Il 19 settembre del 2018 è entrato in vigore il D.Lgs. 101/2018, che ha novellato il D.Lgs. 196/2003 (cd. Codice Privacy italiano) adeguando la normativa nazionale alle disposizioni del Reg. UE 2016/679.

L’art. 22 punto 13 del D.Lgs. 101/2018 precisa come il Garante per la protezione dei dati personali per i primi otto mesi dall’entrata in vigore di tale Decreto debba tenere conto della fase di prima applicazione del Reg. UE 2016/679 per l’irrogazione delle sanzioni amministrative.

Il 20 maggio del 2019 cessa questo periodo transitorio di indulgenza con la conseguenza che troveranno piena attuazione le sanzioni di cui al Regolamento europeo sulla protezione dei dati personali per tutti coloro che a quella data non si saranno ancora adeguati.

Adempimenti richiesti per l’adeguamento al GDPR

Molteplici sono gli adempimenti richiesti a liberi professionisti, società private o pubbliche, enti, organismi ed associazioni per potersi uniformare alle prescrizioni impartite dal Reg. UE 2016/679.

Ogni Titolare deve innanzitutto rivedere la propria realtà aziendale al fine di valutare la correttezza e la liceità del trattamento dei dati personali raccolti. La sicurezza, l’integrità e la riservatezza dei dati personali va garantita mediante l’adozione di adeguate misure di sicurezza tecniche ed organizzative.

Occorre procedere quindi ad una mappatura del flusso di dati personali, la cui sicurezza va predisposta fin dalla fase di progettazione del processo aziendale.

Di seguito vengono brevemente riepilogati gli obblighi gravanti su ciascun Titolare.

• Informative: vanno riviste le informative e, se necessario, occorre procedere alla loro integrazione con l’indicazione di quegli elementi imprescindibili richiesti dalla nuova normativa comunitaria in tema di trattamento dei dati personali delle persone fisiche. Contestualmente bisogna provare di aver raccolto un consenso informato per il trattamento di quelle specifiche finalità per le quali è richiesta da parte dell’interessato una manifestazione di volontà positiva inequivocabile. Sul punto è importante che ogni consenso corrisponda una specifica finalità, non potendosi raccogliere un unitario consenso per trattamenti differenti (ad es. il consenso per l’invio di comunicazioni promozionali va distinto dal consenso ad attività di profilazione e marketing);
• Registro della attività di trattamento: l’art. 30 del Reg. UE 2016/679 impone a ogni Titolare la tenuta di un registro delle attività di trattamento che evidenzi le sue scelte organizzative per la tutela dei dati personali. Si tratta di un documento dinamico che deve recare la data dell’ultimo suo aggiornamento e che va redatto per ciascuna tipologia di trattamento di dati personali effettuato dal Titolare. Il registro, da redigersi in formato cartaceo o elettronico, può essere adottato in versione semplificata per le piccole e medie imprese. Il Garante Privacy italiano è intervenuto sull’argomento chiarendo che l’obbligo di predisporre il registro delle attività di trattamento riguarda anche gli esercizi commerciali, pubblici o artigiani ed i liberi professionisti con almeno un dipendente o che trattino dati sanitari dei clienti. In ogni caso l’Autorità di controllo consiglia vivamente a tutti i Titolari di dotarsi di un registro.
• Responsabili del trattamento: occorre inquadrare i soggetti a cui i dati personali raccolti potrebbero essere comunicati in forza della specifica funzione che svolgono per conto del Titolare. Una volta individuati i destinatari dei dati personali il Titolare deve procedere a redigere con i medesimi un contratto o altro atto giuridico al fine di regolare i loro reciproci rapporti in materia di trattamento dei dati personali. Gli stessi Responsabili del trattamento debbono garantire che i dati loro comunicati dal Titolare in forza dell’attività che svolgono per suo conto siano trattati nel rispetto dei principi di liceità e correttezza e, a tal fine, hanno l’obbligo di adottare adeguate misure di sicurezza e di dotarsi di un registro delle attività di trattamento;
• Autorizzati al trattamento: possono essere destinatari dei dati personali anche il personale dipendente e/o i collaboratori interni alla realtà aziendale del Titolare. Uno dei più diffusi pericoli di illecito trattamento dei dati personali dipende infatti dal fattore umano pertanto è necessario che il Titolare proceda a designare autorizzati al trattamento quelli tra i suoi dipendenti e collaboratori che abbiano accesso ai dati personali;
• Analisi dei rischi: il Titolare deve inquadrare preliminarmente i rischi relativi alla sua realtà aziendale e quali conseguenze possono derivarne ai dati personali. Tali rischi possono dipendere da agenti naturali (ad es. incendi, allagamenti, fulmini, ecc.) o dal fattore umano (ad es. furti, accessi non autorizzati, diffusione di virus e malware, ecc.). Una volta analizzato il livello di probabilità del rischio e la gravità che ne può derivare ai diritti degli interessati si valuta l’adeguatezza delle misure di sicurezza già adottate e la necessità di predisporne altre.

Ulteriori adempimenti

Gli adempimenti sopra elencati sono imprescindibili tuttavia il Reg. UE 2016/679 per alcune realtà impone l’osservanza di ulteriori obblighi.

• DPIA: qualora il trattamento presenti rischi elevati per i diritti e le libertà degli interessati, il Titolare del trattamento ha l’obbligo di procedere alla redazione della Valutazione di Impatto Aziendale, specificando quali accorgimenti in termini di sicurezza abbia adottato per mitigare il rischio di perdita, divulgazione illecita e di modifica dei dati personali.
• Privacy policy: i proprietari di siti web devono aggiornare le rispettive privacy policy per poterle adeguare alle disposizioni di cui al Reg. UE 2016/679 e contestualmente rivedere anche le modalità di raccolta dei consensi all’uso dei cookie.
• Videosorveglianza: ora è necessario rispettare non solo quanto disposto dal provvedimento dell’8 aprile del 2010 in materia di videosorveglianza ma anche dalla normativa comunitaria con riguardo al trattamento dei dati personali. Le immagini sono infatti considerate a tutti gli effetti dati personali e della loro rilevazione o registrazione occorre darne adeguata informativa ai diretti interessati.

Conclusioni

Si consiglia a tutti coloro che non avessero ancora provveduto all’adeguamento al Reg. UE 2016/679 di provvedervi tempestivamente, in considerazione della scadenza del termine di tolleranza per l’applicazione delle sanzioni amministrative.

Gli adempimenti sopra descritti non debbono essere considerati alla stregua di meri formalismi burocratici ma come occasione per ciascun Titolare di rivedere il proprio assetto aziendale e valutare se gli strumenti implementati, soprattutto a livello informatico, siano tali da garantire la sicurezza, l’integrità e la riservatezza dei dati personali, aventi un elevato valore economico.

La perdita o l’illecita divulgazione a terzi di un intero database contenente migliaia di dati personali di clienti e fornitori può infatti comportare per l’azienda coinvolta un grave danno alla propria immagine e reputazione rispetto ad altre società che operino sul suo stesso mercato e che, al contrario, abbiano recepito l’importanza della normativa di riferimento ed abbiano adeguato i propri sistemi al fine di minimizzare i rischi per i diritti degli interessati.