{"id":2120,"date":"2018-05-02T15:36:07","date_gmt":"2018-05-02T13:36:07","guid":{"rendered":"http:\/\/www.confagricoltura.org\/bologna\/?p=2120"},"modified":"2021-03-11T13:11:47","modified_gmt":"2021-03-11T12:11:47","slug":"aziende-e-privacy-nuove-regole-dal-25-05-2018","status":"publish","type":"post","link":"https:\/\/www.confagricoltura.org\/bologna\/aziende-e-privacy-nuove-regole-dal-25-05-2018\/","title":{"rendered":"Aziende e Privacy: nuove regole dal 25\/05\/2018."},"content":{"rendered":"

Aziende e Privacy: nuove regole dal 25\/05\/2018.<\/strong><\/p>\n

 <\/p>\n

Nuove regole europee per la privacy incombono sulle aziende, con un \u201cagile\u201d volumetto (di sole 187 pagine) il Garante per la protezione dei dati personali (pubblicato sul sito istituzionale \u2013 ultimo aggiornamento del 9 aprile 2018) illustra al volgo il Regolamento Generale sulla Protezione dei dati applicativo del Regolamento UE 2016\/679 adottato dal Parlamento Europeo e dal Consiglio del 27 aprile 2016. Come recita l\u2019art. 99 del Regolamento UE, il testo entra in vigora il 25 maggio 2018 ed \u00e8 \u201cobbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri\u201d. Dopo 73 pagine di \u201cconsiderando\u201d, il testo illustra i 99 articoli del Regolamento, che supera e annulla la precedente direttiva n. 95\/46\/CEE del 24 ottobre 1995, attualmente vigente in Italia, attraverso il D.lgs. n. 196\/2003. Le nuove regole europee contemplano un mutamento di prospettiva: si passa da una previsione \u201cformale\u201d di adempimento secondo certi parametri documentali ad un principio \u201csostanziale\u201d incentrato sulla effettivit\u00e0 della tutela dei dati e dei soggetti interessati;. In pratica, non esistono pi\u00f9 parametri minimi da adottare per adempiere agli obblighi di riservatezza ma il titolare del trattamento dei dati deve definire gli interventi e gli strumenti atti ad ottemperare agli obblighi legali di prevenzione ed efficacia;: in pratica, l\u2019azienda deve attivarsi per la predisposizione di \u201cpolicies<\/em>\u201d<\/strong> concrete idonee a garantire la concreta attuazione dei princ\u00ecpi fissati dal Regolamento; trattasi, per gli eruditi anglofoni, del principio di<\/strong> accountability<\/em><\/strong>, \u00e8 quindi spostato l\u2019accento non pi\u00f9 sull\u2019adempimento formale ma sulla verifica della efficacia concreta dei comportamenti aziendali e della capacit\u00e0 di garantire i diritti previsti dal Regolamento, prevenendo abusi nel trattamento dei dati personali oggetti della tutela. La nuova norma si basa, quindi, sul rischio (\u201crisk based approach<\/em>\u201d) che responsabilizza i titolari dei trattamenti nei confronti di soggetti sottoposti; in tale contesto, le misure da adottare nell\u2019ambito dei vari adempimenti sulla Privacy sarano proporzionali ai rischi effettivamente individuati all\u2019interno della realt\u00e0 aziendale mediante \u201cun processo inteso a descrivere il trattamento, valutarne la necessit\u00e0 e la proporzionalit\u00e0, nonch\u00e9 a contribuire a gestire i rischi per i diritti e le libert\u00e0 delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli<\/em>\u201d. Il Regolamento si poggia poi su ulteriori principi, i c.d. data protection by design <\/em>e \u00a0by default<\/em>\u201d:<\/p>\n

Il primo si propone di tutelare il dato prima di procedere al trattamento prevedendo le garanzie indispensabili per tutelare i diritti degli interessati sulla base del contesto complessivo in cui il trattamento si inserisce e dei rischi per i diritti e le libert\u00e0 dei soggetti interessati; il secondo si pone l\u2019obiettivo di porre ai titolari del trattamento l\u2019adozione di misure tecniche ed organizzative idonee a garantire, con modalit\u00e0 predefinite, il trattamento dei dati personali, solo se necessari; in pratica, la quantit\u00e0 dei dati raccolti ovvero la durata della loro conservazione non deve andare oltre il minimo necessario per le finalit\u00e0 perseguite (<\/em>necessit\u00e0, pertinenza, adeguatezza e non eccedenza rispetto alle finalit\u00e0). Sulla base dell\u2019art. 13 della L. 25.10.2017, n. 163, il Governo \u00e8 delegato ad adottare, entro sei mesi dalla data di entrata in vigore della legge, decreti legislativi per l\u2019adeguamento della normativa nazionale alle disposizioni del REG. UE 2016\/679, analogamente\u00a0 il Garante per la protezione dei dati personali, in base all\u2019art. 1, c. 1020 ss., L. 205\/2017, ha predisposto una guida all\u2019applicazione delle nuove norme in materia di protezione dei dati personali contenente, tra l\u2019altro raccomandazioni specifiche e suggerimenti circa le azioni che possono essere intraprese immediatamente e fondate su disposizioni precise del Regolamento, che non necessitino di diversi interventi da parte del legislatore nazionale (http:\/\/www.garanteprivacy.it\/web\/guest\/home\/docweb\/docweb-display\/docweb\/8135449<\/a>).<\/p>\n

Vediamo i principali adempimenti previsti dalle nuove regole.<\/p>\n

A) Registro delle attivit\u00e0 di trattamento (art. 30 del Regolamento)<\/strong><\/b><\/p>\n

Il titolare del trattamento o il suo rappresentante hanno l\u2019obbligo di tenere un registro delle attivit\u00e0 di trattamento svolte sotto la propria responsabilit\u00e0. Tale registro contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e\/o del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalit\u00e0 del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; f) se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate; analogo registro dovr\u00e0 tenere ogni responsabile del trattamento. I registri sono tenuti in forma scritta, anche in formato elettronico; i registri sono a disposizione dell’autorit\u00e0 di controllo. Le norme sul registro non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libert\u00e0 dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari \u201csensibili\u201d (dati che rivelino l\u2019origine razziale, etnica, le opinioni politiche, religiose, filosofiche, appartenenza sindacale, dati medici, di salute, sessuali, ecc\u2026). Peraltro il Garante consiglia di adottare il registro prescindendo da qualunque limite poich\u00e9 la tenuta del registro dei trattamenti non costituisce un adempimento formale bens\u00ec parte integrante di un sistema di corretta gestione dei dati personali\u201d<\/em>; trattandosi quindi di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti e delle misure di sicurezza in essere all’interno di un’azienda ed indispensabile per la valutazione e l\u2019analisi del rischio e allo scopo di provare quanto si \u00e8 fatto \u201cab origine\u201d per la tutela della riservatezza.<\/p>\n

B) Misure di sicurezza (art. 32 Regolamento)<\/strong><\/p>\n

Il regolamento prevede per i titolari ed i responsabili del trattamento l\u2019onere di adottare misure per la sicurezza del trattamento e ci\u00f2 tenendo conto dello stato dell’arte e dei costi di attuazione, nonch\u00e9 della natura, dell’oggetto, del contesto e delle finalit\u00e0 del trattamento, come anche del rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacit\u00e0 di assicurare su base permanente la riservatezza, l’integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi e dei servizi di trattamento; c) la capacit\u00e0 di ripristinare tempestivamente la disponibilit\u00e0 e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. La sicurezza (che pu\u00f2 essere provata se si aderisce ad un codice di condotta o a un meccanismo di certificazione) deve garantire dai rischi di distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.<\/p>\n

Notifica delle violazioni di dati personali \u201cData Breach\u201d<\/strong><\/p>\n

A partire dal 25 maggio 2018, tutti i titolari hanno l\u2019obbligo di notificare, all\u2019autorit\u00e0 di controllo, le violazioni dei dati personali comunque entro 72 ore dalla conoscenza e comunque \u201csenza ingiustificato ritardo\u201d, in ogni caso, tutti i titolari del trattamento hanno l\u2019obbligo di documentare tutte le violazioni subite<\/p>\n

 <\/p>\n

C)<\/strong> Responsabile della protezione dei dati (art. 37 Regolamento)<\/strong><\/p>\n

Il titolare del trattamento e il responsabile del trattamento hanno l\u2019obbligo di designare sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento sia effettuato da un’autorit\u00e0 pubblica o da un organismo pubblico, eccettuate le autorit\u00e0 giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attivit\u00e0 principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e\/o finalit\u00e0, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure; c) le attivit\u00e0 principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (c.d. sensibili) o di dati relativi a condanne penali e a reati particolari. \u00a0Un gruppo imprenditoriale pu\u00f2 nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorit\u00e0 pubblica o un organismo pubblico, un unico responsabile della protezione dei dati pu\u00f2 essere designato per pi\u00f9 autorit\u00e0 pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Nei casi diversi dai citati, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto da fonti del diritto applicabili, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati pu\u00f2 agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento. \u00a0Il responsabile della protezione dei dati \u00e8 designato in funzione delle qualit\u00e0 professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacit\u00e0 di assolvere i compiti previsti. Il responsabile della protezione dei dati pu\u00f2 essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi. \u00a0Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorit\u00e0 di controllo.<\/p>\n

D)<\/strong> Diritti dei soggetti interessati<\/strong><\/p>\n

L\u2019art. 15 del Regolamento prevede il diritto di accesso ai dati personali da parte di qualunque soggetto per i dati che lo riguardano ed in corso di trattamento (finalit\u00e0 del trattamento, destinatari, periodo di conservazione).<\/p>\n

L\u2019art. 17 del regolamento prevede il diritto alla cancellazione (c.d. \u201call\u2019oblio\u201d)<\/p>\n

L\u2019art. 18 del Regolamento prevede il diritto alla \u201climitazione\u201d del trattamento mentre l\u2019art. 20 del Regolamento prevede la \u201cportabilit\u00e0\u201d dei dati in caso di trattamento effettuato con mezzi automatizzati.<\/p>\n

Il Regolamento prevede un rilevante apparato sanzionatorio:<\/p>\n

Sanzioni amministrative pecuniarie <\/em><\/strong><\/p>\n

L\u2019Autorit\u00e0 Garante pu\u00f2 applicare, in caso di violazione del Regolamento, sanzioni amministrative pecuniarie. Le sanzioni sono previste<\/p>\n