News

Adeguamento alla normativa privacy: il progetto di NBMT per le aziende.

Ecco il prospetto di sintesi delle attività da effettuare e delle aree di intervento interessate dal procedimento di adeguamento alla nuova normativa privacy dettata dal Regolamento UE n. 679/2016, la cui entrata in vigore è prevista per il 25.05 p.v.

Il progetto privacy curato dal nostro studio è così articolato:

1) Processo di accountability – responsabilizzazione dell’Azienda – revisione dei flussi dati.

Mappatura dei dati gestiti in azienda, valutando quali dati vengono trattati (dati dei dipendenti – dati personali clienti: persone fisiche/ditte individuali), come vengono trattati, qual è la finalità del trattamento, a chi vengono trasmessi, gli attori coinvolti ed i compiti svolti da ciascuno.

Il titolare ed i responsabili dovranno adottare e dimostrare di aver adottato comportamenti proattivi al fine di predisporre misure di sicurezza finalizzate ad assicurare l’applicazione del regolamento. 

Nell’ambito di tale politica verrà svolta la valutazione del rischio di impatto negativo del trattamento dati sulle libertà e diritti degli interessati (art. 75-77), tenendo conto dei rischi noti e valutando la possibilità di consultare l’autorità di controllo per avere indicazioni su come gestire il rischio.

La valutazione di impatto sulla protezione dati verrà effettuata al fine di descrivere il trattamento, la necessità e la proporzionalità del trattamento nell’ipotesi in cui venga impiegato in azienda un impianto di videosorveglianza o l’azienda controlli sistematicamente l’attività dei dipendenti (a titolo esemplificativo monitoraggio dei terminali informatici e della navigazione internet).

2) Mappatura delle misure di sicurezza in essere, sia per quanto riguarda la sicurezza organizzativa che informatica.

Valutazione della situazione organizzativa attuale (verificare a titolo esemplificativo quali procedure vengono utilizzate per assicurare la sicurezza dei dati conservati in modo cartaceo, quali persone sono autorizzate a gestire tali dati e le procedure interne che de disciplinano il funzionamento) e della sicurezza informatica (convocare presso l’azienda il tecnico informatico di riferimento al fine di valutare insieme a quest’ultimo quali siano i rischi a cui sono sottoposti gli strumenti informatici attualmente in uso e utilizzati per la gestione dei dati personali).

3) Progettazione della privacy by design.

Si tratta di disciplinare a trecentosessanta gradi il trattamento dei dati personali all’interno dell’azienda, al fine di assicurare che lo stesso venga effettuato in conformità al Regolamento UE (a titolo semplificativo predisporre un Regolamento relativo all’uso della posta elettronica e di internet; un regolamento sulla videosorveglianza; predisporre misure di sicurezza adeguate per tutelare i dati raccolti, da valutarsi caso per caso sia da un punto di vista tecnico che organizzativo).

Successivamente sarà necessario intervenire mediante:

1) Aggiornamento delle informative privacy

Intervento mirato ad adeguare l’informativa alle novità introdotte dal Regolamento UE (indicando la base giuridica e la durata del trattamento, l’eventuale trasferimento dei dati in paesi terzi, i diritti spettanti al soggetto interessato, l’eventuale nomina del RPD-DPO ove esistente, i dati di contatto del titolare di trattamento).

2) Predisposizione dei contratti e/o delle lettera da inserire nel mansionario da far sottoscrivere ai responsabili ed incaricati del trattamento.

Ai sensi del Regolamento UE n. 679/16 sono state individuate le seguenti figure deputate al trattamento dei dati personali:

Titolare del trattamento (art. 13): responsabile ex art. 24 del Regolamento UE, deve riesaminare ed aggiornare le misure di sicurezza di protezione dei dati personali;

Responsabile del Trattamento (art. 28): soggetto che effettivamente tratta i dati personali  (es. medico, società buste paga, commercialista, avvocato etc.), da nominarsi mediante contratto o atto giuridico vincolante volto a disciplinare tassativamente le materie riportate nel paragrafo 3 art. 28;

Incaricati del trattamento: designato con lettera ad hoc nel mansionario o in altro modo (così che non ci siano persone che trattano dati senza sapere come fare).

3) Predisposizione del Registro delle attività di trattamento.

Pur essendo obbligatorio solo con riferimento a dimensioni aziendali che impieghino più di 250 dipendenti, il Garante della privacy ne raccomanda l’adozione in quanto costituisce il diario di bordo dell’azienda. Tenuto in forma scritta o elettronica (da esibirsi in caso di necessità), contiene al suo interno i dati di contatto del titolare, le finalità del trattamento, i dati personali da trattare, i destinatari a cui sono consegnati, i termini di cancellazione e la descrizione delle misure di sicurezza predisposte.

4) Eventuale nomina del Responsabile protezione dati 

Pur essendo obbligatorio solo nell’ipotesi in cui si proceda al monitoraggio di interessi su larga scala (es. azienda programmazione hardware o software – cartelle cliniche ospedale – investigatore privato), se ne consiglia la nomina al fine di facilitare l’attuazione del regolamento da parte del titolare/responsabile. Non è un caso che tra i compiti del RPD rientrino la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35.

5) Predisposizione di una policy aziendale 

Al fine di disciplinare i diritti degli interessati (titolari dei dati personali), le procedure di riscontro ed i diritti degli interessati nonché disciplinare le misure di sicurezza del settore informatico (volto a disciplinare anche l’uso di internet, della posta elettronica e dell’eventuale e-commerce) ed organizzativo.

6) Incontro formativo in azienda

Sensibilizzazione e formazione sulla tematica privacy, illustrazione dei principali cambiamenti e incombenti che si rendono necessari.

7) Gestione del profilo sanzionatorio

Il Regolamento Privacy 679/2016 introduce uno strutturato sistema sanzionatorio a garanzia dell’effettività della normativa a tutela dei dati personali.

Tale apparato sanzionatorio dovrebbe idealmente ispirarsi, ai sensi dell’art. 83 del Regolamento, a criteri di effettività, proporzionalità e deterrenza.

La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo del singolo stato (in Italia si tratta dell’Autorità Garante per la protezione dei dati personali), che deve adottare un approccio caso per caso e compiere una valutazione sulla base di determinati parametri guida, ed in particolare: natura, gravità e durata della violazione, carattere doloso o colposo, le misure adottate per contenere il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento, il grado di cooperazione di questo soggetto con l’autorità di controllo, ed eventuali altri fattori contingenti.

Sono previste sia sanzioni amministrative pecuniarie, sia ulteriori sanzioni di natura correttiva, le prime aventi natura integrativa o sostitutiva di queste ultime.

SANZIONI DI CARATTERE ECONOMICO-PECUNIARIO

  • Inosservanza degli obblighi del titolare e del responsabile del trattamento; inosservanza degli obblighi dell’organismo di certificazione; inosservanza degli obblighi dell’organismo di controllo:
    ‘multa’ fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.
  • Inosservanza dei principi base del trattamento; inosservanza dei diritti degli interessati; inosservanza delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali; inosservanza di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo:
    fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
  • Inosservanza di un ordine correttivo dell’autorità di controllo:
    fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.

SANZIONI CORRETTIVE:

Le sanzioni correttive rientrano nell’ambito di discrezionalità tecnica dell’Autorità di controllo. Le stesse possono consistere nel:

  • Rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono violare il GDPR;
  • Rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR;
  • Ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
  • Ingiungere al titolare o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, anche specificando in che modo ed entro quale termine;
  • Ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
  • Imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  • Ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
  • Revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
  • Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale;

Occorre inoltre considerare che ulteriori sanzioni, anche di natura penale, potrebbero essere previste dai singoli Stati membri in sede di recepimento della normativa europea nel diritto interno, ciò ai sensi dell’art.84 del Regolamento Privacy, che attribuisce agli Stati tale potere e facoltà.

 

A cura dell'avv. Andrea Noseda