Dalla rubrica “parola all’avvocato” di BergamoSera. La dr.ssa Arianna Gualandris – referente della Commissione di Diritto e Nuove Tecnologie di Aiga Bergamo spiega le novità introdotte dal Regolamento 679/2016, pienamente efficace dal 25 maggio 2018, obbligatorio per tutti i soggetti che trattano dati di persone fisiche.
Dottoressa, ci riassumerebbe il nuovo regolamento in estrema sintesi?
Lo riassumerei in tre concetti chiave: responsabilità – informazione e formazione – prevenzione.
Qual è l’ambito di applicazione?
Il regolamento si rivolge a tutti i soggetti giuridici e professionisti di qualunque dimensione che, per il tipo di attività svolta, trattano dati personali di persone fisiche e si riferisce a tutti i tipi di trattamento: interamente automatizzato, parzialmente automatizzato e non automatizzato. Gli obblighi del regolamento tuttavia sono rivolti solo a soggetti economici quali imprese e società (di qualunque dimensione) e professionisti che trattato dati personali di persone fisiche. Sono esclusi coloro che trattano solo dati di persone giuridiche e le persone fisiche che trattano dati personali per l’esercizio di attività a carattere esclusivamente personale o domestico.
Che cosa si intende per trattamento dei dati? In altri termini, come capire se si sta trattando un dato personale?
Il trattamento dei dati consiste in una qualsiasi attività di raccolta, registrazione, organizzazione, conservazione, consultazione e modificazione di dati che riguardano l’interessato. E ancora, la selezione, l’estrazione, il raffronto, l’utilizzo, il blocco, la comunicazione e diffusione nonché la cancellazione del dato.
Ha parlato di dati e di interessati. Può spiegare meglio questi concetti?
L’interessato è il soggetto a cui si riferisce il dato trattato. Il dato può essere un dato personale come nome, cognome, codice fiscale, nickname, email, numero di telefono, indirizzo oppure dato sensibile, ossia il dato idoneo a rivelare l’origine razziale ed etnica, oppure la convinzione religiosa, le opinioni politiche, lo stato di salute e la vita sessuale. Si parla infine di dato giudiziario che si riferisce sostanzialmente al dato penale e quindi al casellario giudiziale. A onor del vero, il regolamento 2016/679 ha abbandonato la richiamata distinzione tra le diverse tipologie di dato, ma è sicuramente ancora utile al fine di comprendere la portato del dato e quindi la potenziale pericolosità di un trattamento non legittimo o non in sicurezza
Quindi, in sostanza, chi tratta dati personali nel senso previsto dal regolamento?
In linea teorica tutte le aziende: anche coloro che realizzano attività B2B trattano i dati personali dei propri dipendenti e quindi sono anch’essi tenuti agli obblighi previsti dal regolamento. Ovviamente il tipo di attività svolta, il bacino di utenza, la tipologia di dato trattato e la presenza o meno di un sistema di trattamento e gestione del dato automatizzato incide sulle misure di trattamento e sulla valutazione d’impatto.
Ci faccia un esempio concreto?
Una piccola azienda con cinque dipendenti che si interfaccia con altre persone giuridiche, di qualunque dimensioni esse siano, con una persona addetta all’amministrazione che utilizza un archivio analogico avrà un impatto di rischio sul trattamento del dato decisamente inferiore rispetto ad una società che, indipendentemente dal numero di dipendenti, ha una pagina internet che presenta un form di richiesta informazioni, oppure un e-commerce, o ancora che usa sistemi di archiviazione digitali in cloud. Ma è altrettanto vero che anche la piccola società di cui al primo esempio avrà quasi certamente un gestionale per monitorare gli ingressi dei dipendenti, oppure un gestionale per generare le buste paga o un sistema di videosorveglianza. Anche in questi casi il trattamento del dato deve essere regolamentato, i soggetti interessati, previamente informati, devono avere prestato il proprio consenso al trattamento e il rischio legato alla sicurezza del dato deve essere mappato.
Quali sono le figure soggettive coinvolte nel trattamento?
Nell’ambito della compagine aziendale possiamo individuare diversi soggetti coinvolti: il titolare del trattamento, il responsabile del trattamento, l’incaricato al trattamento e il Dpo (Data protection officer), responsabile della protezione dei dati.
Ma quali sono gli obblighi posti dal regolamento?
L’azienda che tratta i dati deve dotarsi di un registro dei trattamenti e di una organizzazione aziendale interna che sia in grado di individuare quali soggetti trattano i dati, quali dati ciascun soggetto può trattare e che possa garantire la sicurezza dei dati trattati. Infine, il titolare deve dotarsi di una informativa all’interessato chiara, semplice e sopratutto scritta nonché l’esercizio di tutti i diritti e le garanzie riconosciute all’interessato.
Di quali diritti stai parlando?
L’interessato deve essere informato rispetto al tipo di trattamento, alle finalità, alle modalità di trattamento, ad eventuali trasferimenti verso non solo paesi terzi, ma anche terzi soggetti. Per esempio, al lavoratore dovrà essere fornita una informativa rispetto al trattamento dei dati da parte del datore di lavoro nella quale dovrà essere indicata la durata del trattamento (termini di legge) e la finalità (elaborazione buste paga o adempimenti di legge). Molto spesso tali funzioni sono svolte dal commercialista, il quale quindi assumerà la qualifica di responsabile esterno. Tutti questi dati dovranno essere trattati dal datore di lavoro in modo da garantire al lavoratore il diritto alla portabilità, il diritto all‘ oblio, alla limitazione del trattamento, alla portabilità dei dati.
Arianna Gualandris
Chi è il Dpo e la sua nomina è obbligatoria?
Il Dpo è un soggetto che può essere interno o esterno all’azienda e ha la funzione di verificare in piena autonomia che il trattamento dei dati avvenga in modo legittimo, controllare che il sistema di sicurezza sia idoneo e adatto al tipo di trattamento. insomma deve verificare che l’azienda sia compliance al regolamento. La sua nomina è però obbligatoria solo in casi particolari.
Prima hai accennato alla puntuale individuazione all’interno dell’azienda di soggetti responsabili o incaricati. Perché questo è importante?
Individuare quali soggetti trattano dati, perché e come devono farlo è importante per due ordini di motivi. Da un lato, il titolare / datore di lavoro in questo modo può delegare il controllo e la gestione del dato, dall’altro rende più semplice individuare il flusso dei dati ed eventualmente intercettarall’occorrenza.
È importante che l’azienda si doti di un registro dei trattamenti e di sistemi di sicurezza idonei?
È fondamentale per garantire l’efficienza all’interno dell’azienda. Dotarsi di un sistema di sicurezza idoneo per il tipo di dato trattato è invece importante a livello di responsabilità. Nell’ipotesi di perdita dei dati, l’essersi dotato di un sistema idoneo è motivo di esclusione della responsabilità.
A chi possono rivolgersi le aziende per ottemperare agli obblighi di legge?
Il consiglio è di rivolgersi sempre ad un esperto legale in materia di trattamento dei dati e ad un informatico. Si tratta infatti di una consulenza che deve realizzarsi a sei mani, dove due mani sono quelle di un legale che possa mappare l’azienda ed individuare le figure apicali e l’organigramma privacy, interpretando il regolamento in modo intelligente e calibrato sulla base delle effettive esigenze dell’azienda, un informatico che possa aiutare l’azienda a dotarsi di sistemi gestionali e di sicurezza idonei al tipo di trattamento realizzato. La terza coppia di mani è quella dell’azienda: l’adeguamento alla nuova normativa non deve stravolgere le modalità operative dell’azienda, ma formalizzare processi che di fatto sono già attuati.
Il regolamento è già stato promulgato ma entrerà in vigore dal 25 maggio. Cosa significa?
Significa che dal 25 maggio verranno abrogate le disposizioni del codice della privacy non compatibili; i pareri resi dal Garante rimangono validi e le informative già raccolte che rispondo ai nuovi criteri restano valide.
Quali sono le sanzioni?
Le sanzioni sono molto importanti: gli articoli 83 e seguenti del regolamento prevedono sanzioni amministrative pecuniarie fino a 10.000.000€ /20.000.000 o 2% o 4% del fatturato mondiale annuo. Sono cifre che certamente spaventano ma attendiamo specifiche del Garante.
Perché un’azienda deve dotarsi di un sistema di due diligence nel trattamento dei dati, a prescindere delle sanzioni?
Le nuove regole in materia di trattamento dei dati deve essere vissuta come occasione per ottimizzare e rendere ancora più efficiente l’organizzazione aziendale. Per le piccole aziende in particolare l’adeguamento rappresenta una buona opportunità di minimizzazione dei costi: capire quale dato è necessario raccogliere, per quanto tempo e come deve essere conservato significa, specularmente, capire quali dati sono superflui e quali possono essere distrutti, con conseguente risparmio di costi di archiviazione e di risorse del personale.
