Non sei registrato? Registrati
24 maggio 2018
In relazione al REGOLAMENTO (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (...), anche conosciuto con l'acronimo GDPR (dall'inglese), ti ricordiamo che a partire dal prossimo 25 maggio potranno manifestarsi i suoi aspetti sanzionatori di cui probabilmente avrai sentito parlare.
In Italia è incaricata di erogare le sanzioni amministrative previste l'Autorità Garante per la Protezione dei Dati Personali, che però ci fornisce anche indicazioni su come agire, a titolo di esempio ti invitiamo a visionare le competenze richieste ai fini della prestazione di consulenza in materia di protezione dei dati personali.
Desideriamo fornire ai nostri iscritti un vademecum a supporto dello sforzo di adeguamento normativo, con una lista di attività in vista dell'imminente venerdì (25 maggio), queste indicazioni non hanno la pretesa di essere esaustive rispetto agli obblighi previsti dalla nuova normativa ma sono da intendersi come una serie di indicazioni di massima. Si declina quindi ogni responsabilità derivante dall'applicazione delle indicazioni fornite.
INFORMATIVA AL CLIENTE E CONSENSO. L'ingegnere titolare dello studio deve verificare l'attualità delle informative sulla privacy già predisposte e del consenso già raccolto, alla luce dei nuovi requisiti previsti dal regolamento. In particolare, è necessario verificare il periodo di conservazione dei dati, le informazioni utili riguardo ai diritti che spettano al soggetto interessato. Le info dovranno essere concise, semplici, chiare.
Sono già disponibili numerosi esempi, alcuni dei quali, con gli accorgimenti che suggeriamo, potrebbero essere presi come spunto per la redazione della propria informativa.
Va da sé che ai nuovi clienti, l'ingegnere dovrà consegnare l'informativa che dovrà essere firmata per presa visione. L'informativa deve essere chiara, trasparente, comprensibile e dare indicazioni concrete riguardo ai diritti che spettano all'interessato (revoca del consenso, accesso ai dati, rettifica, diritto all'oblio, portabilità) e alle modalità operative per il loro esercizio.
Non è più possibile la raccolta un unico consenso utile ad ogni scopo (...autorizzo il trattamento dei miei dati personali ai sensi della L. ... ), esistono degli specifici trattamenti che necessitano di consensi distinti e separati, quali a solo titolo di esempio si riportano:
Il principio di responsabilità obbliga il Titolare del Trattamento a dotarsi degli strumenti utili a dimostrare di aver proceduto correttamente, sarà suo onere archiviare il consenso ricevuto, in proposito suggeriamo il modo giusto di farlo:
|
Archiviazione non conforme |
Archiviazione conforme |
|
Tenere semplicemente un foglio con i nomi degli utenti e un'indicazione sul conferimento o meno del consenso |
Conservare una copia del modulo compilato dall'utente, che mostra l'azione intrapresa dallo stesso per prestare il consenso a specifici trattamenti |
|
Annotare semplicemente la data e l'ora in cui il consenso è stato prestato, associate all'indirizzo IP dell'utente e ad un link alle pagine che ospitano il modulo compilato dall'utente e la privacy policy |
Conservare delle informazioni complete che includano un identificativo univoco dell'utente insieme con la data - certificata con marca temporale - in cui il modulo è stato compilato e ad una copia della versione del modulo stesso e dei documenti legali utilizzati nel momento in cui l'utente ha prestato il consenso |
REGISTRO DEI TRATTAMENTI. Lo studio professionale di piccole (e anche medie dimensioni) non ha l'obbligo generale di dotarsi del registro dei trattamenti. L'obbligo scatta quando i dati oggetto del trattamento possono rappresentare rischi per la libertà e i diritti dell'interessato o siano "sensibili"; il Garante però ne auspica la predisposizione anche da parte dei soggetti non obbligati.
Il registro aiuta a "mappare" le aree di rischio e dunque a rendere il professionista - in qualità del titolare del trattamento - consapevole della natura dei dati raccolti per l'esercizio dell'attività, la loro conservazione, le misure di sicurezza adottate.
Sarà sufficiente un documento, in cui indicare le finalità del trattamento, le modalità di conservazione, le categorie dei dati personali conservati e degli interessati, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate.
MISURE DI SICUREZZA. Il GDPR non esaurisce il suo ambito di applicabilità negli espletamenti più pertinenti la "privacy" (informative, consensi al trattamento, ...) ma si propone di tutelare genericamente il dato. La responsabilizzazione dei soggetti coinvolti nei trattamenti, primo fra tutti il Titolare del Trattamento (che sarebbe il Titolare dello Studio Professionale), invita a prendere le misure necessarie al fine di poter dimostrare di aver svolto le attività necessarie, sarà utile quindi agire badando alla sostanza delle attività condotte.
L'adozione delle misure di sicurezza minime, così come elencate dal "Codice Privacy" 196/2003 o dal regolamento 679/2016 non può più essere garanzia per il professionista che abbia adempiuto alla norma. Il motivo sta nell'impossibilità della norma di adeguarsi alla tecnologia con la necessaria rapidità.
L'articolo 32 del regolamento prevede che, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il titolare del trattamento deve poi fare in modo che chiunque agisca sotto la sua autorità e abbia accesso a dati personali, non possa trattarli se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
Ecco di seguito un breve riepilogo delle attività proposte:
|
INFORMATIVA AL CLIENTE |
Chiara Trasparente Esplicita |
Indica i riferimenti del titolare del trattamento, i diritti dell'interessato rispetto ai propri dati, le finalità del trattamento e le caratteristiche principali le principali misure di sicurezza. Deve essere firmata dal cliente. |
|
CONSENSO |
Esplicito Inequivocabile Specifico |
Non è necessario nel caso il trattamento dei dati avvenga per adempiere un obbligo di legge. Va richiesto in modo da essere provato |
|
REGISTRO DEI TRATTAMENTI |
Consigliata l'adozione anche nelle ipotesi non obbligatorie |
È una mappa dei trattamenti, delle finalità, dei tipi di dati, del tempo di conservazione, dell'eventuale trasferimento all'estero |
|
MISURE DI SICUREZZA |
Audit interna da fare |
Il titolare del trattamento deve valutare il proprio livello di necessità in funzione della tipologia dei dati e del trattamento effettuato |
|
DATA PROTECTION OFFICERS |
La sua nomina non è obbligatoria per studi professionali piccoli e medi |
Occorre comunque valutare sempre il tipo di dati e di trattamento realizzato |
L'Ordine degli ingegneri di Monza e Brianza ha organizzato il Seminario formativo dal titolo:
GDPR: la nuova normativa per la protezione dei dati personali
L'evento avrà luogo il 19 Giugno p.v. alle ore 14.00, seguirà apposita ulteriore comunicazione di dettaglio dell'evento.
Ti anticipiamo che la normativa di settore, sia europea che nazionale, è in continua evoluzione e sarà nostra cura proporti degli aggiornamenti non appena li riterremo necessari.
