Privacy

Privacy 2018-09-24T16:02:46+00:00

PRIVACY

Il 10 agosto 2018 è uscito il Decreto Legislativo n. 101 che modifica il D.Lgs. 30/06/2003 n. 196, riguardante: Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla liberalizzazione di tali dati e che abroga la direttiva 95/46/CE.

GDPR

Dal 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea è entrato in vigore GDPR – General Data Protection Regulation, il Regolamento UE 2016/679 sul trattamento e la protezione dei dati personali.

Trattandosi di un Regolamento e non di una Direttiva, la normativa sarà applicabile senza dover attendere l’emanazione dei decreti legislativi nazionali di raccordo. Nell’attesa che questi vengano pubblicati completando così il quadro normativo a livello nazionale, ricordiamo che anche i professionisti hanno l’obbligo di uniformarsi al GDPR.

Senza alcuna pretesa di esaustività, qui di seguito si riepilogano gli adempimenti più immediati:

  • aggiornamento dell’informativa privacy del sito web e della modulistica consegnata ai committenti, fornitori, … (artt. 13 e ss.);
  • nomina del Responsabile della Protezione dei Dati (RPD) ove necessario: dal punto di vista soggettivo il singolo professionista non è tenuto a nominare un RPD, salvo che non tratti i “dati particolari” su larga scala rientrando nelle previsioni dell’art. 37, co. 1, lett. c) del GDPR: “Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (ex dati c.d. “sensibili” ora “dati particolari”) o di dati relativi a condanne penali e a reati di cui all’articolo 10”;
  • istituzione del registro delle attività in cui vanno descritti i trattamenti effettuati e le procedure per la sicurezza adottate. Anche in questo caso l’art. 30, co. 5 del GDPR chiarisce che “gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Per completezza di informazione si rende noto che il Garante della Privacy consiglia comunque l’istituzione e l’aggiornamento del Registro in quanto strumento assai utile per la diagnosi e valutazione dei dati trattati dall’organizzazione;
  • notifica entro 72 ore alle autorità in caso di violazione dei dati personali, predisponendo quanto necessario per le notifiche al Garante (art. 33 del GDPR);
  • verifica affinché:
  1. le modalità di gestione interna del trattamento dei dati siano in armonia con la nuova normativa, anche per quanto riguarda i ruoli e la formazione del personale in materia di privacy;
  2. si accerti che i sistemi informatici in uso rispettino i principi di protezione dei dati e in caso contrario provvedere all’adeguamento;
  3. siano formalizzati e/o rinnovati rapporti contrattuali con eventuali responsabili del trattamento dati (sia interni che esterni);
  4. siano previste nuove e specifiche autorizzazioni per i soggetti che trattano i dati;
  5. sia correttamente valutata la necessità di procedere con la Valutazione di Impatto Privacy (DPIA) ai sensi dell’art. 35 del GDPR.

DECRETO LEGISLATIVO 30/06/2003, n. 196 modificato dal D.lgs n. 101 del 10 agosto 2018