Privacy: cos'è e come funziona

Privacy: cos'è e come funziona
Adeguamento Compliance

Regolamento UE 2016/679

Cosa è la normativa sulla Privacy?

È il complesso di norme con cui i legislatori europeo ed italiano sanciscono l’importanza della tutela e della protezione di tutte le informazioni riguardanti le persone fisiche, definendo tutto ciò che occorre fare quando si trattano dati che le riguardano, coinvolgendo in questa responsabilità tutte le figure che si occupano del loro trattamento. La normativa attuale comprende:

2003: D.lgs. 196/03 che accorpa la normativa, tutt’ora in vigore. Le misure minime di sicurezza sono previste dall’Allegato B. Esistono numerosi provvedimenti ancillari alla normativa che prevedono misure di sicurezza obbligatorie per una serie di trattamenti ed interi settori di mercato.

2018: Regolamento UE. Impostazione “sistemica”. Il tema della sicurezza passa da una logica di “minimo” ad una logica di “adeguato” in base ai rischi corsi (e nei casi previsti dalla valutazione d’impatto). In base ad essa, ogni azienda o pubblica amministrazione dovrà fare un’analisi interna e decidere come posizionarsi. Diverrà definitivamente vincolante a maggio 2018.

Quale è il suo obiettivo?

La funzione dell’impianto del Regolamento Europeo sulla Privacy è quella di rispondere all’esigenza, derivante dal fatto che chiunque ha diritto alla protezione dei dati personali che lo riguardano. Tale esigenza si è fatta sempre più stringente in particolare nell’ultimo quinquennio alla luce delle nuove tecnologie informatiche che si sono diffuse a macchia d’olio, andando a coprire i più svariati aspetti della nostra vita privata, sociale e lavorativa. Attraverso tali strumenti ed apparecchiature, la mole di dati che ci riguardano, anche come impresa e che viene raccolta pressoché quotidianamente, deve essere trattata in modo che non venga leso il diritto alla riservatezza, né che certi dati ed informazioni finiscano in mano a concorrenti o diffusi in modo incontrollato per fini statistici.

Perché è necessario adeguarsi?

Essere in regola con quanto previsto dalla normativa è un obbligo per tutte le aziende, società, studi professionali ed enti, a prescindere dalla forma giuridica, dalle dimensioni, dal numero di dipendenti e dal fatturato. Ogni azienda od ente deve dimostrare di trattare i dati personali con cui viene a contatto (da parte di altre imprese, fornitori, clienti, dipendenti, collaboratori, ecc. ecc.) assicurando un adeguato livello di tutela dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali stessi. Questo per quanto riguarda gli obblighi di legge.

Non indifferente, per un’azienda che voglia apparire sul mercato ed agli occhi dei propri clienti come a norma sotto tutti i punti di vista degli adempimenti normativi, il dimostrare di applicare scrupolosamente anche le prescrizioni del Regolamento Europeo.

A chi si rivolge l’obbligo di adeguamento?

A tutte quelle persone giuridiche (società, enti pubblici, ecc. ecc.) che trattano a qualunque titolo e per fini connessi alla propria attività dati personali o particolari. Tale obbligo è indipendente da elementi quali le dimensioni od il fatturato d’impresa.

Quali tipologie di dati sono oggetto della normativa sulla Privacy?

Si tratta di tutti quei dati che rientrano nella macro categoria dei Dati PersonaliSono Dati Personali le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. ecc.

Nello specifico, essi si suddividono in:

-          Dati Identificativi: sono quelli che permettono l’identificazione diretta, come i dati anagrafici (ad es.: nome e cognome), le immagini, ecc. ecc.

-          Dati Particolari (ex Sensibili): sono quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Quali figure interne sono previste dalla normativa?

La normativa del Dlgs. 196/03 e del Regolamento prevedono alcune figure in comune, mentre differiscono in merito ad altre:

-          Titolare del trattamento: è sempre l’azienda nella figura del legale rappresentante pro tempore. Esso determina le finalità ed i mezzi del trattamento.

-          Responsabile del trattamento: è nominato dal Titolare del trattamento.

Ai sensi del Dlgs. 196/03 si occupa:
a) di formare il personale dipendente e in rapporto di collaborazione;
b) adotta le disposizioni del D.lgs. 196/03;
c) individua gli incaricati al trattamento ed impartisce istruzioni ed autorizzazioni;
d) informa il Titolare del trattamento ed il Garante nei casi di violazioni più gravi;
e) si aggiorna costantemente sulle modifiche della normativa in materia.

Ai sensi del Regolamento Europeo è il soggetto esterno che tratta i dati per conto del Titolare e deve presentare garanzie sufficienti per attuare misure tecniche ed organizzative adeguate. La sua nomina è obbligatoria e deve essere documentata con un contratto od altro atto giuridico.

-          Incaricati al trattamento: nel Dlgs. 196/03 sono le persone fisiche autorizzate dal Titolare o dal Responsabile a compiere operazioni di trattamento. Tutte le persone che lavorano in azienda come dipendenti o collaboratori individuali possono venire a contatto con dati personali/sensibili che devono trattare secondo quanto stabilito nel documento che gli viene sottoposto e che va sottoscritto in originale.

Nel Regolamento Europeo tale figura non è espressamente disciplinata, ma la loro designazione è comunque consigliata a tutela dell’azienda nel trattamento dei dati dei clienti e fornitori che effettua.

-          Il Responsabile della protezione dei dati (DPO): è il soggetto che assiste il Titolare in merito al rispetto degli obblighi Privacy ed all’implementazione delle policy. Coopera con l’Autorità di controllo e funge da punto di contatto per questioni connesse al trattamento. Deve essere obbligatoriamente designato:

a)       Dalle P.A.

b)      Se le attività principali del Titolare consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

c)       Se le attività principali del Titolare consistono in trattamenti su larga scala di dati particolari (ex sensibili). Può essere un soggetto sia interno che esterno all’organizzazione, ma deve operare in modo assolutamente autonomo e non influenzabile da parte del Titolare.

Quali sono le sanzioni in caso di mancato adeguamento?

Il D.lgs. 196/03 prevede un articolato apparato sanzionatorio per coloro i quali commettono delle violazioni amministrative o degli illeciti penali non adeguandosi alla normativa o non rispettando quanto essa prevede.

Riportiamo qui di seguito alcune delle ipotesi più rilevanti:

-          Art. 161: Omessa o inidonea informativa all’interessato: la violazione del succitato art. 13 comporta il pagamento di una sanzione che va da € 6.000,00 ad € 36.000,00.

-          Art. 162: prevede una serie di altre ipotesi di illeciti, tra cui:

a)      In caso di trattamento di dati personali in violazione delle misure minime di sicurezza all’art. 33, è prevista una sanzione con il pagamento di una somma da € 10.000,00 ad € 120.000,00.

b)      In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto promulgati dal Garante di cui all’art. 154, è prevista una sanzione con il pagamento di una somma da € 30.000,00 ad € 180.000,00.

-          Art. 163: Omessa o incompleta notificazione: Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione al Garante del trattamento da parte sua di quei dati che per legge lo richiedono, o indica in esse notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da € 20.000,00 ad € 120.000,00.

-          Art. 167: Trattamento illecito di dati: qualora dal fatto ne derivi nocumento è prevista la reclusione da 6 a 18 mesi o se il fatto consiste nella comunicazione o diffusione, con la reclusione da 6 a 24 mesi.

-          Art. 169: Misure di sicurezza: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33 è punito con l’arresto sino a due anni.

Il Regolamento Europeo prevede delle sanzioni esplicitamente collegate a specifici casi di inadempimento disciplinati in singoli articoli, dando vita ad una normativa più articolata.

Schematicamente, esse possono essere suddivise in due gruppi a seconda degli articoli infranti:

a)       Il primo, con riferimento agli artt. dal 29 al 43, prevede sanzioni fino ad € 10.000.000,00 o per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

b)      Il secondo, con riferimento agli artt. dal 5 al 22 e dal 44 al 49 fino ad € 20.000.00,00 o per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Torna agli adeguamenti

iso 9001World Certification Services Ltd - ISO 9001fondo professioniFondo Paritetico Interprofessionale NazionalequestioQuestio 2016