Nuova Privacy

Privacy: cosa cambia per imprese e professionisti.

Privacy, è ormai in pieno vigore il GDRP (General Data Protection Regulation), il nuovo Regolamento UE sulla protezione dei dati n. 2016/679, che ha introdotto importanti novità a partire dal 25 maggio 2018.

Professionisti e imprese devono adeguarsi alle nuove regole privacy introdotte, tenuto conto del fatto che in caso di violazione delle norme contenute nel GDPR l’Autorità Garante potrà applicazione sanzioni fino a 20 milioni di euro o pari al 4% del fatturato dell’impresa.

Cosa cambia e quali sono le novità della riforma della privacy?

L’impatto del nuovo regolamento sulla privacy sia negli studi professionali che per le aziende sarà rilevante, perché comporterà l’onere non soltanto del rispetto delle regole in materia di correttezza, liceità e trasparenza ma anche di prevenzione e responsabilizzazione.

Inoltre sarà necessario valutare caso per caso quando sarà obbligatorio nominare un DPO e, soprattutto, bisognerà familiarizzare con le nuove sanzioni privacy 2018, un vero e proprio salasso nel caso di violazioni della normativa.

Il 25 maggio 2018 è ufficialmente non soltanto il giorno della nuova privacy ma anche quello in cui partirà l’attività di controllo della Guardia di Finanza.

Nello specifico, il Comandante del Nucleo Speciale Privacy della Guardia di Finanza ha chiarito che le ispezioni partiranno da subito sugli adempimenti obbligatori e fondamentali per l’adeguamento al GDRP:

nomina del DPO, il responsabile della protezione dati;

controlli sulle misure previste in caso di data breach (da intendere non come situazioni estreme ma come tutti quei casi di perdita accidentale e occasionale di dati, come il furto di un pc, di un hardisk e via di seguito);

registro dei trattamenti: sarà la base dell’attività ispettiva, il punto dal quale la Guardia di Finanza partirà per valutare le misure per la tutela della privacy messe in atto.

Alla base dei nuovi controlli vi è la capacità per l’impresa o il professionista di saper render conto delle valutazioni fatte. In tal senso sarà centrale il ruolo del DPO, il responsabile della protezione dati mentre non è stato chiarito come saranno i controlli sulla privacy nelle PMI in cui non è obbligatoria la nomina.

In attesa dell’approvazione finale, andiamo a vedere cosa ha previsto il decreto italiano sulla privacy 2018 approvato in via preliminare:

• Il decreto Privacy italiano abroga il Codice della Privacy stabilendo che il trattamento dei dati personali dal 25 maggio 2018 deve essere svolto

in conformità alle norme del Regolamento (UE) 2016/679 e al decreto abrogativo.

• Il trattamento dei dati personali: in base all’art. 9 del Regolamento, il trattamento dei dati personali svolto con finalità di interesse pubblico

possono essere trattati solo in presenza di una legge italiana o europea che lo permetta e ne distingua, la tipologia dei dati e la finalità del

trattamento.

• Il consenso al trattamento dei dati per i minorenni che in base al Regolamento è previsto all’età di 16 anni, in Italia è ridotta a a 14 anni. Per i

minori di 14 anni, il consenso al trattamento deve essere espresso dal genitore anche tramite apposita autorizzazione mentre l’informativa deve

essere scritta con parole comprensibili per il minore.

• Il trattamento dei dati genetici o biometrici è consentito dal Regolamento così come lo era già nel Codice, solo previo consenso espresso da

parte dell’interessato o delle altre condizioni presenti all’art. 9 paragrafo 2 del GDPR. Le garanzie sul trattamento di questo genere di dati

saranno fissate dal Garante e saranno oggetto di aggiornamento ogni 2 anni. Tali dati però non possono essere diffusi.

• Il trattamento dei dati giudiziari: lo schema di decreto ha previsto che, se non c’è una norma che lo autorizza, esso può essere svolto nel

rispetto delle regole di sicurezza che saranno emanate con specifico decreto del Ministero della Giustizia su proposta del Garante.

• Il consenso al trattamento dei dati sanitari necessari a garantire la salute dell’interessato, di terzi o a livello nazionale, non deve essere

richiesto.

• In base a quanto previsto dallo schema di decreto, in merito al trattamento dei dati in ambito lavorativo, il Garante ha la possibilità di

adottare misure e regole specifiche per garantirne la trasparenza di trattamento, di trasferimento dei dati e di monitoraggio sul posto di lavoro.

Non va invece richiesto il consenso al trattamento dei dati del lavoratore per le finalità di medicina preventiva o di medicina del lavoro.

• Riguardo al titolare e al responsabile del trattamento, questi devono individuare una persona fisica cui attribuire la responsabilità dei

trattamento dei dati e la protezione dei dati con la figura del DPO Privacy 2018 il cui nominativo e dati di contatto, devono essere comunicati

al Garante tramite un apposito modulo online.

Adempimenti Privacy 2018:

• GDPR consenso esplicito: Il nuovo regolamento Privacy 2018 in merito al consenso al trattamento dei dati, questo debba essere esplicito in

modo da garantire la trasparenza nel trattamento dei dati sensibili. Consenso esplicito che per l’Ue può essere ottenuto a partire dai 16 anni

mentre per l’Italia a 14 anni. Al fine di ottenere il consenso esplicito e possibile utilizzare una dichiarazione o un’azione esplicita inequivocabile

mentre e vietata la selezione di opzioni preselezionate. Inoltre deve essere data all’utente, la possibilità di revocare il consenso in qualsiasi

momento con la stessa semplicità e trasparenza con il quale e stato concesso.

• GDPR: il diritto all’oblio. il diritto all’oblio e una novità contenuta nel nuovo regolamento GDPR e riguarda il diritto da parte di un utente di

poter cancellare i propri dati personali, anche se sono stati dati online, in presenza di determinate situazioni previste dal Regolamento, ossia

se i dati personali:

◦ sono trattati solo sulla base del consenso;

◦ non sono piu necessari rispetto alle finalità con cui sono stati raccolti;

◦ se i dati sono trattati illecitamente oppure,

◦ se l’interessato si oppone legittimamente al loro trattamento.

• Al fianco del diritto all’oblio c’è anche un’altra novità introdotta dal GDPR e riguarda la conservazione dei dati e la durata del trattamento

che deve essere conforme alla finalità per la quale e stato richiesto il consenso.

• GDPR portabilità dei dati: dal 25 maggio, sarà consentita la portabilità dei dati raccolti ciò significa che sarà possibile per i titolari del

trattamento di trasferire i dati raccolti presso un altro titolare e si potrà cambiare provider di posta elettronica senza perdere i contatti in rubrica

ed i messaggi salvati.

• GDPR garanzie per i minori: il consenso esplicito all’utilizzo dei servizi Internet e dei social media da parte dei minori di 16 anni, dopo il 15

maggio, dovrà essere dato dal genitore o da chi esercita la patria potestà.

Privacy 2018 sanzioni: per chi viola il regolamento GDPR

Privacy sanzioni in vigore fino al 24 maggio 2018:

• Omessa informativa o informativa non adeguata a quanto prescritto dalla legge, si applica la sanzione da 6 mila a 36 mila euro prevista all’art.

161 del Codice.

• Installazione cookie senza consenso dell’utente: si applica la sanzione da 10.000 euro a 120 mila euro prevista all’art. 162, comma 2-bis, del

Codice della privacy;

• Omessa o incompleta notificazione al Garante: si applica la multa da 20.00 euro a 120 mila euro ai sensi dell’art. 163 del Codice.

GDPR sanzioni dal 25 maggio 2018: le sanzioni penali per chi viola il nuovo Regolamento sulla Privacy rimangono invariate mentre cambiano

quelle pecuniarie amministrative tenendo ben presente le esigenze delle micro e piccole e medie imprese che operano nell’UE.

Privacy 2018 sanzioni per chi viola il regolamento GDPR sono:

• Sanzioni fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;

• Sanzioni fino a 20 milioni o, per le imprese fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.