Servizi di privacy e protezione dati
Cosa sappiamo ad oggi del trattamento dei dati e della sua importanza?
Si è sentita molta teoria sul Regolamento EU 679/16 “GDPR” e su quanto sia impellente adeguarvisi.
Sin dalla entrata in vigore del GDPR, la OverEagles ha sviluppato il proprio approccio proattivo alla normativa, per un dinamico adeguamento del settore alle prescrizioni ivi contenute, e messo a disposizione delle aziende una risposta pratica al tema, affiancata dal racconto di case study.
Regolamento europeo 679/16 “GDPR”, chi concerne?
Il regolamento europeo in materia di privacy e protezione dati si applica a tutti coloro che trattano i dati fuori dal contesto meramente privato, siano anche tali dati limitati, ad esempio, ai soli indirizzi mail personali degli esponenti di società clienti, ai nominativi di consulenti esterni o di fornitori, ovvero alle informazioni necessarie a gestire le buste paga di dipendenti di una società terza alla quale si offre consulenza contabile.
Che cosa è cambiato dal D. lgs. 196/2003 c.d. “Codice Privacy”?
La normativa ha rivoluzionato l’approccio alla materia e rimesso in seno a coloro che trattano i dati – i c.d. titolari e responsabili del trattamento – l’analisi della propria realtà e la scelta dei mezzi per fronteggiare i rischi in tema di privacy e protezione dati a quest’ultima pertinenti.
Come essere in regola?
Al fine di essere conforme (c.d. “compliance”) al dettato del GDPR non è sufficiente adottare acriticamente una serie di misure standard ma occorre dimostrare la propria responsabilizzazione (c.d. “accountability”). A Tal fine, in estrema sintesi, è necessario saper dimostrare quale sia la ragione delle scelte compiute in tema di selezione degli adempimenti da realizzare e loro redazione a fronte del rischio rilevato (c.d. “risk based approach”), sapendo dare riscontro di tale percorso logico nelle misure effettivamente poste in essere e nel contenuto sostanziale della documentazione redatta. In aggiunta, il percorso seguito deve porre in luce il rispetto dei principi cardine della normativa europea ed evidenziare se si è effettivamente impostata una privacy “by design” e “by default”.
Perché affidarsi a OverEagles per essere accountable e compliant?
La consulenza amministrativo contabile offerta ci consente di avere una visione completa della Vostra realtà aziendale e semplifica il processo di analisi delle finalità e delle basi giuridiche relative al trattamento dati ivi effettuato, nonché dei rischi a questo pertinenti. In tale ottica, la predisposizione degli adempimenti ritenuti necessari diviene parte del percorso avviato al fine di rendere efficiente e solida la Vostra società. Il carattere della continuità offerto dal rapporto instaurato, inoltre, consente di tenere costantemente sotto controllo l’eventuale evoluzione del contesto dei trattamenti effettuati e di aggiornare le misure ed i documenti predisposti, anche in rapporto agli interventi normativi e giurisprudenziali di matrice europea ed italiana.
Come si deve procedere?
Il percorso passa per l’analisi preliminare degli ambiti del trattamento dati effettuato, al fine principale di comprenderne l’estensione. Questa è la fase più delicata, in quanto non è sempre comprensibile quali dati siano riferiti o riferibili a persone fisiche individuate o individuabili. Una volta accertato quale siano i trattamenti svolti, occorre ponderare quale sia il rischio a questi connesso e quali le misure per mitigarlo. Non solo, perché sia legittimo, ciascuno dei trattamenti deve essere fondato su una base giuridica ed una finalità e che rispetti i principi posti a fondamento della disciplina, quali la proporzionalità e la minimizzazione dei dati, la liceità, la correttezza e la trasparenza, l’integrità e la riservatezza. In ultimo, occorre individuare un periodo di conservazione consono al trattamento effettuato, non essendo lecito conservare i dati oltre il termine necessario, ad esempio in un’ottica utilitaristica futura ed eventuale.
Una volta raccolte tali informazioni è sufficiente adottare dei modelli standard di informative privacy?
La predisposizione delle misure necessarie ad essere compliant ed accountable comporta la redazione di documenti che aderiscano in concreto alla realtà aziendale e che rispecchino i risultati dell’attività di analisi precedentemente condotta. Oltre all’informativa privacy, ai contratti di nomina dei responsabili del trattamento ed all’eventuale raccolta dei consensi, infatti, è opportuno dimostrare, ad esempio, perché non si è ritenuto di predisporre il registro dei trattamenti o perché non si è nominato un responsabile della protezione dati (c.d. “DPO”). A seconda del rischio riscontrato, inoltre, potrebbe essere necessario condurre per ciascun trattamento un’analisi d’impatto privacy, dalla quale far emergere quali modifiche al trattamento e quali misure di sicurezza organizzative ed informatiche siano state adottate per far fronte alle criticità emerse.
È sufficiente chiedere il consenso a tutti i soggetti interessati dal trattamento da me effettuato o fare affidamento su quello già raccolto?
Nella nuova normativa il consenso ha perso la propria centralità, divenendo soltanto una delle basi giuridiche su cui fondare un trattamento. La scelta di ricorrervi dovrebbe essere ponderata attentamente dal titolare, in quanto il consenso è sempre revocabile dal soggetto che lo ha prestato. L’individuazione della base giuridica è un processo delicato e centrale per coloro che effettuano il trattamento e passa per scelte di liceità ed opportunità. A ciascuna di tali basi giuridiche, infatti, corrispondono limiti o vantaggi non sempre agilmente individuabili.
Prima del GDPR eravamo in linea con la normativa privacy, ora devo rivoluzionare nuovamente la realtà aziendale?
Per quanto sia cogente e rappresenti un’occasione di restauro della propria realtà e delle criticità a questa connesse, il rispetto e l’applicazione della normativa non necessariamente implica cambiamenti radicali. Qualora siano ancora valide, pertanto, alcune delle misure organizzative e di sicurezza già presenti potrebbero essere mantenute o aggiornate. Lo scopo del regolamento, infatti, non è solo quello di tutelare il trattamento dati ma anche di consentire alle aziende del mercato europeo di essere efficienti a livello locale o globale, internamente ed esternamente, senza dover passare per verifiche preventive delle autorità garanti ma essendo pronti a dimostrare la propria accountability e compliance qualora si ricevano controlli dell’Autorità Garante.
Il rispetto della normativa è, dunque, indirizzato esclusivamente ad evitare controlli e sanzioni?
I rischi di un controllo sono effettivi?
Trascorsi gli otto mesi nei quali il Garante avrebbe tenuto conto della fase di entrata in vigore del regolamento, il rispetto delle prescrizioni individuate da quest’ultimo e dalla normativa di adeguamento italiana (D. lgs. 101/2018) è di primaria importanza al fine di evitare l’imposizione di rilevanti misure correttive (ad esempio prescrizioni di sicurezza nei luoghi del trattamento, fisiche o informatiche, nomina di un DPO o limitazione dei dati cui i singoli dipendenti possono avere accesso), sanzionatorie (fino al 2/4 % annuo e 10/20 milioni di euro) o interdittive (cancellazione dati o interruzione del trattamento).
L’azione del Garante si concentra su alcune aree prioritaria selezionate semestralmente ma non è condotta esclusivamente d’ufficio, a tappeto in determinate aree o a campione, in quanto può derivare da istanze degli interessati, attuate mediante ricorsi, reclami o financo mere segnalazioni, oppure essere successiva ad una violazione o ad una perdita di dati (da segnalare entro 72 ore al Garante, preparandosi ad evidenziare tutte le misure predisposte per evitare tale eventualità), o ancora essere conseguente all’esercizio dei diritti dell’interessato cui titolare o responsabile non abbiano dato seguito.
Disclaimer
Nulla di ciò che é presente sul sito costituisce attività di consulenza legale. Non si può fare affidamento sulle informazioni contenute nel sito senza una previa e necessaria consulenza legale professionale.