Trattamento dei dati personali (GDPR e Privacy) per le aziende

Le norme sul Trattamento dei Dati Personali (GDPR e Privacy)

L’introduzione del Regolamento Europeo n. 679/2016, cosiddetto GDPR, ha notevolmente rafforzato la necessità, per le imprese, di essere in regola con un corretto trattamento di tutti i dati personali che esse si trovano a raccogliere, trattare ed archiviare, sia per quanto riguarda i propri clienti che per i dipendenti, per non incorrere in sanzioni potenzialmente molto elevate.

Come adeguarsi al GDPR

Il nostro team si occupa della valutazione complessiva del trattamento esistente in azienda e dell’adeguamento di questa alla nuova normativa. In particolare ci occupiamo di redazione delle Informative, dei Moduli di Consenso e di quelli di Nomina dei Responsabili Esterni e degli Incaricati, della predisposizione del Registro dei Trattamenti e di tutta la documentazione imposta dalla normativa, della valutazione dei sistemi di videosorveglianza e della predisposizione della relativa segnaletica, e si avvale inoltre di imprese partner per la messa a norma della sicurezza informatica e della Policy dei siti web.

Il nostro team offre anche assistenza in convenzione, in modo da rimanere sempre aggiornati su eventuali novità normative e sulla periodica valutazione della tenuta e del trattamento dei dati personali in azienda.

Chi è obbligato alle norme del GDPR

Chi deve adeguarsi al regolamento GDPR? In linea di principio tutti coloro che trattano dei dati personali relativi a persone fisiche.

Per questi soggetti (aziende, liberi professionisti, enti pubblici, associazioni) deve essere individuato un titolare del trattamento dei dati.

Quali sono i dati personali ai fini del GDPR

Secondo la definizione del Garante della Privacy, sono dati personali tutte quelle informazioni che identificano o rendono identificabile una persona.

Rientrano in questa definizione:

  • i dati che permettono l’identificazione diretta di una persona, come nome e cognome
  • i dati che permettono l’identificazione indiretta di una persona, come il codice fiscale, il numero della targa dell’auto, l’indirizzo e-mail

Due categorie di dati personali hanno ricevuto del Regolamento Europeo particolari tutele:

  • I dati sensibili: quei dati che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, i dati relativi alla salute o alla vita sessuale o relativi all’orientamento sessuale, i dati genetici e i dati biometrici.
  • I dati giudiziari: quelli relativi a condanne penali e reati.

I dati che riguardano le persone giuridiche, come società, enti o associazioni, non sono di solito considerati dati personali.

Trattamento dei dati personali: che cos’è e quando si verifica

Secondo l’articolo 4 del Regolamento GDPR, un trattamento è “qualsiasi operazione […] applicata a dati personali […], come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione […], la cancellazione o la distruzione”.

L’esempio di scuola di trattamento di un dato personale, e a volte sensibile, è quando l’azienda riceve una candidatura di lavoro spontanea, una e-mail con un curriculum in allegato.

Cosa bisogna fare per adeguarsi al GDPR

Il GDPR richiede l’adempimento di alcune formalità:

  • La nomina del responsabile del trattamento, degli incaricati, dell’amministratore di sistema ed eventualmente del responsabile della protezione dei dati.
  • La redazione di un’informativa del trattamento dei dati personali.
  • L’acquisizione di un consenso al trattamento dei dati personali.
  • Il registro dei trattamenti.
  • Il registro dei data breach.
  • In alcuni casi, la valutazione d’impatto.

Quali soggetti sono coinvolti con il GDPR

I soggetti che devono adeguarsi al GDPR sono:

  • il titolare del trattamento dei dati,
  • il responsabile del trattamento,
  • l’incaricato del trattamento,
  • l’amministratore di sistema.

Titolare del trattamento dei dati

Come stabilisce l’art.4, titolare del trattamento dei dati personali è “la persona fisica o giuridica, […] che […] determina le finalità e i mezzi del trattamento di dati personali”.

Nel caso di un’azienda, titolare del trattamento è l’azienda stessa, attraverso i suoi organi, come il legale rappresentante.

Tra i compiti del titolare del trattamento rientrano:

  • eseguire una valutazione dei rischi collegati al trattamento dei dati in azienda
  • se rientra nei casi stabiliti dall’art.30, redigere il registro dei trattamenti
  • nominare le altre figure che si occuperanno del GDPR
  • fornire un’informativa sul trattamento dei dati
  • formare adeguatamente il personale autorizzato al trattamento dei dati
  • documentare eventuali violazioni dei dati (data breach) e notificarle al Garante e agli interessati
  • qualora gli interessati lo richiedano, cancellare i dati personali

Responsabile del trattamento dei dati

Anche questa figura è prevista dall’art.4 del GDPR.

È la persona fisica o giuridica che implementa le misure tecniche e organizzative per soddisfare i requisiti del regolamento europeo in materia di trattamento dei dati, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

Può essere una figura esterna all’azienda.

Deve essere nominato dal titolare del trattamento mediante un atto formale (art.28 GDPR). Il responsabile del trattamento non può coincidere con la figura del titolare del trattamento.

La traduzione del termine inglese corrispondente, data processor, con responsabile del trattamento può generare confusione. In realtà la responsabilità in termini giuridici appartiene al titolare del trattamento. Il “responsabile” del trattamento è invece colui che gestisce i dati.

Incaricato del trattamento dei dati

È la persona fisica dell’azienda, per esempio un dipendente, che è autorizzata ad accedere e a trattare i dati personali.

Non è sempre necessario nominare formalmente l’incaricato al trattamento dei dati personali, ma la persona scelta dovrà essere formata e informata adeguatamente sulla materia.

L’incaricato è quindi di una figura operativa, un mero esecutore di compiti da svolgere all’interno di un perimetro definito, senza alcuna autonomia decisionale in merito al trattamento dei dati.

Amministratore di sistema

L’amministratore di sistema è la figura specifica che si occupa della gestione e manutenzione dei sistemi (di solito informatici), mediante i quali vengono effettuati i trattamenti dei dati personali, come i software di gestione basi dati o CRM o sistemi ERP.

Anche questa figura deve essere nominata dal titolare del trattamento mediante un atto formale.

Che cos’è l’informativa al trattamento dei dati personali GDPR

L’informativa al trattamento dei dati personali rientra tra gli obblighi prescritti in tema di privacy al titolare del trattamento.

L’informativa è un documento in cui il titolare del trattamento fornisce, prima che inizi il trattamento dei dati vero e proprio, una serie di informazioni sui dati che saranno trattati e gli scopi di questo trattamento (finalità), così che l’interessato possa decidere se fornire o meno il consenso al trattamento di quei dati.

Contenuto dell’informativa GDPR

L’informativa deve quindi contenere (art. 13 e 14 del GDPR):

  • Le finalità e le categorie dei dati trattati. Vale a dire: perché sono richiesti quei dati? Come saranno conservati? In cloud su un server italiano? Su un server extra europeo?
  • La natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di un eventuale rifiuto.
  • I soggetti ai quali i dati personali possono essere comunicati.
  • Gli estremi identificativi del titolare del trattamento dei dati e, se designati, del responsabile
  • I diritti dell’interessato. Per esempio, il diritto di ottenere l’aggiornamento, la rettifica, la cancellazione dei dati o il diritto di opporsi al trattamento degli stessi.
  • Il periodo di conservazione dei dati.
  • Il trasferimento dei dati all’estero.

Non è richiesta una specifica forma, per cui è possibile fornire l’informativa per iscritto, come avviene nei documenti cartacei, oppure anche oralmente, nel caso di un contatto telefonico. 

L’informativa deve essere fornita prima che abbia inizio il trattamento dei dati.

Il consenso al trattamento

Il trattamento dei dati personali è consentito soltanto con il consenso dell’interessato, definito dall’Art.4 del GDPR come “qualsiasi manifestazione di volontà […] con la quale [l’interessato] manifesti il proprio assenso”.

Pertanto, affinché il consenso sia ritenuto valido, esso deve essere:

  • espresso, cioè deve esserci un comportamento attivo dell’interessato
  • libero e specifico, cioè relativo alla finalità per cui viene richiesto
  • informato, vale a dire avvenire dopo la presa visione dell’informativa
  • documentato per iscritto

GDPR e sanzioni penali e pecuniarie

IL GDPR prevede pesanti sanzioni che variano in relazione al tipo di violazione compiuta.

Le sanzioni amministrative legate alla privacy possono arrivare fino a 20 milioni di euro o fino al 4 per cento del fatturato aziendale, a seconda della gravità della violazione.

A queste si affiancano sanzioni di tipe penale previste dal Codice Privacy del 2003 e successive modifiche, e che prevedono anche la reclusione fino a sei anni.

In Italia le attività di controllo sul rispetto degli adempimenti obbligatori del GDPR sono svolte dalla la Guardia di Finanza sulla base di specifici protocolli d’intesa con l’Autorità Garante per la privacy.

Prenota la tua consulenza

Fissa adesso la tua call gratuita. Il colloquio conoscitivo, di circa un quarto d’ora, permetterà a te di esporre la questione e a noi di valutare la realizzabilità del servizio richiesto.