LAST NEWS
La sicurezza nel campionamento di suoli con possibile presenza di amiantoFascicolo sanitario elettronico: nessuna scadenza per l’inserimento dei datiGarante privacy a un call center: tutelare la dignità dei lavoratoriTik Tok, a rischio la privacy dei minori: il Garante avvia il procedimento contro il social networkNorme igieniche e precauzioni per la ristorazione con servizio d’asporto e a domicilio: linee guida ISSQuestura non rettifica i dati, il Garante privacy sanziona il Ministero dell’internoWi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utentiTelemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euroReferti on line accessibili ad altri pazienti, il Garante sanziona un policlinicoNuove ispezioni del Garante su fatturazione elettronica, data breach e food deliverySpid: ok del Garante privacy a nuove modalità per il rilascio dell’identità digitaleConcorsi pubblici, Garante: i dati dei partecipanti devono essere blindatiReferti online – Le domande più frequentiDpcm, Conte: I sindaci possono chiudere le piazze. Didattica in presenzaNuovo Dpcm di ottobre: mascherine all’aperto, divieto di ballo e limiti alle festeFascicolo Sanitario ElettronicoRaccomandate non consegnate, multa di 5 milioni a Poste Italiane da AntitrustFacebook, l’Irlanda blocca il trasferimento dei dati verso gli Usa: i rischi per il social senza un nuovo Privacy ShieldLo smart working accelera l’evoluzione digitale, il caso di Eni: così il palazzo di vetro lavora da casaCOVID-19: come comportarsi con i lavoratori in rientro dall’estero

La privacy entra nell’era-sanzioni. Una check list contro i passi falsi21052019

A quasi un anno dal debutto del regolamento europeo – il cosiddetto Gdpr, diventato operativo il 25 maggio 2018 – il tema della privacy torna a imporsi nella vita degli studi professionali. Nei giorni scorsi è, infatti, scaduto il periodo di tolleranza concesso dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza e per molti può essere necessario effettuare un check up degli adempimenti per non farsi trovare impreparati.

Il «grace period»

A prevedere un periodo di grazia non è stato direttamente il Gdpr, ma il decreto legislativo 101/2018, che ha adeguato la vecchia normativa nazionale sulla privacy al nuovo sistema europeo. Il comma 13 dell’articolo 22 del Dlgs prevedeva che per otto mesi a partire dal 19 settembre scorso – data di entrata in vigore del decreto – il Garante della privacy tenesse conto, nell’applicazione delle sanzioni amministrative, della novità delle regole sulla tutela dei dati in chiave Ue. Un “occhio di riguardo” che doveva, naturalmente, essere compatibile con l’impianto del Gdpr.

Bilanciamento a cui l’Autorità guidata da Antonello Soro ha posto attenzione, preparandosi, allo stesso tempo, a partire con le verifiche una volta scaduta la moratoria. Come il Garante ha ribadito, ora prenderà il via un programma di ispezioni – messo a punto nei mesi scorsi – che si concentrerà soprattutto sui grandi gestori di dati personali (si veda Il Sole 24 Ore del Lunedì del 6 maggio).

La check list

«Chiariamo subito – afferma Francesco De Biasi, counsel di Cleary Gottlieb – che lo studio professionale dovrebbe essere in linea con il Gdpr dal 25 maggio scorso. Il periodo di grazia, infatti, non ha sospeso l’adeguamento alle nuove regole sulla privacy». Allo stesso tempo, però, la moratoria di otto mesi può aver indotto più di un professionista (o anche gli imprenditori e la stessa Pa) a prender tempo.

Quali, dunque, i controlli da fare per sapere se lo studio è ora allineato con i nuovi obblighi sulla tutela dei dati? Si tratta di dar corso a ciò che gli addetti ai lavori definiscono privacy impact assesment. «Partirei dal tema della cybersecurity – spiega Massimiliano Masnada, partner di Hogan Lovells -, ovvero una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet, della posta elettronica. Solo per fare alcuni esempi. In buona sostanza, un check di tutti i sistemi che possono essere vulnerabili e, se aggrediti, comportare una perdita di dati; il cosiddetto data breach, che, se rilevante, va sempre notificato al Garante».

«Passerei – aggiunge De Biasi – al controllo dei tempi di conservazione dei dati. In questo ambito occorre un cambio culturale: spesso negli studi, ma non solo, si tende a conservare le informazioni personali per sempre. Non è così. Ci sono tempi di custodia fissati dal legislatore e vanno rispettati».

Un altro aspetto da verificare è la tenuta del registro dei trattamenti: «Tranne i casi di trattamento dei dati minimi e occasionali, è un obbligo – ricorda De Biasi – che riguarda tutti, professionisti compresi». È uno strumento che, se ben predisposto, consente di avere traccia della vita del dato dal momento in cui entra nello studio.

Ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure della privacy. «Ci si deve accertare – commenta Masnada – se gli incarichi, a partire da quello di titolare e responsabile del trattamento, sono stati ripartiti. E, come spesso capita, verificare se anche i consulenti esterni, per esempio quelli informatici, sono stati “inquadrati” e se è stato disciplinato l’accesso da parte loro ai dati dello studio».

Controlli che evitano le pesanti sanzioni amministrative previste dal Gdpr , che possono arrivare al 4% del fatturato (si veda la tabella). «Senza dimenticare – afferma Masnada – il danno reputazionale. I provvedimenti del Garante sono, infatti, pubblici».

Fino a 10 milioni di euro o al 2% del fatturato

Sanzione fino a 10 milioni di euro o, per le imprese e se l’importo è superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:

• Obblighi del titolare o del responsabile del trattamento su consenso dei minori, identificazione dell’interessato, registro delle attività di trattamento, misure di sicurezza, data breach, valutazione d’impatto, certificazione della tutela dei dati
• Obblighi dell’organismo di certificazione sulle procedure di certificazione della tutela dei dati
• Codici di condotta

Fino a 20 milioni di euro o al 4% del fatturato

Sanzione fino a 20 milioni di euro o, per le imprese e se l’importo è superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:

• Regole sulla liceità del trattamento e il consenso
• Informativa, diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati, di opposizione
• Procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali
• Norme relative al trattamento dei dati in materia di giornalismo e rapporti di lavoro
• Inosservanza di una prescrizione del Garante


Fonte: ilsole24ore.com

WIDGET-WPSACADEMY

WIDGET-SPOTTV

WPS Group è certificata ISO 9001:2015

Quality Management System
EA 35A & 37
ISO 9001 2015

Newsletter WPS

ico emailRimani aggiornato per non perdere novità e promozioni!

RICORDATI …

“Follia è fare sempre la stessa cosa aspettandosi risultati diversi”

Albert Einstein