Oggetto: PRIVACY
Apriamo una piccola parentesi per tranquillizzare sulla data di scadenza del 25 maggio 2018 sul nuovo regolamento della Privacy, per cui l’unica premura riguarda l’eventuale comunicazione da fare al Garante sulla nomina del DPO (responsabile del trattamento dati) da nominare all’interno dell’azienda/società solo se obbligati.
Come vedremo più avanti, sembra chiaro che l’obbligo della figura del DPO riguarda solamente realtà di larga scala ed esclude pertanto tutte le realtà seguite dallo studio.
Vediamo nel dettaglio a chi si applica la nuova normativa Privacy:
Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:
- i dati identificativi: quelli che permettono l'identificazione diretta, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.;
- i dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
- i dati giudiziari: quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono....le classiche mail!!) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Il Regolamento non si applica al trattamento di dati effettuato in modo interamente manuale e non strutturato (in pratica se tratto dati personali senza salvarli su un computer o server), al trattamento di dati di persone decedute, al trattamento di informazioni anonime.
La difformità di trattamento tra persone fisiche e società, tuttavia, opera solo nei limiti in cui il trattamento dati si renda necessario per lo svolgimento dell’attività di impresa; ossia la privacy va garantita solo alle persone fisiche che non sono imprenditori.
All'inizio abbiamo parlato della comunicazione obbligatoria da fare al Garante entro il 25 maggio.....ma vediamo per chi sarebbe obbligatorio il DPO??
La figura fulcro introdotta dal regolamento europeo sulla protezione dei dati personali è prevista dall’articolo 37, che recita così:
Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Sebbene tutte le imprese trattino necessariamente dei dati personali (ad esempio per i pagamenti dei dipendenti, clienti…), tuttavia non ricade su di esse l'obbligo di nominare il DPO: le citate attività di trattamento dati, per quanto indispensabili ed essenziali, sono considerate "ancillary" e quindi di supporto al "core business".
In pratica se l’attività principale (core business) non è il trattamento di dati personali come archiviazione ai fini di marketing (es. società pubblicitarie), non si è tenuti alla nomina della figura del DPO.
Alcune esemplificazioni: sono da considerarsi trattamenti su larga scala l'elaborazione dei dati dei pazienti di un ospedale, il trattamento dei dati di viaggio dei soggetti che utilizzano un sistema di trasporto pubblico di una città (ad esempio il monitoraggio attraverso carte di viaggio), l'elaborazione in tempo reale dei dati di geo-localizzazione della clientela per fini statistici, il trattamento dei dati dei clienti da parte di una banca o di un'assicurazione, il trattamento dei dati personali per la pubblicità comportamentale (cookies di profilazione) e il trattamento dei dati da parte dei fornitori di servizi telefonici e/o internet (contenuti, traffico, posizione…).
Non sono invece da ritenere elaborazioni su larga scala quei trattamenti di dati personali relativi ai pazienti di un singolo medico o ai clienti di un singolo avvocato.
Per riassumere, quello che viene chiesto al titolare del trattamento dei dati personali, ossia all’azienda/ditta è di poter comprovare, ossia dimostrare di aver attuato tutte le procedure necessarie per l’adeguamento al nuovo regolamento Privacy.
Riassumendo, gli adempimenti da effettuare a cominciare dal 25 maggio saranno:
- tenere un registro dei trattamenti ex art 30 (manuale/elettronico) contenente dati personali raccolti e il loro utilizzo su cui stiamo cercando di preparare un foglio excel da usare come fax simile e in alternativa per chi lo terrà necessario potrà ricorrere all'acquisto di un software (che a nostro avviso è indicato solo per chi tratta una mole consistente di dati personali di persone fisiche)
- far pervenire e firmare l’informativa adeguata al cliente sul nuovo trattamento dei dati personali, anche questa in fase di preparazione da parte dello studio come fax simile da utilizzare e far firmare ai clienti persone fisiche di cui si utilizzeranno dati personali
- comunicare tempestivamente (entro 72 ore) al Garante della Privacy ogni eventuale “data breach/furto” dei dati personali dei clienti salvati su pc/server
Il titolare del trattamento, attraverso il foglio dell'informativa da far firmare, dovrà informare l’interessato( cliente persona fisica) della sua facoltà di revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha accordato e dimostrare che il consenso al trattamento dei dati personali sia stato prestato.
A breve riusciremo a produrre fax simili per informativa e registro come sopra scritto.
Per qualsiasi informazione contattateci pure.
Studio Professionale Aiassa
Dottori Commercialisti
Revisori Legali
G.A. / F.A. / A.A.
Archivio news