Per discutere il contenuto dell'articolo e richiedere chiarimenti è possibile lasciare un commento a fondo pagina. Per assistenza e consulenza professionale specifica è possibile scrivere all'indirizzo e-mail info@marcostrada.it o contattare gli altri recapiti dello Studio
Una volta effettuata adeguata analisi della propria organizzazione e dei vari tipi di trattamento effettuati, alla quale è dedicato questo articolo, l’operatore economico dovrà adempiere a una serie di obblighi, in parte già previsti e in parte introdotti dalla riforma del Regolamento Europeo 2016/679 (c.d. GDPR).
Tra gli obblighi, cui l’operatore economico potrebbe essere tenuto a seconda della propria struttura, dei tipi di dati trattati e delle modalità di trattamento, si ricordano -in estrema sintesi e con il solo obiettivo di fornire un primo prospetto per chi si affaccia al problema- i seguenti.
1) Obbligo di fornire informativa in materia di privacy.
È necessario informare previamente l’interessato dei suoi diritti e delle modalità del trattamento, nonché del tempo di conservazione dei dati trattati e della base giuridica che rende lecito il trattamento. È inoltre necessario acquisire il consenso scritto dell’interessato nei casi in cui lo stesso sia necessario.
Nel caso di utilizzo di siti web, l’acquisizione del consenso ha caratteristiche peculiari con riguardo alla presenza dei c.d. “cookies”, con obbligo di adattare il proprio sito e prevedere -tra l’altro- apposito banner.
2) Obbligo di adottare idonee misure di protezione dei dati
La riforma della privacy ha come principio fondamentale la “responsabilizzazione” del Titolare del trattamento: è lui, in primo luogo, a dover valutare quale sia la migliore protezione per la sua organizzazione e ad essere responsabile qualora tale valutazione sia inadeguata. Il titolare dovrà adottare tutte le misure di protezione più adatte al caso concreto, provando la loro adeguatezza in caso di controlli.
Nonostante la loro abrogazione, è consigliabile che il titolare, soprattutto se i dati trattati richiedano particolare protezione, rispetti almeno quelle che fino al 2018 erano le misure “minime” previste dalla normativa.
I dati non archiviati su supporto informatico (es. cartacei) dovranno quindi essere adeguatamente protetti da accessi non autorizzati, ad esempio chiudendoli a chiave in specifiche stanze o idonei schedari.
Deve inoltre essere prevista un’adeguata modalità di distruzione dei supporti contenenti dati personali al termine del trattamento, tale da prevenirne la diffusione.
Quanto ai dati archiviati su supporti informatici , dovrebbero essere accessibili solo attraverso password complesse e cambiate periodicamente, protetti da firewall e antivirus aggiornati. Devono inoltre essere presenti procedure di ripristino in caso di perdita accidentale.
Sarebbe opportuno -anche se non è espressamente richiesto- che un tecnico informatico verifichi periodiamente il sistema informatico adottato e ne dichiari l’adeguata protezione.
L’amministratore di sistema
Un capitolo a parte è quello dell’ “amministratore di sistema”: il tecnico informatico di fiducia che cura direttamente la protezione informatica dell’organizzazione, la sicurezza e il ripristino dei dati. Per una piccola organizzazione non è una presenza obbligatoria: può però diventarlo, anche in ottica di delega delle responsabilità, se il titolare non abbia le conoscenze informatiche necessarie per organizzare le misure di adeguata protezione della struttura informatica e decida di affidarsi completamente a un professionista.
Anche in questo caso la nomina va formalizzata con apposito contratto che indichi gli obblighi e responsabilità dell’amministratore.
3) Obbligo di acquisire impegni vincolanti dai responsabili del trattamento.
Come anticipato, i responsabili del trattamento gli stessi vanno nominati per iscritto con impegno espresso dei responsabili al rispetto della normativa privacy.
Nei casi in cui un contratto “personalizzato” con idonea dichiarazione di impegno sia particolarmente arduo da ottenere (ad esempio per i fornitori di maggiori dimensioni, come microsoft o apple) è necessario valutare se l’impegno (come normalmente avviene) sia fornito con altre modalità ugualmente vincolante (ad esempio con dichiarazione sottoscritta digitalmente e resa disponibile al pubblico).
4) Obbligo di adottare un registro delle attività di trattamento
Ogni titolare è obbligato a tenere un registro in cui vengono elencati i tipi di trattamenti effettuati e le loro modalità.
Nonostante la formula equivoca “attività di trattamento”, appare -anche considerando i modelli redatti dall’autorità garante- che non si tratti di un registro in cui vada annotato ogni singolo trattamento di dati effettuato giorno per giorno ma piuttosto di una lista dei “tipi” di trattamento effettuati dal titolare e delle loro modalità (soggetti a cui vengono comunicati i dati, misure di protezione..). È quindi una “fotografia” della struttura organizzativa in materia di privacy, finalizzata soprattutto a valutarne l’adeguatezza in caso di controlli.
Esiste un’eccezione per i titolari di piccola dimensione (meno di 250 dipendenti) ma l’esenzione non si applica se vengono trattati dati di categorie “particolari”.
5) Obbligo di effettuare una valutazione di impatto
La valutazione di impatto consiste in una “descrizione sistematica” dei trattamenti svolti, raffrontati con le loro finalità, i rischi per gli interessati e le misure per prevenirli.
È necessaria quando un trattamento prevede un “rischio elevato” per diritti e libertà delle persone fisiche.
La valutazione sulla presenza di un “rischio elevato”, coerentemente con il principio di responsabilizzazione, spetta al titolare.
Ne viene previsto espressamente l’obbligo solo per valutazioni sistematiche-svolte in modo automatizzato, trattamento su larga scala di dati appartenenti a categorie particolari e sorveglianza sistematica su larga scala di luogo aperto al pubblico.
6) Obbligo di nominare un “data protection officer”
Anche in questo caso l’obbligo è legato a casi di trattamento “su larga scala” di dati appartenenti a categorie particolari o con monitoraggio regolare e sistematico degli interessati.
Il DPO, o “responsabile della protezione dei dati”, è uno specialista in materia di privacy che dev’essere coinvolto in tutte le questioni attinenti alla protezione dei dati, con ruolo di particolare coinvolgimento e responsabilità.
Si tratta di un consulente che funge anche da figura di garanzia del rispetto della normativa privacy e il titolare deve, tra l’altro, attribuirgli la disponibilità di risorse economiche sufficienti per eseguire i propri compiti.