Novità in materia di tutela dei dai personali (Privacy)

0

Oggetto: Novità in materia di tutela dei dati personali (Privacy) Prime considerazioni.

 

 

Con la presente Circolare lo Studio intende porre in evidenza alcune novità in tema di Privacy, a seguito delle Nuove linee guida emanate dal Garante della privacy in tale materia.

 

 

PRIVACY: MISURE MINIME DI SICUREZZA

Si ricorda che, ai sensi del D.Lgs n. 196/2003, Testo Unico in materia di privacy, tutti coloro che trattano dati personali devono adottare delle misure minime di sicurezza al fine di limitare i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

La normativa non interessa tutti coloro che elaborano dati finalizzati ad uso esclusivamente personale.

 

 

APPLICAZIONE UNIFORME DEL NUOVO REGOLAMENTO PRIVACY

Il Garante per la protezione dei dati personali è tornato nuovamente sul Regolamento (UE) del Parlamento europeo e del Consiglio 27 aprile 2016 n. 679, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.

Sul punto il Garante della privacy aveva fornito alcuni chiarimenti in merito alle modalità di designazione del Responsabile della Protezione dei Dati (RPD), che è una delle principali novità del Regolamento sopra richiamato.

L’applicazione del nuovo Regolamento è stata posticipata, al prossimo 25 maggio 2018 (rispetto alla sua originaria entrata in vigore del 24 maggio 2016), ed il Garante ha reso nota l’adozione in via definitiva da parte delle Autorità europee di protezione dati europee di alcuni provvedimenti che chiariscono le disposizioni contenute nel citato Regolamento n. 679/2016, al fine di garantire un’attuazione di detto Regolamento in maniera corretta e uniforme in tutti i Paesi dell’Unione europea.

Si tratta, più nello specifico, delle Linee guida sulla Valutazione di impatto sulla protezione dei dati, spettante al Titolare del trattamento qualora la tipologia dei trattamenti presenti rischi elevati per i diritti e le libertà delle persone. Il Titolare del trattamento dei dati personali, nello svolgere tale compito, si dovrà consultare e coordinare con la nuova figura del Responsabile della protezione dei dati (RPD), qualora sia designato dal Titolare stesso.

Quanto al contenuto di detto documento (Valutazione d’impatto dei rischi di protezione dei dati), l’art. 35, comma 7 citato richiede espressamente una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, oltre che una descrizione delle misure per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Il legislatore lascia comunque libero spazio alla metodologia per redigere il nuovo Documento di Valutazione d’Impatto. Le informative per i clienti e fornitori andranno rifatte in modo semplice, senza citare leggi e prevedendo al loro interno i nuovi diritti dell’interessato, tra i quali: il diritto all’oblìo e il diritto alla portabilità dei dati. Il consenso dovrà quindi essere dato in modo inequivocabile.

Secondo quanto disposto dall’art. 35 del Regolamento i soggetti interessati dalle nuove disposizioni sono tutte le aziende, pubbliche o private, e i liberi professionisti, che trattano:

  • dati sensibili (ad esempio Studi di commercialisti, Consulenti del lavoro, Studi medici, Società di informatica, etc.);
  • dati penali (ad esempio Studi legali, Società di consulenza, etc.);
  • dati di minori (ad esempio Scuole, Asili, Istituti, Comunità, etc).

 

 

RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI – NOMINA SENZA OBBLIGO D’ISCRIZIONE AD UN ALBO

Il Garante della privacy ha fornito alcuni chiarimenti sulle modalità di designazione del Responsabile della protezione dei dati (RPD). L’obbligo di designazione del RPD interessa:

– l’autorità pubblica o l’organismo pubblico, salvo il trattamento dei dati sia effettuato dalle autorità giurisdizionali nell’esercizio delle funzioni giurisdizionali;

– tutti i soggetti la cui attività principale consiste in trattamenti di dati che, per la loro natura, ambito di applicazione e/o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

– tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali, quali dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (artt. 9 e 10 del Regolamento).

Il successivo comma 2 riconosce la possibilità per un gruppo di imprese o soggetti pubblici di nominare un unico RPD. Rimane fermo che nelle ipotesi in cui non è obbligatoria la sua designazione, è comunque possibile una nomina su base volontaria.

Inoltre, l’art. 37, commi 1, 5 e 6 del Regolamento n. 679/2016 si limita a stabilire la designazione del RPD da parte del Titolare del trattamento e del Responsabile del trattamento in funzione delle qualità professionali (conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati) e della capacità di assolvere i propri compiti (art. 39 del Regolamento, ad esempio, fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati), potendosi trattare anche di un dipendente del Titolare del trattamento o del Responsabile del trattamento o ricorrere a un contratto di servizi con soggetto esterno.

Premesso il quadro normativo sopra illustrato, il Garante della privacy ha precisato che, in generale, ai fini della nomina di tale soggetto, occorre verificare la presenza di competenze ed esperienze specifiche anche rispetto alle norme e alle procedure amministrative caratterizzanti il settore di riferimento. Inoltre, la valutazione andrà fatta sull’adeguatezza delle qualità professionali rispetto alla complessità del compito. Potrebbe, quindi, essere opportuna la documentazione delle esperienze fatte, della partecipazione a master e corsi di studio/professionali (anche con riferimento al livello raggiunto).

Il Garante della privacy aggiunge poi che non sono necessarie attestazioni formali sul possesso delle competenze professionali o l’iscrizione ad appositi albi professionali, dovendo la scelta avvenire sulla base di una valutazione autonoma circa i requisiti indispensabili per lo svolgimento della funzione di RPD, non prevedendo la normativa attuale nulla in merito.

 

 

PROTEZIONE DEI DATI PERSONALI

Si sottolinea che il Regolamento 27 aprile 2016 n. 679 è relativo alla protezione dei dati delle persone fisiche sotto i due profili del Trattamento dei dati personali e della Libera circolazione di tali dati.

Come detto, l’applicazione del Regolamento – che non necessita di recepimento – è stata posticipata al prossimo 25 maggio 2018, per consentire il necessario adeguamento dell’attuale quadro giuridico nazionale alle regole comunitarie e determinerà nel nostro ordinamento una profonda revisione del Codice della protezione dei dati personali di cui al DLgs. 196/2003.

Quanto all’ambito applicativo materiale, vengono in considerazione il trattamento interamente o parzialmente automatizzato di dati personali e il trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Vengono esclusi i trattamenti di dati personali effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione, i trattamenti effettuati nell’esercizio di attività rientranti nella politica estera e di sicurezza comune e i trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, comprese la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Non applicandosi il Regolamento al trattamento di dati personali effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico, si precisa che nelle attività a carattere personale o domestico potrebbero essere ricompresi la corrispondenza e gli indirizzari, l’uso dei social network e attività on-line similari.

 

Recent Posts
Contattaci

Nel caso vogliate essere ricontatti per un appuntamento o approfondire le nostre competenze, compilate il form vi ricontatteremo al più presto!

Not readable? Change text. captcha txt
Registro CONI ASD e Società Sportive DilettantisticheUncategorized
Novità in materia di detrazione IVA – Ulteriori chiarimentiUncategorized