Privacy: Ecco come adeguarsi

Print Friendly, PDF & Email
(Last Updated On: 24 maggio 2018)

Quali gli adempimenti per il GDPR?

Cosa occorre per adeguarsi alla normativa della Privacy? Linee guida per mettersi in regola in vista del 25 maggio.

La domanda più gettonata delle ultime settimane ci spinge a fornire in questo post una serie di linee guida operative per mettersi in regola con la nuova normativa Privacy ed evitare costose sanzioni.

A partire dal 25 maggio entrerà in vigore il nuovo Regolamento in materia di privacy, che prevede una maggiore tutela dei dati sensibili degli utenti e per contro obbliga a nuovi adempimenti imprese e professionisti che utilizzano i dati personali. Vediamo insieme cosa bisogna fare per essere pronti all’entrata in vigore del Regolamento.

Tutti devono adeguarsi?

L’adeguamento alla nuova normativa è un adempimento obbligatorio a cui sono tenuti tutti i soggetti che per l’esercizio della loro attività utilizzano i dati personali dei propri clienti, dei dipendenti e di altri soggetti interessati.
Si tratta quindi di aziende, professionisti, ditte individuali e titolari di e-commerce che quotidianamente trattano tali dati sia in Italia che in un qualsiasi paese dell’Unione europea.

Quali gli step per stare in regola con la nuova privacy?

Ecco tutti i passaggi da fare per adeguarsi al GDPR:

  1. inviare al cliente l’informativa per raccogliere il consenso al trattamento dei dati personali;
  2. predisporre il Registro del Trattamento anche quando non è obbligatorio, ossia il registro in cui vanno descritte le finalità del trattamento e i soggetti coinvolti, le misure adottate per garantire il corretto adeguamento alla normativa e in cui si identifica la figura del titolare del trattamento e, se dovuta, quella del Responsabile della protezione dei dati (Ecco un fac-simile del Registro Attività di Trattamento (art.30, c.1, GDPR);
  3. nominare il Responsabile della Protezione dei Dati (DPO) quando richiesto.

Consenso al trattamento dei dati: come redigerlo?

Nel Regolamento europeo è specificato che il documento con cui richiedere il consenso al trattamento dei dati deve essere redatto con linguaggio semplice e chiaro e non artificioso ed è preferibile la modalità elettronica.

Il contenuto minimo da riportare nell’informativa è il seguente:

  • il titolare del trattamento: ossia chi è il soggetto che si autorizza all’utilizzo dei propri dati personali;
  • il Responsabile del trattamento: da indicare soltanto nei casi previsti;
  • le finalità del trattamento, ossia il motivo per cui si richiede il consenso e si utilizzano i dati;
  • il periodo per cui il consenso è prestato (che ricordiamo deve essere limitato al tempo necessario per il raggiungimento delle finalità per cui i dati sono stati forniti) e la modalità di conservazione;
  • i diritti dell’interessato, come quello di accesso ai dati personali, di cancellazione degli stessi e di trasferimento dei dati a soggetti terzi, nonché le modalità con cui esercitare tali diritti.

Quando è obbligatorio il Registro dei Trattamenti?

Il registro dei trattamenti è il punto fondamentale per l’adeguamento alla normativa Privacy. Il Garante della Privacy, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

Il registro delle attività di trattamento è obbligatorio per le organizzazioni con più di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.

Scarica Facsimile del Registro dei Trattamenti – Art. 30_GDPR

Quando è necessaria la nomina del DPO?

Il DPO o Responsabile della Protezione dei Dati è la figura tenuta a garantire la corretta applicazione della normativa in materia di trattamento dati, tuttavia non tutti sono tenuti a nominare tale figura che è obbligatoria solo in alcuni casi specifici:

  • quando i dati vengono utilizzati da un’autorità o da un organismo pubblico;
  • quando l’utilizzo dei dati richiede l’applicazione e il monitoraggio su larga scala;
  • quando i dati raccolti riguardano particolari categorie e sono di tipo sanitario, politico o religioso, oppure relativi a condanne penali e reati.

Per cui la figura del Responsabile non sarà obbligatoria per “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.

Nell’ipotesi in cui vi sia un responsabile del trattamento (un soggetto esterno) e qualora fosse
una persona fisica, la prima cosa da fare è fornire l’informativa al momento della raccolta dei
suoi dati personali. Nel caso di persone giuridiche si può procedere con la sottoscrizione del
contratto.

Quali sono le sanzioni per chi non si adegua?

In caso di mancato rispetto della nuova normativa sulla privacy, il titolare e il responsabile del trattamento possono essere soggetti a sanzioni amministrative importanti; infatti, sono previsti sia richiami o ammonizioni nei casi meno gravi, che sanzioni pecuniarie fino a 20 milioni di euro o pari al 4% del fatturato.
In particolare, l’autorità Garante per la protezione dei Dati personali, può, in particolare:

  • rivolgere avvertimenti o ammonimenti;
  • limitare temporaneamente o permanentemente un trattamento;
  • sospendere i flussi di dati;
  • ordinare di soddisfare richieste per l’esercizio dei diritti delle persone;
  • ordinare la rettifica, limitazione o cancellazione dei dati.

Il termine del 25 maggio è perentorio?

È previsto un periodo di “tolleranza” di sei mesi?  Non è chiaro. Il Garante della Privacy, da quanto è emerso, dovrebbe allinearsi alla posizione già intrapresa dal suo omologo francese (Commission nationale de l’informatique et des libertés) e consentire una specie di stand-by di sei mesi, dove le aziende ritardatarie possono evitare sanzioni. Ma l’impresa deve comunque mostrare di avere avviato un piano di adeguamento ed essere consapevole delle priorità per rientrare nel perimetro del regolamento. (Fonte: Il Sole 24 Ore)

Cosa deve fare un professionista per adeguarsi alla privacy?

La nuova disciplina riguarda anche i soggetti che svolgono attività professionali, che si tratti del geometra che redige una perizia o del commercialista che effettua la dichiarazione dei redditi del proprio cliente.

Questi gli step da seguire per l’adeguamento:

  1. inviare al cliente l’informativa per raccogliere il consenso al trattamento dei dati personali (Ecco una Informativa ai sensi dell’art. 13, GDPR);
  2. anche se per i professionisti non è obbligatorio, è comunque consigliabile predisporre il Registro del Trattamento (ecco un fac-simile del Registro Attività di Trattamento (art.30, c.1, GDPR);
  3. nominare il Responsabile della Protezione dei Dati (DPO) quando è necessaria tale figura.

Quali gli adempimenti per un sito web o per un e-commerce?

Anche gli e-commerce e i siti web sono soggetti ai nuovi adempimenti della normativa Privacy. Infatti, poiché utilizzano i dati degli utenti per la vendita di beni o per la conduzione di campagne marketing, sono tenuti a rafforzare le misure di tutela dei dati dei propri utenti.
Con il GDPR infatti e-commerce e siti web dovranno:

  • aggiornare la Privacy policy della piattaforma indicando i dati raccolti, le modalità di utilizzo e i tempi di conservazione;
  • identificare il titolare del sito web;
  • nel caso in cui il sito utilizzi i cookies per tracciare “le preferenze” dell’utente, sarà necessario indicarlo chiaramente nelle Policy e ottenere preventivamente il consenso all’utilizzo attraverso banner.
    Tale adempimento non è previsto invece per i cookies tecnici, ossia volti alla raccolta di dati quantitativi o alla memorizzazione della lingua di navigazione.

Vuoi suggerire un nuovo post?

Quali sono gli argomenti che vorresti approfondire? Scrivilo liberamente nei commenti a fondo pagina e se non sono già stati trattati in post precedenti valuteremo di occuparcene nei prossimi articoli.

Se l’argomento sarà oggetto di un nuovo post per te la nostra APP sarà GRATIS per 3 mesi!

Hai bisogno di aiuto per la tua contabilità o per la gestione dei tuoi dipendenti?

Richiedi un nostro preventivo gratuito oppure acquista la nostra consulenza skype direttamente con un esperto per dissipare tutti i tuoi dubbi e risolvere i tuoi problemi con il fisco:

Facebook Comments
7 commenti
  1. VITTORIO FERRAMOSCA
    VITTORIO FERRAMOSCA dice:

    Un fac-simile dell’informativa da utilizzare per gli amministratori di condominio potrebbe essere utile

    Rispondi
      • luigi
        luigi dice:

        dove lo trovo il fac simile? nei contratti a scrittura privata, io musicista verso sposi e chi richiede la serata, dove si riheidonoo i dati personali email e cellualre c’è bisogno della privacy? inoltre sto organizzando uno spettacolo pubblico dove la trovo un esempio di privacy da utilizzare?

        Rispondi
  2. Tommaso
    Tommaso dice:

    Salve, per poter stabilire la verifica e la certezza della data , relativa all’invio dell’informativa al cliente e del suo conseguente consenso, è sufficiente apporre su tale modello una marca da bollo da € 0,10 ( o 0,20 ) centesimi? e lo stesso diicasi su ogni foglio del Registro Attività del Trattamento? Ringrazio anticipatamente per la risposta.

    Rispondi
  3. Nicola
    Nicola dice:

    Buonasera chiedo se come amministratore di condomìni come e quando devo far firmare il consenso ad ogni condômino. Grazie

    Rispondi
  4. Guido
    Guido dice:

    Buonasera, quesito: associazione no-profit di dipendenti pubblici (con statuto approvato con D.P.R. 03/01/1969 n.11) con 4.000 iscritti a livello nazionale (tipo dopolavoro, cral, ecc.) GIA’ allineata al D.Lgs. n. 196/2003 (consenso, informativa…) che utilizza la banca dati solo ed esclusivamente per le attività statutarie (no vendita, no dati a terzi, no pubblicità). Adeguamenti?
    Grazie

    Rispondi

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.