Archivio per categoria Sportello Privacy

Workshop tematici sul Nuovo Regolamento UE 2016/679 – GDPR

Vista la pubblicazione sulla Gazzetta Ufficiale n. 205 del 4 settembre 2018, del Decreto Legislativo 10 agosto 2018, n. 101 con le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679, Sistema Impresa Roma ha organizzato dei Workshop tematici e periodici, al fine di consentire alle imprese un più semplice adempimento delle norme.

La partecipazione ai Workshop, oltre che un’occasione di confronto tra gli addetti ai lavori e le imprese, prevede il rilascio di un attestato di frequenza, utile a certificare l’impegno da parte dell’impresa a perseguire la strada dell’adeguamento alla luce degli aggiornamenti dettati dal Garante in ambito della Guida all’applicazione del Regolamento Europeo, e a dimostrare, in sede di eventuale verifica ispettiva, l’avvio della procedura di adempimento, al fine di non subire le pesanti sanzioni* previste.

E’ possibile scegliere uno dei seguenti appuntamenti, che si terranno presso la sede di Sistema Impresa Roma, in Piazzale delle Belle Arti, 6 – 00196 Roma, nelle date:

  • 21/09/2018 dalle 11.00 alle 13.00
  • 28/09/2018 dalle 11.00 alle 13.00
  • 05/10/2018 dalle 11.00 alle 13.00
  • 12/10/2018 dalle 11.00 alle 13.00
  • 19/10/2018 dalle 11.00 alle 13.00

Il percorso formativo sarà accompagnato da uno sportello di ascolto per le imprese associate, che rimarrà attivo per 12 mesi.

La partecipazione ai workshop è totalmente gratuita.

Per informazioni e iscrizioni: info@sistema-impresa-roma.org | 06/45596705

*Sanzioni – Sarà il Garante a decidere l’entità delle sanzioni, in base agli elementi raccolti durante la fase ispettiva della Guardia di finanza. Il Garante, secondo l’art. 83 del Regolamento, garantirà inoltre che essa sia effettiva, proporzionata e dissuasiva. Il Garante Italiano detiene ancora il record per la più alta sanzione comminata, con la cifra di 11 milioni di euro, ottenuta sanzionando una società inglese e 4 aziende italiane.

GDPR rinviato al 21 agosto? Facciamo chiarezza

Il 25 maggio 2018 è cominciata l’era della privacy europea. Il regolamento Ue 2016/679 è diventato a tutti gli effetti operativo, così come le norme sugli adempimenti e sulle sanzioni nonostante i lavori legislativi siano ancora in corso. Molte cose sono applicabili, ma ci sono anche tanti altri aspetti per cui il legislatore o il Garante della privacy devono ancora scrivere regole.

Al momento, al governo italiano è stata consentita una proroga di circa tre mesi prevista dall’articolo 13 della legge 163/2017 che rimanda alla n.234 del 2012.

Dati tali riferimenti normativi, gli schemi previsti per l’applicazione del GDPR verranno inviati alle Commissioni del parlamento entro 30 giorni. Dopo la scadenza della delega ci sarà una proroga totale di circa tre mesi. Quindi il GDPR non è rimandato, semplicemente saranno necessari circa tre mesi per il decreto di recepimento italiano.

Per questo motivo si sta dicendo che il tempo limite per l’adeguamento sarà il 21 agosto. Durante questi mesi di transizione, le sanzioni e i controlli non dovrebbero essere sospesi, ma comunque non si applicheranno le multe previste dal GDPR. Dopo il 21 agosto saranno applicate le sanzioni previste, ossia il 4% sul fatturato annuo sino a una multa al pari a 20 milioni di euro.

Dunque si verificherà, per un determinato periodo di tempo, una sovrapposizione tra le disposizioni europee e il codice della privacy attualmente vigente, che verrà abrogato a decorrere dal 25 maggio 2018 per le parti in contrasto con il GDPR.

Il GDPR dunque non slitterà al 21 agosto ma è in vigore in tutta Europa dal 25 maggio del 2018!

Quindi se non l’hai fatto è meglio iniziare ad adeguarti alla normativa!

GDPR – Alcune risposte alle domande più frequenti

I nostri articoli sul “General Data Protection Regulation” (GDPR), ossia il nuovo regolamento europeo in materia di dati personali, hanno suscitato un vivo interesse, come dimostrano le tante domande ricevute in pochi giorni sul sito e sulla pagina Facebook di Sistema Impresa Roma.

Di seguito, tenteremo di dare una risposta ad alcune di queste domande; nei prossimi giorni, poi, pubblicheremo un approfondimento legale sul tema, vista la sua importanza e la risonanza che ha avuto.

Un primo utente ci ha chiesto di sapere come cambia l’informativa sulla privacy: “al di là del linguaggio da utilizzare che deve essere più semplice e chiaro, rispetto al passato quali sono le innovazioni principali sui contenuti?”.

La nuova informativa impone al titolare di specificare i dati di contatto del responsabile della protezione dei dati (ove esistente), la base giuridica e le finalità del trattamento, gli eventuali destinatari dei dati, nonché l’eventuale intenzione del titolare di trasferire i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti intende farlo.

Sono previste anche importanti informazioni aggiuntive, come ad esempio il periodo di conservazione dei dati e il diritto di presentare un reclamo all’Autorità di controllo.

Un riflesso pratico molto importante della nuova informativa, che si può indicare a titolo di esempio per dare un’idea dell’innovatività del regolamento, riguarda le finalità del trattamento dei dati: se il soggetto che ha raccolto i dati di un utente lo ha fatto per una specifica finalità e intende utilizzare i dati per altri scopi, deve informare preventivamente l’utente stesso prima di procedere al trattamento ulteriore.

Il tema dell’informativa è strettamente legato a quello del consenso e ci porta a un secondo quesito di un lettore, che chiede: “se ho raccolto il consenso al trattamento dei dati prima del 25 maggio con la vecchia normativa, posso utilizzare i dati raccolti oppure devo procedere all’acquisizione di un nuovo consenso?”.

A questa domanda ha risposto il nostro Garante per la Privacy, il quale ha chiarito che resta valida l’acquisizione antecedente al 25 maggio solo se il consenso ha tutte le caratteristiche imposte dal nuovo regolamento: in caso contrario, è necessario procedere a una nuova acquisizione.

Ecco perché è necessario affidarsi alla consulenza di soggetti particolarmente qualificati: la verifica delle caratteristiche dei consensi raccolti prima del 25 maggio potrebbe infatti far risparmiare all’azienda i costi di una nuova “campagna” di acquisizione del consenso, oppure (nel caso di invalidità del vecchio consenso) potrebbe evitare all’impresa le pesanti sanzioni previste dal GDPR.

Un’altra domanda riguarda le aziende multi-settore: “il responsabile del trattamento dei dati – ci è stato chiesto – può delegare altri soggetti sempre interni all’azienda?”.

In realtà, il meccanismo previsto dal GDPR non è quello di una vera e propria delega: “Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento”, dispone l’art. 28, comma 2, del regolamento.

Il GDPR, pertanto, consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, e non esclude l’ulteriore figura dell’“incaricato” del trattamento, prevista dal Codice della Privacy italiano.

Il regolamento, infatti, parla anche di “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”, ma sempre secondo rigidi meccanismi tesi a evitare la dispersione dei dati fra più soggetti.

Anche in questo caso, prima di riorganizzare il personale e procedere a nomine varie, è opportuno verificare che le figure individuate e i loro ruoli siano compatibili con la disciplina del GDPR.

Un’ultima domanda, infine, riguarda i diritti degli interessati, ossia delle persone che hanno fornito i dati personali: “è vero che con il GDPR un’impresa che riceve richieste di informazioni da parte degli utenti sui propri dati personali deve rispondere in un mese? E che può chiedere un contributo per la pratica?”, è stato chiesto da un utente.

Il GDPR consente all’interessato non solo di sapere se i propri dati personali sono in corso di trattamento da parte di un soggetto, ma anche di conoscere varie informazioni relative a tali dati (es.: finalità del trattamento, destinatari dei dati, categorie dei dati in questione, etc.); più in generale, il regolamento attribuisce una serie di diritti di accesso all’interessato ed è vero che, quando vengono richieste informazioni di questo tipo, il titolare dei dati deve evadere la richiesta nel giro di un mese.

Tuttavia, quando la richiesta è particolarmente complessa o quando vi è un gran numero di richieste, il titolare può prorogare questo termine di ulteriori due mesi, ma in ogni caso resta l’obbligo di dare una risposta all’interessato entro il primo mese, anche solo per comunicare il diniego o i motivi del ritardo.

Per quanto riguarda il contributo alle spese dell’istruttoria, invece, bisogna distinguere: in generale, la richiesta di informazioni va evasa a titolo gratuito, mentre la possibilità di chiedere un contributo spese “ragionevole” è prevista solo quando le “richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo”, oppure quando l’interessato chiede più copie dei propri dati personali.

L’entità del contributo è rimessa alla discrezione del titolare, ma dovrebbe essere limitata ai reali costi amministrativi sostenuti dall’impresa e comunque il nostro Garante, di concerto con le Autorità degli altri Paesi dell’Unione, dovrebbe emanare in futuro delle linee-guida specifiche sul punto.

 

 

PRIVACY – Il percorso verso la GDPR tra novità, obblighi e opportunità

Il General Data Protection Regulation, ossia il nuovo Regolamento europeo in materia di privacy e protezione dei dati personali, concretizza l’ideale perseguito a livello comunitario di fornire a tutti gli Stati membri dell’Unione Europea una disciplina comune in tale materia.

Tuttavia, com’è facile immaginare, una normativa sovranazionale unica e valida per tutte le aziende, i professionisti e i cittadini sparsi sul territorio europeo non può tenere certo in considerazione le singole particolarità degli Stati membri, specie in un campo delicato com’è quello della diffusione dei dati personali.

E’ consigliabile, quindi, rivolgersi a soggetti particolarmente qualificati nel fornire assistenza e consulenza; con qualche esempio pratico, sarà agevole capirne l’importanza.

Partiamo dal consenso: quand’è necessario che sia espresso? E quando, invece, è sufficiente un mero comportamento dell’utente? E’ necessaria la forma scritta? E per i minori come funziona? E se l’azienda (o il professionista) ha raccolto il consenso prima dell’entrata in vigore del GDPR (25 maggio), il consenso resta valido?

Come si può vedere, i quesiti che un’azienda o un professionista devono affrontare sono molteplici già solo sul tema del consenso al trattamento dei dati.

Il GDPR, però, introduce significative novità anche su altre questioni che già normalmente, con l’attuale Codice della Privacy italiano (D. Lgs. 196/2003), si rivelavano spinose per aziende e professionisti: una di queste è senza dubbio l’informativa sul trattamento dei dati personali.

Dimentichiamoci, infatti, le formule di stile e i richiami a leggi e normative di vario genere, delle quali noi italiani siamo maestri: il Regolamento impone che l’informativa sia concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice e, per i minori, occorre prevedere informative idonee.

La predisposizione di un’informativa che sia rispettosa di tali requisiti, ma anche completa e idonea dal punto di vista tecnico a soddisfare tutte le richieste del Regolamento, non può essere certo lasciata all’improvvisazione ed è sconsigliato limitarsi a “semplificare” la vecchia informativa sinora utilizzata.

Ulteriori incombenze per aziende e professionisti possono sorgere, poi, nel caso in cui un utente voglia richiedere l’accesso ai propri dati personali che siano in possesso di terzi: il GDPR, infatti, prevede tempi abbastanza stringenti per riscontrare tali richieste e, quindi, impone l’adozione di misure tecniche e organizzative per favorire l’esercizio dei diritti degli interessati.

Fra questi diritti, è particolarmente significativo il cosiddetto “diritto all’oblio”, ossia alla cancellazione dei propri dati personali, che è stato fortemente rafforzato dal GDPR rispetto all’attuale Codice della Privacy.

Infine, la necessità di un’assistenza e consulenza esterna è inevitabile per adempiere a una serie di ulteriori obblighi previsti dalla nuova normativa europea, dall’adozione di misure di sicurezza finalizzate a evitare la diffusione illecita dei dati personali alla nomina di un apposito responsabile della protezione dei dati (“RPD”, oppure “DPO” se si utilizza la dicitura inglese).

Altrettanto importante è l’adeguata formazione del personale aziendale: il semplice rispetto degli adempimenti formali, infatti, non è sufficiente se poi i soggetti che materialmente lavorano in azienda ogni giorno non conoscono la nuova normativa, almeno nelle sue linee essenziali, e rischiano quindi di commettere inosservanze.

Attraverso i servizi offerti da Sistema Impresa Roma, quindi, l’azienda potrà essere inserita in un percorso completo per adeguarsi al GDPR, dalla fase preliminare di studio della singola realtà imprenditoriale fino alla fase esecutiva (nomina dei responsabili, mappatura delle criticità, verifica continua dell’adeguatezza della privacy policy, etc.); le imprese, poi, potranno essere eventualmente inserite in piani di formazione finalizzati ad assicurare l’adeguata conoscenza, in tutti i settori aziendali, degli obblighi nascenti dal Regolamento, così da ridurre costi, sprechi e inefficienze.

Nuovo Regolamento Privacy: ci siamo!

Il prossimo 25 maggio, con il General Data Protection Regulation, entra in vigore il nuovo Regolamento sulla Privacy, ai sensi del Regolamento (UE) 2016/679, studiato per rispondere alle insidie della Digital Transformation.

Ma cos’è il GDPR? Il nuovo regolamento sulla Privacy 2018 riguarda la protezione, il trattamento e la libera circolazione dei dati personali delle persone fisiche. Come indicato dalla stessa Commissione Ue, la nuova Privacy 2018 ha diversi e nuovi obiettivi da perseguire, in primis il raggiungimento di una maggiore certezza giuridica, trasparenza, semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Il GDPR nasce quindi dall’esigenza necessaria ed urgente, di dare un regolamento comune nell’UE ed una maggiore protezione della privacy alla luce dell’innovazione tecnologica e dei nuovi modelli di crescita economica.

Manca ormai pochissimo e professionisti, imprese e Pubblica Amministrazione si stanno preparando ad adeguarsi alle nuove norme sul trattamento, protezione e diffusione dei dati personali delle persone fisiche in ottemperanza a quanto previsto dall’Unione Europea e al decreto privacy italiano.

Sistema Impresa Roma si mette a disposizione di aziende, professionisti e PA al fine di assisterle nella conformazione al nuovo Regolamento.

 

Scarica il nuovo Regolamento Europeo in materia di Protezione dei Dati Personali.