adempiere alle norme privacy.  Sono tenuti al rispetto delle norme privacy:avvocati, notai, medici,odontoiatri,farmacisti,ingegneri,enti pubblici, commercialisti, consulenti del lavoro, strutture mediche private, laboratori di analisi, aziende che si occupano di ecommerce o di trattamento dei dati come business  ed in generale tutte le aziende che hanno lavoratori dipendenti. E’evidente che però gli adempimenti da dover espletare saranno proporzionati all’attività che si svolge.

Registro del trattamento ed informativa privacy obblighi generali

Il problema delle sanzioni

I due obblighi generali relativi alla privacy sono costituiti dal Registro di trattamento dei dati ai sensi dell’art 30 del Gdpr e l’informativa ai sensi dell’art 13. Questi due adempimenti costituiscono la base del rispetto della normativa applicabile. Ogni categoria su indicata dovrà adempiere alla normativa privacy compatibilmente con la normativa di settore cui è sottoposto, di conseguenza in materia di privacy non sussistono documenti generalizzati applicabili indistintamente a tutti i destinatari. Nel registro andranno tra le altre cose inserite la base giuridica del trattamento dei dati, le categorie degli interessati e dei dati trattati e le misure di sicurezza attraverso le quali i dati altrui vengono protetti. Il Regolamento europeo sulla privacy rispetto alle sanzioni applicabili dichiara che esse possono essere comminate fino a 20 milioni di euro o fino al 4% del fatturato annuo dell’anno precedente alla violazione. Precedentemente erano previste nel Dlgs 196/2003 agli artt 161 e 162 sanzioni da € 3000 a 18000 per la violazione delle norme sull’informativa e dai 5 mila ai 30000 euro per violazioni conesse alla cessioni illecite di dati, o dai 500 ai tremila euro per violazioni relative ai dati dello stato di salute dell’interessato. Queste ultime norme sono state espressamente abrogate con l’adozione del Dlgs n 101 ed è evidente che sull’aspetto sanzionatorio sia necessaria l’emanzione di norme per proporzionare le sanzioni a seconda del tipo di violazione accertata.

Non bisogna confondere l’informativa e il consenso

Consenso non necessario se al fine di eseguire la prestazione richiesta il trattamento dei dati è indispensabile  

L’informativa prevista dall’art 13 gdpr consiste nel rendere edotto l’interessato al trattamento dei dati, in linea generale del perchè i suoi dati vengono trattati e della finalità del trattamento nonchè tutti i diritti che la legge gli attribuisce in relazione a quel trattamento dei dati. Il consenso viene prestato quando colui che tratta dati vuole utilizzarli per svariate finalità e non solo per una singola attività per i quali il trattamento dei dati è necessario per poter svolgere la prestazione. Facciamo un esempio per chiarire la distinzione. Se una persona va dal medico quest’ultimo deve effettuare il trattamento dei dati per effettuare la prestazione sanitaria, il medico dovrà consegnare l’informativa al paziente ma non dovrà ottenere il consenso per il trattamento dei dati perchè per effettuare la prestazione richiesta egli dovrà necessariamente trattare i dati. Ciò è stato chiarito espressamente dal Garante della privacy con un circolare apposita. Ma se il medico vuole utilizzare i dati del paziente al fine di inviargli materiali per attività diverse dalla prestazione sanitaria richiesta, egli dovrà ottenere il consenso espresso del paziente, altrimenti egli effettuerà un trattamento illecito dei dati del paziente. Questa differenza è fondamentale e spiega tanti fenomeni. Purtroppo spesso soprattutto nei contratti con le grandi aziende di comunicazione siamo portati a dare il consenso senza renderci conto di quello che facciamo. Prestando il consenso consentiamo alle aziende di cedere i nostri dati a terzi e così subiamo il fastidioso “stalking” telefonico e/o telematica da parte dei call center e vari siti internet. Ad ogni modo è sempre possibile revocare il consenso in qualunque momento anche dopo che lo abbiamo prestato.

Normativa privacy da rispettare anche se non vi è obbligo del Dpo

La figura del Dpo, ossia del responsabile della sicurezza dei dati ( l’acronimo è in inglese) introdotta dal Gdpr, ha indotto molti a pensare che nelle aziende dove non vi fosse l’obbligo della nomina di questa figura, la normativa privacy potesse essere trascurata. In realtà non è affatto così.  La figura del Dpo è obbligatoria per gli enti pubblici, per chi effettua trattamento dei dati su larga scala,  e per aziende che hanno più di 250 dipendenti, ma ciò non vuol dire che chi non rientra in queste categorie non deve rispettare tutte le altre norme previste nel Gdpr. E’evidente dunque che i singoli professionisti e le piccole aziende non hanno l’obbligo di nominare il Dpo, ma entrambi devono redigere il registro del trattamento e l’informativa e se non lo fanno possono essere oggetto di sanzioni da parte del Garante della privacy.

Rivolgersi a professionisti specializzati nel settore

Emergenza negli enti pubblici

Noi consigliamo a tutti i professionisti e a tutte le piccole e medie imprese che non abbiano ancora provveduto di adeguarsi immediatamente al Dlgs n. 101 e al Gdpr e di rivolgersi a consulenti che abbiano una competenza certificata nel settore. Purtroppo dopo il 25 Maggio 2018 sono stati molti a proporsi come Dpo o come esperti privacy ad aziende o professionisti senza avere la minima competenza per poterlo fare. Il settore della sicurezza dei dati e della privacy è molto complesso e sottovalutarlo affidandosi a consulenti poco competenti è un rischio che non vale la pena correre, a tal proposito si ricorda che il settore privacy è affidato al controllo della guardia di finanza e nel caso di violazione le sanzioni possono arrivare sino al 4% del fatturato annuo dell’azienda e/ o del professionista. In Italia i numeri ci dicono che vi è una situazione di emergenza di tutela della privacy soprattutto per gli enti pubblici, i quali sono obbligati a nominare la figura del Dpo. Ad oggi si è adeguato alla normativa privacy circa il 50 % degli enti pubblici italiani.

Avv. Italo Carbone

Facebook Comments