Il 4 settembre 2018 è stato pubblicato sulla “Gazzetta Ufficiale” n. 205 il Decreto legislativo n. 101 del 10 agosto 2018. Il decreto contiene le disposizioni per l’adeguamento del D.lgs. 196/2003 (Codice della Privacy) alle disposizioni del Regolamento (Ue) 2016/679, anche noto come “Regolamento generale sulla protezione dei dati” GDPR.
Il D.lgs. 101/2018, entrato in vigore il 19 settembre 2018, è composto da 27 articoli, molti dei quali abrogano le disposizioni del Codice previgente che, all’esito di un giudizio di compatibilità, sono risultate contrastanti con le disposizioni del Regolamento europeo.
Le abrogazioni introdotte richiederanno, in particolare, uno sforzo interpretativo e di adeguamento non trascurabile, considerando che il legislatore ha previsto una fase di adattamento in cui si terrà conto delle difficoltà incontrate, ai fini della compliance con il Regolamento e con il D.lgs. 101/2018 stesso, per irrogare le sanzioni a carico di eventuali trasgressori.
In questo contesto, particolare rilievo assumono le disposizioni che “traghettano” il regime normativo precedente verso un nuovo assetto della privacy in Italia, che, salvo qualche refuso o imprecisione terminologica e formalistica (già individuati dal legislatore), appaiono in linea con il quadro europeo.
Le diverse abrogazioni attuate dal D.lgs. 101/2018, nonché le modifiche e le sostituzioni introdotte dalle altre disposizioni, evidenziano alcune difficoltà di coordinamento e comprensione cui andranno incontro le imprese e gli operatori del settore.
Tra le abrogazioni operate dal D.lgs. 101/2018 si evidenziano quelle relative al quadro sanzionatorio, in recepimento dell’irrigidimento imposto dal legislatore della Ue, soprattutto sotto il profilo pecuniario.
Scompaiono dal panorama legislativo nazionale le autorizzazioni generali, strumento cui i titolari del trattamento attingevano per avere chiarimenti sulle misure di sicurezza da applicare a tutti i trattamenti analoghi a quelli oggetto del provvedimento del Garante per la protezione dei dati personali, e le verifiche preliminari, lasciando così “scoperto” il titolare che tendeva a rifugiarsi sotto l’“ombrello” del Garante.
Vengono meno anche tutti i principi generali previsti dal Codice previgente, così come non trascurabile è l’abrogazione delle norme in tema di misure di sicurezza.
Ciò avviene conseguentemente all’introduzione del principio dell’”accountability” di cui all’articolo 5 comma 2 del Regolamento, secondo cui spetta solamente al titolare individuare e applicare le più idonee e pertinenti misure tecniche e operative ai trattamenti da questo effettuati.
È auspicabile che il Garante si accinga, in tempi piuttosto rapidi, ad adottare tutti i provvedimenti contemplati dal D.lgs. 101/2018 (ad esempio, quelli a carattere generale di cui all’articolo 21 del D.lgs. 101/2018 o quelli a carattere particolare per il trattamento dei dati genetici, biometrici e sanitari ex articolo 2-septies del Codice della Privacy), al fine di fornire opportune indicazioni e linee guida a tutti gli operatori del settore.
Il Regolamento europeo sulla privacy (GDPR), in vigore dal 24 maggio 2016, pienamente applicabile in tutti gli Stati membri Ue dallo scorso 25 maggio 2018, valorizza il principio della responsabilizzazione nella gestione dei dati personali in capo a titolari e responsabili del trattamento, la cosiddetta accountability.
Con riferimento ai professionisti, il legislatore europeo richiede agli stessi (commercialisti, avvocati, consulenti del lavoro e professionisti in generale) un vero e proprio cambiamento culturale che parta da una nuova consapevolezza dell’importanza del dato personale e della sua tutela, che deve essere vista come a garanzia dei diritti e delle libertà fondamentali dell’individuo, fino alla concreta gestione della privacy nell’ambito dei luoghi di lavoro.
Questo approccio basato appunto sull’accountability e sulla analisi dei rischi, rappresenta una grande novità per la protezione dei dati, in quanto viene affidato agli stessi professionisti/titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specificati nel Regolamento europeo.
Il legislatore italiano ha adeguato il Codice interno della privacy alle disposizioni del GDPR, anche se, a prescindere dall’adeguamento, la disciplina europea sulla privacy Ue risulta direttamente e immediatamente applicabile agli Stati membri (dallo scorso 25 maggio), essendo il Regolamento una fonte del diritto europeo cosiddetta “self-executing”, che non necessita di atti formali di recepimento.
La legge di delegazione europea (2016-2017), n. 163 del 25 ottobre 2017, ha delegato il Governo ad adottare, entro 6 mesi dalla pubblicazione della legge di delega, uno o più decreti legislativi di adeguamento della normativa italiana al GDPR.
La delega non è stata esercitata nei termini previsti, pertanto la scadenza per l’esercizio della delega è stata automaticamente prorogata di 3 mesi, vale a dire fino al 21 agosto 2018. Da qui, si arriva al decreto legislativo 101/2018, denominato appunto “Decreto di adeguamento”, che è intervenuto nella struttura del Codice privacy, rimasto in vigore, con:
Relativamente alle misure di sicurezza, al contrario del D.lgs. 196/2003, il Regolamento europeo non contiene un disciplinare tecnico delle misure minime di sicurezza da adottare, in quanto, in virtù del principio di responsabilizzazione, sono in capo al titolare/responsabile del trattamento la valutazione e la scelta, caso per caso, delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato e appropriato al rischio.
A tal proposito, il D.lgs. 101/2018 reintroduce in un certo modo le misure di sicurezza, ridenominandole “misure di garanzia”, limitandole a determinate categorie particolari di dati personali (ad esempio, per i dati genetici, biometrici e relativi alla salute).
L’indicazione la troviamo nell’art. 2, co. 3, D.lgs. 101/2018, il quale introduce nel corpo del D.lgs. 196/2003 l’art. 2-septies rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”.
Saranno necessari dei provvedimenti del Garante ella Privacy ai fini dell’operatività di tali misure, provvedimenti che dovranno essere emessi periodicamente per essere sempre aggiornati con l’evoluzione scientifica e tecnologica.
La gestione dei dati personali va definita rispettando, oltre che il principio della responsabilizzazione sopra descritto, anche un altro criterio cardine previsto dall’art. 25 del Regolamento europeo ovvero il:
In particolare, si ritiene di configurare il trattamento dei dati, prevedendo fin dall'inizio le garanzie indispensabili per soddisfare i requisiti indicati dal Regolamento, e tutelare i diritti degli interessati, tenendo conto del contesto in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire prima di procedere al trattamento dei dati e prima di determinare i mezzi del trattamento, e richiede al titolare/professionista un'analisi preventiva e un’attività di valutazione ex ante delle situazioni, che consentano una programmazione e una pianificazione del processo specifico di trattamento dei dati personali conforme al Regolamento.
NB! - Il titolare/professionista dovrà predisporre misure tecniche ed organizzative adeguate per garantire che, rispetto all’implementazione, siano trattati di default (per impostazione predefinita) solo i dati personali necessari per ogni specifica finalità del trattamento. |
L’informativa che i professionisti nonché le imprese, in veste di titolari del trattamento di dati personali, devono fornire all’interessato è sensibilmente diversa con il nuovo Regolamento europeo, sia dal punto di vista dei contenuti obbligatori, sia dal punto di vista delle caratteristiche e modalità di comunicazione del messaggio informativo e della sua tempistica.
Il decreto di adeguamento del Codice della privacy al GDPR contiene, oltre a disposizioni autonome, espresse modifiche a determinate norme del D.lgs. 196/2003, nonché esplicite abrogazioni di alcuni Titoli, Capi, Sezioni, Articoli e Allegati dello stesso D.lgs. 196/2003.
I contenuti obbligatori dell’informativa sono elencati tassativamente nell’art. 13 (Dati raccolti presso l’interessato) e nell’art. 14 (Dati non ottenuti presso l’interessato) del Regolamento Ue e sono più ampi rispetto a quelli previsti dal D.lgs. 196/2003, prima delle modifiche effettuate dal D.lgs. 101/2018.
Relativamente ai contenuti obbligatori dell’informativa, il titolare o professionista dovrà evidenziare in modo chiaro, trasparente e con linguaggio semplice:
Occorre rendere note le sopra descritte informazioni (con esclusione del riferimento alla comunicazione dei dati personali come obbligo legale o contrattuale), con l’aggiunta di due elementi:
Nel caso di dati raccolti direttamente presso l'interessato, l'informativa deve essere fornita prima di effettuare la raccolta dei dati.
Nella differente ipotesi in cui i dati personali non siano raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole non superiore ad un mese dalla raccolta, oppure, nel caso in cui i dati siano destinati alla comunicazione con l’interessato, l’informativa va fornita al momento della prima comunicazione all’interessato.
NB! - I professionisti e le imprese, per adeguarsi alla nuova normativa europea sulla privacy, dovranno adottare anche misure organizzative interne idonee a garantire il rispetto della tempistica. Il termine di un mese per fornire l'informativa all'interessato è chiaramente un termine massimo, ricordando inoltre che il Regolamento Ue menziona in primo luogo che il termine deve essere ragionevole. |
Il Regolamento Ue specifica molto più in dettaglio rispetto al Codice della privacy, nella sua versione originaria prima delle modifiche da parte del D.lgs. 101/2018, le caratteristiche dell'informativa.
Le informazioni sopra descritte devono essere concise, trasparenti e facilmente accessibili per l’interessato.
Occorre utilizzare un linguaggio chiaro e semplice, inoltre per i minori occorre prevedere informative idonee specificatamente destinate ad essi.
L'informativa viene data, in linea di principio, per iscritto e preferibilmente, in formato elettronico, ovviamente nel contesto di servizi on line, ma sono ammessi altri mezzi, quindi può essere fornita anche oralmente, pur nel rispetto delle caratteristiche previste e purché sia comprovata l’identità dell’interessato.
Con riferimento ai “soggetti privacy”, il Regolamento europeo prevede alcune figure protagoniste nell’ambito della normativa della privacy già presenti nel Codice nella sua versione originaria, come il titolare (e contitolare) del trattamento, il responsabile del trattamento e l’interessato.
Il Regolamento europeo introduce una nuova ed importante figura: il responsabile della protezione dei dati (DPO – Data Protection Officier).
La designazione di un responsabile della protezione dati riflette l'approccio della responsabilità (accountability) insito nel Regolamento europeo, essendo questa figura finalizzata a facilitare l'attuazione dello stesso da parte del titolare e del responsabile.
Fra i compiti del DPO rientrano in particolare la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto sulla protezione dei dati di cui all'art. 35, Regolamento Ue ovvero quando un tipo di trattamento (prevedendo l'uso di nuove tecnologie), considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
I DPO saranno al centro di questo nuovo quadro giuridico-normativo attraverso questo ruolo di facilitatori, in quanto chiamati appunto a facilitare l’osservanza delle disposizioni del GDPR.
La figura del DPO sembra tuttavia non costituire una novità assoluta, in quanto anche se la Direttiva 95/46/Ce non prevedeva alcun obbligo di nomina, in molti Stati membri questa è divenuta una prassi nel corso degli anni ancora prima dell’adozione del Regolamento Europeo.
Oltre a favorire l’osservanza attraverso strumenti di accountability (supportando valutazioni di impatto e conducendo o inoltre supportando audit in materia di protezione dei dati), i DPO fungono da interfaccia fra tutti i soggetti coinvolti nel sistema della privacy.
Secondo quanto previsto dal Regolamento Ue, alcuni titolari e responsabili del trattamento sono tenuti obbligatoriamente a nominare un Responsabile della protezione dei dati.
L’art. 37, par. 1, Regolamento Ue stabilisce che la nomina di un DPO è obbligatoria in 3 specifici casi (da interpretarsi naturalmente in via alternativa):
Con riferimento alle libere professioni, il Garante non ritiene obbligatoria la nomina del DPO in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale. Con riferimento, ad esempio, ai Dottori Commercialisti, il Consiglio Nazionale ritiene tale nomina, comunque, raccomandata anche alla luce del principio di accountability che permea il Regolamento. Il Consiglio ritiene necessario indicare per ciascuno studio professionale almeno un Referente GDPR al quale fare riferimento, sia ai fini di eventuali verifiche e controlli, sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.
Le novità sui nuovi adempimenti privacy coinvolgono necessariamente i Dottori Commercialisti e le varie nuove problematiche sono state affrontate dal Consiglio Nazionale, che oltre a numerosi chiarimenti, ha provveduto a dotare i professionisti di alcuni strumenti per operare nei propri studi professionali. In particolare sono state redatte alcune “Check list”, che aiutano gli stessi professionisti nella direzione della compliant alla nuova normativa.
Il nuovo contesto richiede un processo valutativo basato sulla “Risk Analisys”, tipico dei sistemi di gestione di Internal Auditing, e i chiarimenti e i suggerimenti operativi del Consiglio Nazionale possono costituire un’efficace forma di auto-valutazione preventiva.
Operativamente sono state proposte delle “Check list” tematiche, dedicate ad argomenti distinti, e una tabella di mappatura delle categorie dei dati raccolti, da utilizzare per valutare il livello di adeguamento degli studi professionali alle nuove disposizioni del regolamento.
Anche per gli stessi Studi professionali, come per tutti i soggetti che effettuano trattamenti di dati personali, vige il principio di responsabilizzazione (accountability) e, pertanto, a prescindere dall’adozione delle misure suggerite dalle “Check list”, ciascun titolare del trattamento dovrà dimostrare di avere valutato con discernimento la propria posizione in termini di rischiosità e di aver adottato adeguati modelli organizzativi con una strategia trasparente nei confronti degli interessati.
L’attività di controllo indicata per i professionisti (Commercialisti) consiste inizialmente in una mappatura delle categorie di dati raccolti, trattati e conservati, partendo dai più importanti processi riguardanti le principali attività di studio.
Le informazioni catalogate vanno completate con la stima del periodo di conservazione e l’analisi comprenderà i dati di tutti gli interessati (clienti, fornitori, dipendenti, tirocinanti, ecc.).
L’attività di autovalutazione verrà effettuata su determinati argomenti riguardanti ad esempio:
Tale sistema permette di individuare gli ambiti di intervento per conformarsi al Regolamento, andando ad analizzare tutte le misure mancanti.
Una terza fase consisterà nella individuazione delle misure relative all’adeguato trattamento dei dati non ancora attuate.
Nell’ambito degli studi professionali, il titolare del trattamento dovrà impostare tutte le attività e l’organizzazione di studio rispettando il principio della “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita”, vale a dire adottando adeguate misure tecniche ed organizzative, prima che il trattamento dei dati personali abbia inizio, idonee a consentire il rispetto dei criteri di minimizzazione dei dati, limitazione della conservazione e ad evitare la comunicazione dei dati a persone non autorizzate.
Qualora lo studio effettui, inoltre, profilazioni, trattamenti automatizzati, trattamenti trasfrontalieri di dati personali, videosorveglianza, monitoraggio sistematico o trattamenti su larga scala, dovrà prevedere informative, consensi, e misure adeguate al maggiore livello di rischiosità concretizzato per la protezione dei dati.
Infine, occorre prevedere sempre una procedura per la violazione dei suddetti dati personali e appositi meccanismi per consentire l’esercizio dei diritti dell’interessato.
Il periodo di conservazione potrà estendersi ad un arco temporale non superiore a quello strettamente necessario per il raggiungimento delle finalità per cui i dati sono trattati e il criterio più affidabile consiste nel riferirsi alle norme di settore dell’ordinamento che impongono, direttamente o indirettamente, obblighi di conservazione in capo ai professionisti.
In linea generale è bene evidenziare nel contratto con il cliente il periodo di conservazione e, in assenza di riferimenti normativi, i criteri necessari ai fini dell’individuazione del periodo di conservazione.
In questo modo, si potrà provvedere periodicamente alla restituzione dei documenti secondo quanto concordato con il cliente (ad esempio, consegna della denuncia dei redditi o di situazioni contabili, ecc.).
Quadro Normativo |
D.lgs. n. 101 del 10 agosto 2018 D.lgs. n. 196 del 30 giugno 2003 |
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".