- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
La privacy entra nell’era-sanzioni. Una check list contro i passi falsi
A quasi un anno dal debutto del regolamento europeo – il cosiddetto Gdpr, diventato operativo il 25 maggio 2018 – il tema della privacy torna a imporsi nella vita degli studi professionali. Nei giorni scorsi è, infatti, scaduto il periodo di tolleranza concesso dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza e per molti può essere necessario effettuare un check up degli adempimenti per non farsi trovare impreparati.
Il «grace period»
A prevedere un periodo di grazia non è stato direttamente il Gdpr, ma il decreto legislativo 101/2018, che ha adeguato la vecchia normativa nazionale sulla privacy al nuovo sistema europeo. Il comma 13 dell’articolo 22 del Dlgs prevedeva che per otto mesi a partire dal 19 settembre scorso – data di entrata in vigore del decreto – il Garante della privacy tenesse conto, nell’applicazione delle sanzioni amministrative, della novità delle regole sulla tutela dei dati in chiave Ue. Un “occhio di riguardo” che doveva, naturalmente, essere compatibile con l’impianto del Gdpr.
Bilanciamento a cui l’Autorità guidata da Antonello Soro ha posto attenzione, preparandosi, allo stesso tempo, a partire con le verifiche una volta scaduta la moratoria. Come il Garante ha ribadito, ora prenderà il via un programma di ispezioni – messo a punto nei mesi scorsi – che si concentrerà soprattutto sui grandi gestori di dati personali (si veda Il Sole 24 Ore del Lunedì del 6 maggio).
La check list
«Chiariamo subito – afferma Francesco De Biasi, counsel di Cleary Gottlieb – che lo studio professionale dovrebbe essere in linea con il Gdpr dal 25 maggio scorso. Il periodo di grazia, infatti, non ha sospeso l’adeguamento alle nuove regole sulla privacy». Allo stesso tempo, però, la moratoria di otto mesi può aver indotto più di un professionista (o anche gli imprenditori e la stessa Pa) a prender tempo.
Quali, dunque, i controlli da fare per sapere se lo studio è ora allineato con i nuovi obblighi sulla tutela dei dati? Si tratta di dar corso a ciò che gli addetti ai lavori definiscono privacy impact assesment. «Partirei dal tema della cybersecurity – spiega Massimiliano Masnada, partner di Hogan Lovells -, ovvero una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet, della posta elettronica. Solo per fare alcuni esempi. In buona sostanza, un check di tutti i sistemi che possono essere vulnerabili e, se aggrediti, comportare una perdita di dati; il cosiddetto data breach, che, se rilevante, va sempre notificato al Garante».
«Passerei – aggiunge De Biasi – al controllo dei tempi di conservazione dei dati. In questo ambito occorre un cambio culturale: spesso negli studi, ma non solo, si tende a conservare le informazioni personali per sempre. Non è così. Ci sono tempi di custodia fissati dal legislatore e vanno rispettati».
Un altro aspetto da verificare è la tenuta del registro dei trattamenti: «Tranne i casi di trattamento dei dati minimi e occasionali, è un obbligo – ricorda De Biasi – che riguarda tutti, professionisti compresi». È uno strumento che, se ben predisposto, consente di avere traccia della vita del dato dal momento in cui entra nello studio.
Ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure della privacy. «Ci si deve accertare – commenta Masnada – se gli incarichi, a partire da quello di titolare e responsabile del trattamento, sono stati ripartiti. E, come spesso capita, verificare se anche i consulenti esterni, per esempio quelli informatici, sono stati “inquadrati” e se è stato disciplinato l’accesso da parte loro ai dati dello studio».
Controlli che evitano le pesanti sanzioni amministrative previste dal Gdpr , che possono arrivare al 4% del fatturato (si veda la tabella). «Senza dimenticare – afferma Masnada – il danno reputazionale. I provvedimenti del Garante sono, infatti, pubblici».
Fino a 10 milioni di euro o al 2% del fatturato
Sanzione fino a 10 milioni di euro o, per le imprese e se l’importo è superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Obblighi del titolare o del responsabile del trattamento su consenso dei minori, identificazione dell’interessato, registro delle attività di trattamento, misure di sicurezza, data breach, valutazione d’impatto, certificazione della tutela dei dati
• Obblighi dell’organismo di certificazione sulle procedure di certificazione della tutela dei dati
• Codici di condotta
Fino a 20 milioni di euro o al 4% del fatturato
Sanzione fino a 20 milioni di euro o, per le imprese e se l’importo è superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Regole sulla liceità del trattamento e il consenso
• Informativa, diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati, di opposizione
• Procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali
• Norme relative al trattamento dei dati in materia di giornalismo e rapporti di lavoro
• Inosservanza di una prescrizione del Garante
Fonte: ilsole24ore.com