Privacy e GDPR: cosa fare dal 25 maggio 2018

Il fulcro della nuova normativa privacy (gdpr)

L’aspetto più significativo è sicuramente quello che si può definire come un cambio di approccio del Codice UE rispetto a quello del Decreto Legislativo 30 giugno 2003, n. 196 attualmente ancora in vigore in Italia ed in particolare in materia di Misure Minime di Sicurezza.

Il Regolamento UE, infatti, non interviene definendo dei requisiti specificati in maniera precisa, come invece avviene per l’attuale normativa italiana sulla privacy. Il nuovo regolamento infatti, sposta la responsabilità di definire le misure di sicurezza idonee a garantire la sicurezza dei dati personali sul “titolare del trattamento”, definizione che deve seguire un’attenta analisi di quelli che possono essere i rischi.

Pertanto, nel nuovo quadro normativo delineato dal Regolamento UE non vi sono più delle misure minime di sicurezza stabilite “ex lege” ma solo delle misure di sicurezza che devono essere individuate e progettate dal “titolare del trattamento” o dal “responsabile del trattamento”, dopo avere condotto un’attenta analisi dei rischi (ed è proprio l’analisi dei rischi, condotta alla luce, anche, della tipologie e della rilevanza per l’interessato dei dati che dovranno essere sottoposti a trattamento, che diventa il momento centrale di tutto il processo).

Chi si deve adeguare

Professionisti, imprese commerciali, artigiani, società, enti non profit, ecc. Chiunque tratta dati personali di persone fisiche.

Periodo di tolleranza 6 mesi

Anche se dal 25 Maggio 2018 entra in vigore la nuova normativa, sul Sole 24 ore è stato pubblicato un articolo nel quale si evidenzia che per i primi 6 mesi NON verranno applicate sanzioni da parte dell’authority; l’impresa deve però dimostrare che ha avviato l’iter di adeguamento alla normativa e che già ha, ad esempio, iniziato ad utilizzare la nuova informativa privacy e redatto un piano di valutazione dei rischi iniziale.

Cosa bisogna fare concretamente nei casi più semplici

1. Strutturare delle procedure interne per valutare e prevenire i rischi individuando le modalità operative di gestione e tutela del dato personale;
2. inviare ai clienti l’informativa per raccogliere il consenso al trattamento dei dati;
3. predisporre il registro del trattamento (non sempre obbligatorio);
4. nominare il responsabile della protezione dati, DPO in inglese (non sempre obbligatorio).

Privacy e GDPR per professionisti (casistiche semplici)

• Primo step: riguarda sicuramente l’invio dell’informativa al cliente per raccogliere il consenso al trattamento dei dati personali;
• secondo step: redigere in forma semplice un registro del trattamento dati (per i professionisti non c’è obbligo)
• terzo step: nominare il DPO nei casi in cui è previsto

Privacy e GDPR per e-commerce (casistiche semplici)

Gli e-commerce, come la maggior parte di voi già saprà, sono siti web che utilizzano i dati dei clienti non soltanto per l’emissione di fatture e per consegnare il prodotto richiesto ma anche per finalità marketing, SEO, ecc. Nel loro caso specifico, essi devono rafforzare le misure di tutela e protezione con alcune azioni fondamentali:

1. redigere o aggiornare se già esiste la pagina privacy policy del proprio sito; è necessario indicare quali dati vengono raccolti, le modalità e le finalità di utilizzo oltre ai tempi di conservazione;
2. indicare e fornire a tutti i clienti il nome del titolare del trattamento dati personali

Se il sito utilizza anche cookie (non quelli tecnici) per monitorare e tracciare le preferenze dei visitatori, oltre a indicare tale informazione, nella pagina cookie e privacy sarà necessario farsi autorizzare dall’utente che darà, se vuole, il consenso attraverso un semplice click su un apposito banner per esempio.

Come redigere le informative privacy

Le informative privacy a partire dal prossimo 25 maggio dovranno contenere i dati di contatto del RPD (Responsabile della Protezione dei Dati, in inglese definito come Data Protection Officer o DPO), la base giuridica del trattamento, qual è il suo interesse legittimo, nonché se si trasferiscono dati personali in paesi terzi e secondo quali strumenti.

Inoltre, se tale trattamento comporta processi decisionali automatizzati come la profilazione, l’informativa dovrà specificarlo esplicitamente.

Sintesi delle novità rispetto alla precedente normativa

• Regole chiare su informativa e consenso al trattamento. L’informativa o richiesta di consenso dovrà indicare il diritto e le modalità di revoca del consenso, il periodo di conservazione dei dati, il diritto di proporre reclamo alle Autorità di controllo ed i dati della persona da contattare quale Responsabile dei dati in azienda. Sono stati inoltre definiti nuovi diritti per gli interessati: diritto alla portabilità (cioè obbligo per i titolari di consentire e favorire il trasferimento dei dati ad altri su richiesta dell’interessato) e diritto all’oblio (cioè obbligo per il titolare di consentire alla cancellazione dei dati o di parte di essi, dandone relativa conferma).
• Sono state stabilite norme e procedure rigorose per i casi di violazione dei dati (data breach): in caso di perdita, distruzione, comunicazione o diffusione indebita di dati personali sarà obbligatorio notificare l’evento all’Autorità Garante entro 72 ore dal fatto.
• Introduzione dei principi di “responsabilizzazione” (accountability) dei titolari del trattamento (cioè obbligo per il titolare di dimostrare di aver correttamente analizzato i rischi e fatto tutto il possibile per minimizzarli), e di progettazione dei sistemi e delle procedure tenendo conto delle problematiche di protezione (privacy by design & privacy by default).
• Introduzione del concetto di misure di sicurezza “adeguate” e non più “minime”: le misure di sicurezza, sia organizzative che informatiche, fisiche o logiche, devono essere idonee alla protezione, tenuto conto del contesto del trattamento, della probabilità e dei rischi di eventi avversi e dello stato dell’arte.
• Nascita della figura delData Protection Officer (DPO). Il nuovo ruolo, che deve essere ricoperto da persona che possieda un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, di adeguate competenze in ambito ICT e di diritto e informatica giuridica e che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente oppure come consulente esterno sulla base di un contratto di servizio, è obbligatorio per gli enti pubblici e per le aziende in situazioni sensibili, e facoltativo per gli altri. Rappresenta una figura di controllo/garanzia e consulenza e il suo nominativo deve essere comunicato formalmente all’Autorità Garante. Il DPO avrà il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento e dalle altre disposizioni e normative locali relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit.
• Nuovo sistema sanzionatorio, con potenziali sanzioni molto più pesanti (sino al 4% del fatturato globale mondiale annuo).

Scopri i pacchetti privacy di partita iva 24

Partita Iva 24 in collaborazione con Dot com 24 ha  preparato per i suoi clienti (date le richieste che abbiamo avuto) dei pacchetti low cost per gestire le casistiche più semplici senza richiedere cifre esorbitanti e fornendo soluzioni pratiche e concrete nella gestione degli adempimenti.

Oggi, purtroppo, tanti sedicenti esperti (a dir poco improvvisati) e molte aziende stanno creando il panico in rete chiedendo il “pizzo” a imprenditori e professionisti inconsapevoli di quello che va fatto e di quanto invece è facoltativo o inutile. In un clima quasi di terrore molti “esperti autoproclamatisi tali” chiedono compensi che vanno dalle 350 alle 3000 euro per preparare e redigere spesso cartacce e modulistica inutili. Spesso sono delle vere truffe, attenzione!

I pacchetti privacy di Partita Iva 24 sono esclusivamente utilizzabili da piccole imprese, anche e-commerce, e piccoli professionisti che operano in forma individuale e non hanno esigenze particolari. Forniremo istruzioni, prezzi e dettagli nei prossimi giorni a tutti i nostri clienti.

Diffidate dai ciarlatani!