Pag.1 Circolare n. 14 del 2 maggio 2018 Sempre più vicina la scadenza per l'adeguamento delle imprese alla nuova direttiva privacy Gentili Clienti, è sempre più vicina la scadenza del 25 maggio 2018 per l adeguamento delle imprese alla nuova direttiva privacy. Proseguiamo pertanto con la pubblicazione dei brevi testi redatti dall Avv. Fabrizio Mutti dello Studio Legale Mutti, con lo scopo di aiutarvi a comprendere meglio la rivoluzione che sta avvenendo sul tema della privacy e del trattamento dei dati personali. Ricordiamo ancora che per richiedere approfondimenti o una consulenza personalizzata, potete contattare direttamente lo Studio Legale Mutti, sia telefonicamente al numero 02/51824085 o via posta elettronica all indirizzo e- mail info@studiolegalemutti.it. Buona lettura. Dott. Mosè T. Begotti FACILITAZIONE DELL ESERCIZIO DEI DIRITTI DELL INTERESSATO Alle richieste di accesso ai dati personali ai sensi dell articolo 7 del D.Lgs. 196/2003 non viene dato riscontro in circa l 80% dei casi. Nel nuovo regolamento, il mancato, o tardivo od incompleto riscontro sarà punito con un a sanzione sino ad 250.000,00 ovvero sino allo 0.50% del fatturato mondiale.
Pag.2 Per esercitare il diritto di accesso previsto dall articolo 7 del D.Lgs. 193/2003 (e dal futuro articolo 15 del GDPR) l interessato non deve specificare alcuna motivazione. Spesso l accesso di cui sopra viene confuso con il diritto di accesso agli atti ed ai documenti amministrativi per il quale deve essere fornita una motivazione e l interessato deve dimostrare di avere un interesse diretto, concreto ed attuale. Il Titolare del trattamento stabilisce le procedure secondo le quali fornire l informativa e per gestire le richieste di esercizio dei diritti dell interessato. Qualora i dati siano trattati con modalità automatizzate, il responsabile del trattamento predispone, altresì, i mezzi per inoltrare le richieste per via elettronica. Se l interessato presenta la richiesta in forma elettronica, le informazioni sono fornite in formato elettronico, salvo diversa indicazione dell interessato. Il Titolare deve dare riscontro alla richiesta entro il termine massimo di un mese. RISK ASSESSMENT, QUALITA E MISURE DI SICUREZZA Tenuto conto dell evoluzione tecnica e dei costi di attuazione, il Responsabile ed il Titolare mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato in relazione ai rischi che il
Pag.3 trattamento comporta ed alla natura dei dati personali da proteggere (primo comma dell articolo 30 del GDPR). Previa valutazione dei rischi, il Titolare del trattamento adotta le misure idonee a proteggere i dati personali dalla distruzione, accidentale od illegale, o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare: la comunicazione, la divulgazione, l accesso non autorizzato o la modifica dei dati personali (secondo comma dell articolo 30 del GDPR). E possibile, pertanto, rispondere alle prescrizioni di cui sopra predisponendo un apposito e specifico Regolamento Interno per la protezione dei dati che potrà, poi, essere applicato e divulgato in azienda. Un ulteriore ed interessate possibilità può essere anche quella di progettare, realizzare e gestire un Sistema di Gestione della Sicurezza e Privacy conforme alla norma ISO/IEC 27001:2013 e coerente con la norma ISO 9001. Esso è anche in grado di fornire garanzie di tutela anche per la protezione dei rischi connessi alla commissione dei reati con riferimento alla responsabilità amministrativa, relativamente ai delitti informatici e trattamento illecito dei dati ai sensi dell articolo 24 bis del D.Lgs 231/2001. E, dunque, possibile per l azienda scegliere la giusta strategia di protezione per adottare sia per conseguire la compliance normativa, sia il giusto livello di sicurezza informatica e privacy.
Pag.4 PRIVACY IMPACT ASSESSMENT La Privacy by Design e la Privacy by Default orientano la visione della privacy verso una nuova e più interessante concezione: considerare la tecnologia come un ausilio per la riduzione dei rischi legati al trattamento dei dati personali e non come una minaccia per la privacy. L articolo 33 del GDPR prevede che: Quando il trattamento, per la sua natura, il suo oggetto, le sue finalità presenta rischi specifici per i diritti e le libertà degli interessati, il titolare del trattamento effettua una valutazione d impatto del trattamento previsto sulla protezione dei dati personali. In questo senso, presentano rischi specifici i seguenti trattamenti: Il trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici e dati biometrici; Il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza, l origine etnica, oppure destinata alla prestazione di servizi sanitari, o a ricerche epidemiologiche, o ad indagini su malattie mentali od infettive; La sorveglianza di zone accessibili al pubblico in particolare se effettuato Mediante dispositivi ottico elettronici (videosorveglianza) su larga scala; La valutazione sistematica e globale di aspetti della personalità dell interessato o volta ad analizzare o prevederne in particolare la situazione economica, l ubicazione, lo stato di salute, le preferenze personali, l affidabilità o il comportamento basato su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull interessato; Qualunque altro trattamento che richiede la consultazione dell autorità di controllo ai sensi dell articolo 34 del GDPR.
Pag.5 La valutazione di impatto contiene almeno: Una descrizione generale del trattamento previsto; Una valutazione dei rischi per i diritti e le libertà degli interessati; Le misure previste per affrontare i rischi; Le garanzie, le misure di sicurezza, i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento EU, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione. La nuova disciplina introdotta dal Regolamento UE colma le lacune dell attuale D.Lgs 196/2003 il quale, invece, specifica solo in modo generico quali sono i compiti del titolare del trattamento. Nel GDPR si precisa, infatti, che il titolare del trattamento deve adottare politiche e misure adeguate onde garantire di essere in grado di dimostrare che il trattamento dei dati personali effettuato sia conforme al Regolamento EU. Dette misure comprendono: La conservazione della documentazione di cui all articolo 28; L attuazione delle misure di sicurezza di cui all articolo 30; L esecuzione della valutazione di impatto sulla protezione dei dati di cui all articolo 33; La designazione di un responsabile per la protezione dei dati (Privacy Officer). Il titolare del trattamento mette in atto i meccanismi per assicurare la verifica dell efficacia delle succitate misure.
Pag.6 Detta verifica può essere effettuata da revisori interni od esterni indipendenti. Il titolare del trattamento si assicura, inoltre, che il responsabile del trattamento sia prontamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il titolare si assicura, infine, che il responsabile della protezione dei dati adempia alle sue funzioni in piena indipendenza e non riceva alcuna istruzione o condizionamento per quanto riguarda il loro esercizio. Cordialmente. Avv. Fabrizio Mutti