Decreto Privacy in GU: per ora, gli obblighi restano uguali a carico di studi professionali e PMI

In Gazzetta Ufficiale il Decreto di armonizzazione del codice Privacy al GDPR 

Alla fine di questa calda estate di dibattito sui nuovi temi della protezione dei dati personali, stravolti da un Regolamento europeo, il famigerato GDPR (regolamento (UE) 2016/679), che ha innanzitutto modificato integralmente la filosofia della materia e l’approccio pratico alla tutela della privacy introducendo il principio della “accountability”, è stato finalmente pubblicato sulla Gazzetta Ufficiale del 4 settembre il D.lgs 10 agosto 2018, n. 101 recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)».

Il decreto, che andrà a modificare il D. Lgs.196/2003 (che quindi resterà in vigore seppur nella sua versione aggiornata), ha in sostanza “armonizzato” il vecchio regolamento interno con la attuale normativa europea senza aggiungere molto al testo Europeo. 

Le novità principali del D.lgs 10 agosto 2018, n. 101 

Sicuramente interessante la scelta del nostro legislatore nazionale di intervenire, distanziandosi dalla normativa europea, sul consenso liberamente prestato dal minore che ha più di quattordici anni. La norma, riferita ai servizi dell’informazione (siti internet, social networks etc), prevede infatti che il minore che ha compiuto quattordici anni (e non i sedici del GDPR) possa autonomamente concedere il proprio consenso al trattamento dei propri dati personali. 

Tra le altre novità degne di nota l’art. 2-terdecies che tutela i diritti dei defunti specificando che: “I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione” e l’art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati), secondo cui “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Infine, il nuovo decreto, nell’introdurre anche nuove norme penali e nuove ipotesi di reato, ha stabilito, in riferimento ai codici deontologici e alle autorizzazioni del Garante, che essi, almeno per un periodo transitorio, siano fatti salvi, fino a prossimo riesame e che per i primi otto mesi di attuazione il Garante conceda un periodo di “tregua” durante i quali l’attività ispettiva dovrà tenere conto del fatto che le imprese hanno bisogno di tempo per adeguarsi alle norme. 

E’ inoltre previsto che il Garante emanerà delle disposizioni semplificative per quanto riguarda gli obblighi ed adempimenti a carico di professionisti e piccole e medie imprese che trattano dati personali in misura ben più limitata rispetto agli enti pubblici, alle grandi imprese ed altri operatori economici, fermi restando i principi cardine stabiliti dal GDPR di “accountability” e “privacy by design”. 

Gli adempimenti in sintesi

Nell’attesa dell’emanazione di dette disposizioni semplificative rimangono sempre due le tipologie di adempimento che chi tratta dati personali di terzi deve rispettare:

- la corretta informazione dell’interessato al trattamento

- e la protezione dei dati personali da quest’ultimo forniti.

Quanto alle norme che regolano la corretta informazione dell’interessato, resta comunque necessario fornire una completa ed esauriente informativa al soggetto interessato, chiarendogli tutti i suoi diritti e le sue facoltà, nonché la durata e finalità per cui il trattamento è necessario. 

Qualora il titolare del trattamento volesse utilizzare i dati raccolti per finalità ulteriori rispetto all’esecuzione del contratto stipulato tra le parti o l’adempimento di specifici obblighi di legge,  dovrà premurarsi non solo di fornire al cliente una informativa esauriente e completa, bensì di acquisirne anche il consenso espresso e informato. Ciò è particolarmente importante per le operazioni di marketing sulla clientela acquisita (così detto “soft spam”) ed è indispensabile per il marketing presso clienti potenziali, sia tramite email che ogni altro mezzo di comunicazione.

Sempre consigliabile per ora predisporre il registro del trattamento 

In un’ottica di “accountability”, pur non essendovi per il professionista l’obbligo di porre in essere i registri del trattamento, la loro tenuta, integrati anche con una analisi dei rischi a cui i dati del singolo trattamento sono soggetti, può essere prova del corretto adempimento alle norme da parte del Titolare e la sua miglior difesa in caso di controlli da parte del Garante. 

I registri del trattamento, corredati dall’analisi dei rischi (non obbligatori per il tecnico ma senza dubbio consigliabili per ora), insieme con la nomina a responsabile del trattamento dei soggetti terzi che, per svolgere specifici adempimenti richiesti dalla legge, vengono in contatto con i dati personali dei propri clienti e la corretta informazione e acquisizione del consenso, se necessario, da parte dei propri clienti, sono infatti i capisaldi per dimostrare la propria responsabilizzazione e quindi il corretto adempimento degli obblighi previsti dalla normativa. 

I servizi Geo Network a supporto del tecnico

Il software  

Per assistere il professionista/tecnico, sia quando agisce come titolare del trattamento che quando invece viene nominato “responsabile del trattamento” da altro soggetto economico, la software house Geo Network srl, già nota per la sua expertise ventennale in materia, ha già provveduto ad aggiornare il proprio software Expert Privacy che, in maniera lineare, guidata e veloce permette, sia al professionista che alla piccola media impresa, di mettersi pienamente in regola con gli adempimenti previsti dal GDPR e dal D. Lgs. 101.  

Il software è in offerta a soli € 99,00 più IVA (ivi compresa assistenza tecnica gratuita) fino al 30 Settembre 2018. 

I corsi

Geo Network organizza inoltre corsi di formazione “ad hoc” presso ordini professionali ed aziende via webinar o presso ordini professionali con docenti esperti, certificati nel settore privacy.  Il prossimo corso pratico di 4 ore via webinar (accreditato 4 CFP dal Consiglio Nazionale Geometri,) e svolto in diretta su internet (webinar) è previsto per Venerdì 21 Settembre p.v. dalle ore 14:00 alle ore 18:00 con un docente universitario, esperto e pubblicista in materia, al prezzo di € 80,00 + IVA per partecipante. 

Per informazioni: tel. 0187. 622198 oppure vai al LINK