SANZIONI PRIVACY

Il 19 maggio 2019 scadrà il periodo di prima applicazione del Regolamento UE 2016/79 (GDPR) in cui il legislatore aveva previsto un periodo di tolleranza circa l’applicabilità delle sanzioni privacy previste dalla normativa.

L’art. 22 co. 13 del d.lgs. 101/2018 sancisce infatti che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni privacy e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.

Ciò comporta che dal 19 maggio 2019 alcuno sconto sarà auspicabile in termini di quantificazione delle sanzioni privacy, pertanto eventuali inottemperanze non potranno più trovare un occhio di riguardo circa la relativa considerazione, in ragione del fatto che i destinatari delle disposizioni del GDPR non solo hanno avuto ben due anni per procedere alla implementazione delle misure tecniche e organizzative adottate, ma anche ulteriori 8 mesi successivi all’entrata in vigore del decreto di adeguamento, in cui hanno potuto fruire di una intensa attività interpretativa e chiarificatrice da parte sia del Data European Protection Board, sia del Garante italiano in ordine agli aspetti pratici-operativi delle prescrizioni europee.

Quindi, per chi non avesse  ancora adempiuto agli obblighi previsti dalla normativa europea, questa rappresenta un’ultima chiamata all’ordine e una ultima occasione per interrogarsi punto per punto su quali adempimenti sono stati condotti e su quali sussiste ancora necessità di implementazione.

Per evitare fastidiose sanzioni privacy e chiarire un ultima volta perchè oltre alle imprese anche gli agenti di commercio sono fortemente coinvolti nel rispetto di questo regolamento, dbsoft risponde a 5 domande importanti (le 5 w – What?, Why?, Who?, When?, Where? ) ed infine offre anche una soluzione al Come (How!).

CHE COSA?

E’ di fondamentale importanza capire quali categorie di dati sono oggetto di trattamento. Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4.1 GDPR).

L’informazione riferibile ad una persona fisica può avere gradi di “sensibilità” diverse. Per questo il Regolamento europeo individua tra i dati personali in senso lato i c.d. dati particolari (art. 9 GDPR), ossia “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, e i “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” (art. 10 GDPR). L’importanza di identificare correttamente la natura del dato che si sta trattando attiene in primo luogo alla corretta individuazione della base giuridica che ne legittima il trattamento. I dati personali che non rientrano nelle categorie di cui agli artt. 9 e 10 GDPR possono essere trattati se a fondamento del loro utilizzo sussiste, alternativamente, il consenso dell’interessato, la necessità di dar seguito ad un obbligo contrattuale o precontrattuale, l’esecuzione di un obbligo di legge, un legittimo interesse del Titolare, la salvaguardia di interessi vitali dell’interessato o di altra persona fisica, e, infine, l’esecuzione  di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. I dati che invece rientrano nella categoria dei dati “particolari” possono essere trattati solo in presenza delle condizioni elencate all’art. 9 GDPR, tra le quali figurano ad esempio il consenso esplicito dell’interessato, la necessità ad assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale o i casi in cui il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria.

Mentre invece il trattamento dei dati di cui all’art. 10 GDPR può avvenire solo in presenza del consenso dell’interessato e comunque soltanto sotto il controllo dell’autorità pubblica, oppure solo nei casi in cui il trattamento sia autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.

PERCHE’?

Attenzione al fatto che la maggior parte degli agenti e delle imprese non rientra negli articoli 9 e 10 ma ciò non significa che sono esenti dal rispetto del regolamento, ma solo che hanno obblighi e adempimenti diversi e meno problematici da gestire …..

Attenzione anche al fatto che il regolamento non si limita a dare come unica disposizione la richiesta del consenso dell’interessato!

L’agente di commercio plurimandatario, opera in autonomia rispetto alle aziende che rappresenta, ha una sua partita IVA, un suo crm di gestine clienti che spesso non si limita ai soli clienti attivi, quindi non è condizione sufficiente il fatto che le ditte per le quali opera gli abbiano dato una lettera di incarico.

CHI?

In particolare uno dei primi aspetti che devono essere presi in considerazione da parte del Titolare è quello relativo alla obbligatorietà o comunque all’opportunità di nominare un Responsabile della protezione dei dati personali. 

Il Titolare, ossia del soggetto che definisce le finalità e i mezzi del trattamento dei dati, è tenuto a verificare se tra i trattamenti dallo stesso realizzati, taluni di essi vedano il coinvolgimento, in tutto o in parte, di soggetti esterni.

Si pensi ad esempio al consulente del lavoro incaricato di svolgere per conto del Titolare tutti gli adempimenti connessi all’instaurazione, gestione e alla cessazione del rapporto lavorativo dei dipendenti, ivi compresa la elaborazione dei dati personali di quest’ultimi e dei rispettivi familiari strumentale alla compilazione dei cedolini paga; o altro ancora si pensi al server provider, che ospita sulle sue macchine i software gestionali che permettono ad un determinato Titolare del trattamento di gestire i rapporti con i rispettivi clienti.

Tra i soggetti coinvolti nel trattamento troviamo anche gli  “incaricati” o “soggetti autorizzati al trattamento”, che, se pure non specificatamente normati all’interno del GDPR, ricoprono un ruolo ad alto impatto operativo essendo quei soggetti che rappresentano la “mano del Titolare” nelle singole attività di trattamento che vengono condotte su diretta istruzione di quest’ultimo. Per questo motivo, da una lettura congiunta degli art. 4 co. 10 e 29 del Regolamento, è possibile dedurre un obbligo di specifica e attenta formazione degli incaricati in ragione delle singole mansioni che gli stessi sono chiamati ad realizzare. (Es. il dipendente incaricato di riscontrare a mezzo mail le richieste dei clienti dovrà essere informato e formato su tutti i possibili rischi derivanti da un utilizzo scorretto della posta elettronica, tra cui apertura di allegati non attendibili oppure dall’invio di comunicazioni di gruppo in CC piuttosto che in CCN).

QUANDO?
L’individuazione del periodo di conservazione dei dati rappresenta uno dei pilastri fondamentali della normativa di matrice europea per un semplice motivo: il dato conservato oltre il tempo necessario al conseguimento della finalità, o comunque oltre al periodo prescritto dalla legge, è un dato esposto ad un rischio non più giustificabile dalla necessità di un trattamento. Per “rischio” deve intendersi uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà degli interessati, e da cui è possibile che si dia adito a fattispecie discriminatorie, furti o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, o qualsiasi altra tipologia di danno economico o sociale significativo.

DOVE?
Prima di ogni valutazione in merito alla idoneità delle misure tecniche e organizzative a tutelare il dato personale è fondamentale individuare l’esatta ubicazione del dato da proteggere. Una volta chiarito questo passaggio sarà possibile attivarsi per adottare tutte le misure necessarie alla relativa protezione. Se ad esempio i dati personali contenuti nel database aziendale sono tutti materialmente ubicati su un server esterno di proprietà di un server provider, il Titolare dovrà non solo preoccuparsi che le misure dallo stesso adottate siano idonee a proteggere il dato trattato, ma dovrà altresì procedere alla formalizzazione di un accordo scritto relativo alla protezione dei dati collocati sui predetti server esterni.

Altro aspetto rilevante è capire se tra i processi di trattamento individuati, alcuni di essi prevedono che il dato venga trasferito e/o collocato al di fuori del territorio dell’Unione Europea. Si pensi ad un server provider le cui macchine sono ubicate fuori dal territorio dell’Unione, o a un gruppo societario composto da società alcune delle quali hanno sede all’estero.

A questo punto la domanda corretta è: ” Come fare per essere in regola con il GDPR ed evitare sanzioni privacy“?
L’art. 24 co. 1 è espressione del principio cardine dell’assetto disegnato dal Regolamento europeo, c.d. principio di accountability, e statuisce che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Per questo si rende necessaria una implementazione delle misure tecniche e organizzative adottate per proteggere i dati utilizzati. Implementazione che potrà avere graduazioni diverse a seconda della valutazione personalizzata che ciascun Titolare dovrà adottare circa la sicurezza dei sistemi, perché l’attenzione non si incentra più sul “se si verificherà un tentativo di violazione di dati personali” ma sul “quando si verificherà un tentativo di violazione di dati personali”. Per tale motivo il Regolamento “responsabilizza” il Titolare, invitandolo a giocare in anticipo e a premunirsi quanto prima di tutte le misure tecniche e organizzative possibili tenuto conto dello stato dell’arte e dei costi di attuazione.

Non rischiare inutili sanzioni privacy, Richiedi ora un preventivo COMPILANDO IL MODULO SEGUENTE per un analisi e una consulenza per una corretta gestione della tua attività:

Sconti ed agevolazioni sono riservati a tutti gli associati UILTUCS agenti senza confini.

PRESENTAZIONE DBSOFT