di Merati Andrea – Consulente sistemi di gestione aziendale 

 

Il Regolamento europeo (GDPR n. 679/2016) già di suo ha qualche difetto: i temi sono affrontati in articoli diversi e approfonditi nei considerando, rendendo scarsamente omogenea l’interpretazione di principi e indicazioni; inoltre la traduzione in italiano è densa di errori, alcuni trascurabili, altri no (su tutti la scelta discutibile – anche l’Accademia della Crusca l’ha accettato – di tradurre il termine audit in tre modi diversi, dei quali due sicuramente sbagliati dal punto di vista tecnico).

Parlamento e Governo aggiungono confusione: il primo ha dato tempo al secondo di emettere il Decreto di adeguamento fino al 20 maggio 2018, immaginando che le organizzazioni possano leggerlo, comprenderlo e applicarlo in quattro giorni; il secondo emette una bozza di decreto il 21 marzo 2018 che, contrariamente a ciò che il Parlamento ha richiesto, abroga il Codice Privacy n. 196/2003, a favore di una soluzione che non sembra risolvere la maggior parte degli interrogativi e qualcuno vede come incostituzionale.

Per completare il quadro, il Garante, che avrebbe dovuto emettere le linee guida inerenti i diritti del Titolare del trattamento dei dati entro febbraio 2018, ancora non le ha emanate.

Tutto ciò per ribadire che alcune parti mancano ma questo non può essere il presupposto del non fare o l’alibi per procrastinare, perché il 25 maggio, nonostante tutto, il GDPR entrerà in vigore e la maggior parte degli adempimenti è possibile.

Titolare o Responsabile?

Molte volte mi è stata posta questa domanda dai Consulenti del Lavoro (ma anche da Commercialisti, Avvocati e professionisti che offrono servizi alle imprese) e partirei col chiarire che il GDPR, con l’art. 28, insieme al suo bel considerando n. 81, indica che il Responsabile è figura distinta e diversa dal Titolare, nonché esterna e separata dall’organizzazione del Titolare, infatti al punto 3 si parla esplicitamente di contratto che disciplina i rapporti tra Titolare e Responsabile.

Quindi se un’azienda affida dati personali a un Consulente, questi assume il ruolo di Responsabile del trattamento dei dati (attenzione NON di Responsabile della Protezione dei Dati, traduzione di Data Protection Officer – DPO – che è tutt’altra posizione).

Contemporaneamente il Consulente sarà Titolare del trattamento per i dati dei propri dipendenti.

Designazioni e nomine

Ricordiamo che:

• Il titolare – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art 4, n. 7).
• Il responsabile – È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art 4, n. 8).
• L’autorizzato – È la persona fisica a cui è permesso di compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Per la realizzazione dell’accountability (cioè essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24) è bene che per ciascun ruolo ci sia una designazione o una nomina formale.

Cosa deve fare il Responsabile del trattamento

Riprendendo in parte l’articolo pubblicato sul numero precedente di questa rivista, con modalità di valutazione del rischio e accountability il Responsabile dovrà necessariamente:

1. tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);
2. formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);
3. adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);
4. notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (artt. 33 e 34);adeguare tutti i documenti (informative, consensi e nomine) al Regolamento;
5. nominare un DPO (solo se necessario);
6. effettuare la Valutazione d’impatto sulla protezione dei dati e la Consultazione preventiva (artt. 35 e 36 – solo se necessarie).

Inoltre, il contratto tra Titolare e Responsabile è regolato dal paragrafo 3 dell’art. 28, qui si richiede che siano garantite le misure sopra descritte, nonché l’obbligo di assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui dagli artt. da 32 a 36.

Contratti e mandati

Il Titolare che si avvale di Responsabili del trattamento, per compiere un’adeguata valutazione del rischio e adempiere efficacemente al Regolamento europeo deve impartire le istruzioni che il Responsabile dovrà seguire, ma anche essere a conoscenza delle modalità che, concretamente, questi adotterà, nonché delle misure che implementerà per garantire che il trattamento dei dati affidatigli dal Titolare abbia le caratteristiche richieste dal GDPR.

In pratica Il Consulente dovrà ricevere istruzioni dall’azienda cliente e condividere con la stessa le sue modalità di attuazione del Regolamento europeo, tramite un contratto ad hoc oppure con indicazioni inserite nel contratto, incarico o mandato professionale di consulenza.

Per questa problematica non esistono indicazioni determinanti, e molto è legato alle modalità di attuazione del Regolamento da parte di aziende e Consulenti; sicuramente ogni professionista potrà determinare le dinamiche sottostanti a seconda del grado di influenza che ha sui propri clienti, perché possa rendere il più possibile omogenea la modalità di trattamento per tutti i clienti, magari con poche eccezioni per le aziende con esigenze particolari per tipologia di attività o per appartenenza a grandi gruppi o a multinazionali (soprattutto se avessero emanato un Codice di condotta – art. 40 – o un meccanismo di certificazione – art. 42).

Rimane da dirimere il dubbio se il Consulente sia tenuto a far firmare un nuovo contratto o mandato a tutti i suoi clienti con i quali ha un rapporto già in essere e a rivedere i contratti per i servizi di cui fruisce (es. Software in cloud). Qui la risposta dipende da quanto i contratti pregressi siano in grado di soddisfare le richieste del Regolamento europeo: nel caso in cui mandati e contratti siano adeguati, sarà sufficiente inviare ai clienti e ricevere dai fornitori di servizi, l’informativa dettagliata sulle modalità di trattamento dei dati redatta in ottemperanza al GDPR.

 

Preleva l’articolo completo in pdf 

di Andrea Merati – Consulente sistemi di gestione aziendali

 

Il 25 maggio 2018 entrerà in vigore il nuovo regolamento europeo generale sulla protezione dei dati, denominato GDPR: General Data Protection Regulation (2016/679). Sarà applicato a tutti i tipi di organizzazione che offra servizi o prodotti a persone che si trovino nel territorio dell’Unione Europea.

Non ci saranno proroghe, la scadenza infatti è tassativa, perché trattandosi di un Regolamento dell’Unione Europea, il nuovo testo e le sanzioni da esso previste, saranno direttamente applicabili dal 25 maggio 2018 senza alcuna necessità di recepimento, o altro atto formale, da parte dello Stato italiano.

Questa normativa obbliga le organizzazioni ad assumersi maggiori responsabilità rispetto al trattamento dei dati personali raccolti e conservati per qualsiasi finalità.

Mettendo da parte l’atteggiamento destabilizzante e terroristico che piace molto all’uomo moderno e connesso, volto alla lettura delle conseguenze, prima di preoccuparsi dei presupposti (sanzioni sino al 4% del fatturato globale, ispezioni della Guardia di Finanza…), il cambiamento per gli studi professionali può essere costoso, sia in termini di tempo speso per le attività di adeguamento, sia per l’eventuale esborso economico in caso di affidamento delle attività a risorse esterne.

Per questo motivo il presente intervento, e quelli che seguiranno, saranno volti alla massima semplificazione, nonché alla raccolta di buone prassi e indicazioni che raccoglieremo sia dai professionisti della materia, sia dalle analisi che scaturiranno durante i percorsi di formazione che sono in svolgimento presso ANCL Milano: già il prossimo mese proporremo domande e risposte proprio a partire dai quesiti nati durante gli incontri di febbraio e marzo.

Nostro scopo primario è rendere autonomi gli studi e semplificarne il processo di adeguamento. Passiamo quindi a esaminare principi giuridici e a presentare qualche considerazione.

Il dato personale

È qualunque informazione riguardante una persona fisica, identificata o identificabile tramite:

• nome e cognome;

• numero o codice di identificazione;

• dati relativi all’ubicazione;

• identificativo online;

• uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (GDPR Art. 4 n. 1).

Il dato personale può essere inserito in tre aree:

1. Dati comuni. Sono quelli che non afferiscono alle altre due tipologie, essenzialmente si tratta delle informazioni generiche di identificazione della persona (nome, cognome, indirizzo, numero di telefono, e-mail…)

2. Dati particolari. Rientrano in quest’area: i dati che rivelino l’origine etnica, l’orientamento politico, l’appartenenza sindacale, il credo religioso o filosofico; i dati genetici; i dati biometrici che permettano l’identificazione; i dati relativi alla salute o alla sessualità (GDPR Art. 9).

3. Dati relativi a condanne penali o reati (GDPR Art. 10).

Il trattamento dei dati personali

È qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (GDPR Art. 4 n. 2).

I ruoli principali coinvolti

Il titolare. È la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (GDPR ART 4 n. 7).

Il responsabile. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (GDPR ART 4 n. 8).

L’autorizzato. Le persone autorizzate a compiere operazioni di trattamento sotto l’autorità diretta del titolare o del responsabile.

Il DPO (Data Protection Officer). Il titolare del trattamento e il responsabile del trattamento designano un Responsabile della Protezione dei Dati (o RDP, traduzione italiana di DPO) ogniqualvolta (vedi fig. 1):

• il trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

• le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e a reati di cui all’art. 10.

Nuovi oneri e adempimenti per titolare e responsabile

Con modalità di valutazione del rischio e accountability (cioè mettere in atto – nonché riesaminare e aggiornare – adeguate misure tecniche e organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina – art. 24), sarà necessario:

1. Tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30);

2. Formare e istruire i soggetti autorizzati al trattamento dei dati (art. 29);

3. Adottare misure tecniche e organizzative appropriate a garantire un livello di sicurezza adeguato al rischio, tenendo conto di probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 32);

4. Notificare tempestivamente l’eventuale perdita o furto dei dati (Data Breach) all’Autorità garante e all’interessato (art. 33 e 34);

5. Adeguare tutti i documenti (informative, consensi e nomine) al Regolamento.

Conclusioni (per ora)

Per quanto riguarda i dati non personali non ci saranno sostanziali cambiamenti, il precedente D.lgs. n. 196/2003 rimarrà in vigore o, comunque, sarà armonizzato al Regolamento Europeo. Per i dati personali, invece, si prospetta un periodo di adeguamento che, per gli studi professionali, significherà principalmente tornare a identificare i processi e gli incarichi che riguardano:

1. Le attività di trattamento interne, per i propri dipendenti;

2. Le modalità e i ruoli che sottendono all’attività con i clienti, rispetto ai dati raccolti dalle aziende e trasferiti agli studi per adempimenti di legge o contrattuali.

In seguito sarà necessario:

• descrivere il processo di valutazione del rischio rispetto a tali trattamenti posti in essere;

• rivedere la propria documentazione informativa e di consenso;

• creare i registri dei trattamenti;

• nominare un DPO (solo se necessario – vedi fig. 1)

• formare i dipendenti autorizzati al trattamento;

• mantenere tutto aggiornato nel tempo (per l’art. 24 è necessario dimostrare una continua attività di valutazione e attuazione perché gli adempimenti siano dirimenti).

Nei prossimi interventi entreremo negli aspetti operativi che sottendono al GDPR, sia rispetto alla documentazione sia in ordine all’organizzazione che gli studi dovranno assumere per sottostare al Regolamento.

 

Preleva l’articolo completo in pdf