Forlani Consulting e GDPR (reg. UE 2016/679 Privacy)

La normativa privacy in vigore in Italia

Come noto, dal 25/05/2018 sono diventate operative le disposizioni contenute nel nuovo Regolamento Europeo Privacy (Reg. UE 2016/679) (di seguito “il Regolamento” o “il GDPR“, acronimo di General Data Protection Regulation), che tutela appunto il trattamento dei dati personali delle persone fisiche.

Tra le novità che introduce il Regolamento vanno menzionate:

• Principio della responsabilizzazione dell’ente (cd. Accountability);
• Obblighi documentali (registro trattamento, valutazione impatto, contratti con i responsabili, lettere di incarico per gli incaricati) (cd. Responsabilizzazione);
• Nuovi diritti per gli interessati (diritto all’oblio, diritto alla portabilità, regole più chiare in materia di informativa e consenso);
• Obblighi di notifica all’Authority e di comunicazione agli interessati in caso di data breach;
• Una nuova figura, il responsabile della protezione dei dati (DPO, Data Protection Officer);
• Nuovo regime sanzionatorio (v. paragrafo successivo).

Inoltre, il 19 settembre 2018 è (finalmente) entrato in vigore il tanto atteso decreto di armonizzazione (D. Lgs. 101/2018) tra il GDPR e il codice privacy (D. Lgs. 196/2003). Come anticipato nelle varie bozze del decreto stesso, il codice privacy NON viene quindi abrogato (sostituito) dal GDPR, ma continua ad essere efficace, potremmo dire in parallelo con il GDPR stesso. Laddove dovessero presentarsi contrasti tra le disposizioni del GDPR ed il Codice Privacy, saranno le prime a prevalere.

Il D. Lgs. 101 conferma alcune delle principali disposizioni del GDPR, tra cui:

• Obbligo di informazione;
• Obbligo di dotarsi di DPO (Data Protection Officer);
• obbligo di redigere il registro dei trattamenti.

Il D. Lgs. 101 inoltre introduce alcune novità rispetto al GDPR, tra cui:

• Potere dell’Authority italiana di emanare autorizzazione generali;
• Previsione di codice deontologici rivolti ai datori di lavoro;
• Introduzione di reati per le violazioni più gravi (la cui materia è di competenza esclusiva di ciascuno Stato membro).

Le sanzioni in materia di privacy

Coloro che dal 25 maggio 2018 NON risultassero conformi al nuovo Regolamento rischiano sanzioni  fino a € 20 milioni (!).

Le sanzioni dovranno risultare effettive, proporzionate e dissuasive. Ai fini di determinarne la misura, l’Authority considererà una serie di fattori, tra i quali:

• Natura e gravità della violazione
• Durata della violazione
• Carattere doloso della violazione
• Recidiva del soggetto
• Danni causati agli interessati
• Misure adottare per attenuare i danni causati
• Misure preventive predisposte
• Collaborazione con l’Authority e rispetto dei provvedimenti emessi da quest’ultima

Va altresì ricordato che le violazioni delle normative in materia di privacy possono determinare anche responsabilità civile (obblighi di risarcimento) nei confronti degli interessati, nonché la configurazione di reati specifici (si vedano disposizioni contenute nel Codice della Privacy, Decreto legislativo 30 giugno 2003, n. 196).

Infine, il GDPR prevede, in caso di violazione dei dati personali (cd.  Data Breach), l’obbligo di notificare all’Authority l’avvenuta violazione e di comunicare la stessa agli interessati coinvolti, con conseguente significativo danno di immagine per l’azienda.

Il concetto di Accountability (Responsabilizzazione)

Il concetto di accountability prevede che siano le imprese stesse a determinare quali siano gli strumenti e le misure (di carattere organizzativo, formativo, informatico, cartaceo, etc.) più adatti per adeguarsi al Regolamento, in un’ottica di responsabilizzazione dell’impresa.

Lo stesso principio prevede un onere probatorio a carico dell’impresa, la quale dovrà appunto essere in grado di dimostrare (documentalmente) di aver adottato le misure necessarie ai fini dell’adeguamento alla nuova normativa, ed avere quindi ridotto il rischi individuati.

Forlani Consulting come consulente privacy per l’adeguamento al GDPR 2016/679

Oltre 60 imprese italiane (di diverse dimensioni e appartenenti ai più svariati settori) si sono rivolte a Forlani&Co per ricevere assistenza in materia di adeguamento alla nuova normativa privacy (GDPR e nuovo codice privacy).

I professionisti dello Studio partecipano costantemente a corsi di aggiornamento in materia di privacy e sicurezza dei dati. Di seguito, a titolo puramente indicativo, si citano alcuni corsi e master ai quali gli stessi hanno partecipato negli ultimi anni:

• Data Protection e Privacy Officer, aa 2018/2019, Università di Bologna, corso di alta formazione (www.dataprotection-privacy.it)
• Data Protection Officer, Area Data Security, TUV
• GDPR – Il Nuovo regolamento europeo sulla privacy, IPOA
• GDPR nel marketing & sales (ipsoa scuola di formazione), IPSOA
• GDPR – La privacy nella direzione Human Resources, IPSOA
• GDPR – La privacy nel dipartimento information Technology, IPSOA
• Master Privacy Officer & Consulente della privacy, FEDERPRIVACY
• Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni – UNI CEI EN ISO/IEC 27001:2017, TUV

Forlani Consulting (in qualità di consulente privacy / privacy e data officer con sede in Rimini) assiste le imprese nell’attività di adeguamento al GDPR svolgendo in particolare le seguenti attività:

1. Audit della Ditta / analisi dei dati trattati e dei trattamenti / analisi dei rischi (cd. data mapping);
2. Analisi delle attuali misure poste dall’Impresa a tutela della privacy sulla base del Codice della Privacy
3. Indicazioni delle misure di carattere tecnico e organizzativo da adottare per l’adeguamento al nuovo Regolamento
4. Indicazione sulla adeguatezza del sistema informatico attualmente utilizzato
5. Indicazione su come andrebbero archiviati i dati cartacei e informatici
6. Indicazione sull’utilizzo delle mail, newsletter e sito web ai fini marketing
7. Indicazione dei documenti che la Ditta è tenuta a predisporre, conservare ed aggiornare ai sensi del Regolamento
8. Valutazione di impatto;
9. Redazione Registro del Trattamento
10. Redazione e registro degli incidenti (data breach)
11. Redazione delle varie informative necessarie e modalità di comunicazione
12. Indicazione di quando e a chi richiedere il consenso
13. Indicazioni circa modalità gestione rapporti con dipendenti, strumenti di controllo in generale, modalità di trattamento dei dati personali dei dipendenti
14. Indicazioni circa il contenuto dei contratti, delle pattuizioni e atti di nomina che vanno predisposti con i vari soggetti che intervengono nel trattamento (responsabili interni ed esterni, incaricati)
15. Indicazione relative al trattamento dei dati registrati con sistemi di videosorveglianza
16. Indicazioni circa il contenuto delle clausole contrattuali standard per il trasferimento dei dati verso Paesi terzi
17. Formazione dei responsabili e degli incaricati (dipendenti) del trattamento dei dati personali
18. Verifica circa obbligatorietà di nomina di un DPO
19. Designazione Rappresentante nel territorio italiano per le aziende extra UE.

Come svolgiamo il servizio di adeguamento privacy

L’esperienza maturata nel settore ci consente di operare in maniera molto efficiente e pragmatica.

Come prima cosa, chiediamo alle imprese e agli studi professionali di compilarci un questionario. Sulla base delle informazioni ricevute, siamo in grado di indicare gratuitamente le attività necessarie per l’adeguamento alla normativa, nonché il preventivo dello Studio.

L’attività operativa viene generalmente strutturata nelle seguenti fasi:

Fase 1

• Redazione varie informative e assistenza nell’invio delle stesse a tutti i soggetti interessati;
• Identificazione delle casistiche in cui è necessario richiedere un consenso;

Fase 2

• Identificazione di tutti gli asset privacy interni (pc, server, archivi cartacei, tablet, etc.);
• Identificazione di tutti i soggetti che ricoprono ruoli rilevanti ai fini privacy nell’azienda / studio professionale;
• Redazione di un modello organizzativo privacy;
• Identificazione dei rischi aziendali in materia di privacy;

Fase 3

• Nomina dei vari  soggetti incaricati interni, attività di formazione nei loro confronti, definizione delle procedure da adottare;
• Nomina dei vari responsabili esterni.

Fase 4

• Identificazione delle misure di sicurezza da adottare;
• Redazione dei vari registri del trattamento.

7  buoni motivi per cui è consigliabile farsi assistere da un legale

Di seguito alcune delle ragioni per le quali la consulenza e l’assistenza in materia di privacy (ed in particolare quella relativa all’adeguamento al GDPR 2016/679) dovrebbero essere affidate ad un Avvocato / Studio Legale:

1. Conoscenze legali complementari e necessarie: Le attività di adeguamento alla privacy comportano anche la conoscenza di istituti di diritto, quali a titolo di esempio quelli del diritto del lavoro (v. trattamento dati dei lavoratori), del diritto dei contratti (v. rapporti con fornitori di servizi esterni),e della normativa delle vendite on line;
2. Vantaggi in caso di ispezioni, sanzioni e/o richieste di risarcimento: In caso di ispezioni, sanzioni e/o richieste di risarcimento relative a trattamento di dati personali, l’Avvocato potrà approcciare la difesa avendo già conoscenza della policy aziendale adottata in materia di privacy;
3. Customizzazione dell’attività: L’attività di adeguamento deve essere quanto più personalizzata possibile all’organizzazione Aziendale, e NON è quindi consigliabile avvalersi di soggetti che forniscono attività / documentazione standard, attività che NON avrebbe alcun effetto ai fini della compliance al nuovo Regolamento;
4. Accuratezza delle analisi da svolgere: Il nuovo approccio di “Accountability” e “responsabilizzazione” richiede un’attenta analisi dell’azienda ed una corretta interpretazione delle varie normative dettate in materia di privacy;
5. Appartenenza ad un Ordine Professionale: L’appartenenza ad un Ordine Professionale, ed il conseguente assoggettamento al relativo Codice Deontologico, garantisce una serie di requisiti, tra i quali quelli di competenza, professionalità, correttezza e lealtà;
6. Copertura assicurativa: L’attività degli avvocati è assicurata in caso di sinistri;
7. Lingua inglese: un sicuro valore aggiunto è inoltre rappresentato dalla conoscenza della lingua inglese da parte dell’avvocato, stante il fatto che il contesto normativo comprende anche pareri e provvedimenti di autorità europee non sempre (tempestivamente) tradotte in italiano.

I servizi privacy in favore dei Privati

Forlani Consulting fornisce assistenza in materia di privacy anche in favore di soggetti (privati) i cui diritti risultino lesi. In tale ambito, i servizi riguardano:

• Gestione rapporti con il titolare / responsabile dei dati personali;
• Predisposizione ed invio di reclami e ricorsi all’autorità garante dei dati personali;
• azioni giudiziarie per l’ottenimento di risarcimenti danni in materia di privacy.

La Privacy nella Repubblica di San Marino

Con la legge 21 dicembre 2018, n. 171, anche la Repubblica di San Marino si è dotata di una legge sulla Privacy, ovvero sulla “Protezione delle persone fisiche con riguardo al trattamento dei dati personali“. Il testo dalla normativa ricalca in gran parte il testo del Regolamento UE 2016/679. Con la stessa legge (artt. 52 e 53) è stato istituito il Collegio dell’Autorità Garante per la protezione dei dati personali in San Marino, i cui membri sono stati nominati  in data 23 gennaio 2019.

Invero, il GDPR (art. 3) già prevedeva che il Regolamento si applicasse anche per quei trattamenti di dati personali effettuati da titolari o responsabili del trattamento NON residenti nella UE (v.  imprese sammarinesi) qualora le attività del trattamento riguardassero l’offerta di beni e servizi nell’Unione. Dubbi sorgevano tuttavia sull’applicazione delle sanzioni, o circa la procedura per richiedere danni, in caso di violazioni poste in essere dal soggetto NON europeo.

Con l’adozione della suddetta legge 171, ora tutti i soggetti sammarinesi sono tenuti al rispetto della normativa privacy, indipendentemente da dove risiedano gli interessati al trattamento.