Posts Tagged ‘regolamento privacy’

Regolamento Privacy: come adeguarsi alla normativa europea

Regolamento Privacy: come adeguarsi?

A quasi sei mesi dall’entrata in vigore del Regolamento UE 2016/679 sul trattamento dei dati personali, meglio conosciuto come GDPR,  molte aziende si trovano ancora indietro in materia di privacy.

Come fare dunque per per mettersi in regola e non incombere nelle pesanti sanzioni previste dal Regolamento?
Prima di tutto, ogni azienda dovrebbe fare una valutazione sui tipi di dati di cui è titolare, sui trattamenti che effettua senza dimenticare che ci sono dei principi stabiliti per garantire e rispettare i diritti delle persone, chiamati interessati, di cui si possiedono i dati personali.

In seguito, ogni titolare dovrebbe analizzare i propri archivi, ponendosi delle semplici domande: dove vengono conservati i dati? l’archivio, cartaceo o informatico, è sicuro o potrebbe essere soggetto a violazioni?
Si valuta così il rischio di eventuali problematiche nella gestione dei dati e si deve provvedere ad adottare le misure tecniche e organizzative idonee per garantire il livello di sicurezza adeguato.

Il Regolamento poi obbliga le aziende ad altri adempimenti, quali il registro dei trattamenti, la valutazione di impatto, la designazione del Responsabile della protezione dei dati, in casi specifici relativi ai tipi di dati che vengono trattati.

Da non dimenticare l’elaborazione di incarichi a coloro che effettuano il trattamento per conto del titolare e, non da ultimo, l’obbligo di informare gli interessati sulle finalità e le modalità del trattamento, sui tempi di conservazione dei dati, sulla comunicazione a terzi specificando le generalità del titolare del dato e di eventuali responsabili.


Il Garante ha elaborato una sintesi degli adempimenti per le aziende, disponibile qui.

La Ser.int.A srl mette a disposizione delle aziende le proprie professionalità e competenze per ottemperare agli obblighi previsti dal Regolamento.

Per informazioni cliccare qui

Privacy: formazione obbligatoria per Imprese e Pubbliche Amministrazioni

Privacy: indicazioni per la formazione obbligatoria

Il General Data Protection Regulation in materia di privacy sancisce l’obbligo di formazione dei dipendenti e collaboratori sul tema protezione dati personali.
L’obbligo riguarda tutti i lavoratori e collaboratori di Imprese e Pubbliche Amministrazioni che trattano dati personali di persone fisiche.
La formazione dovrà consentire alle persone autorizzate al trattamento dei dati di utilizzare correttamente i dati personali per evitare la divulgazione illecita o l’utilizzo erroneo degli stessi in relazione alle finalità consentite.

La mancata erogazione della formazione e la mancata gestione dei dati personali sono sanzionabili con una multa fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.
La formazione obbligatoria in materia di privacy potrà essere erogata in diverse modalità: in aula, e-learning (formazione a distanza), videoconferenza, on the job.

Mentre la gestione dei dati personali dovrà essere documentata attestando il corretto svolgimento di tutte le operazione che coinvolgono i dati di clienti/utenti/fornitori, dalla raccolta, alla lavorazione, fino all’archiviazione di un dato.

Per agevolare le imprese nella gestione privacy, la Serinta Srl ha realizzato dei pacchetti di adeguamento che permettono di conformare qualunque tipo di organizzazione ai nuovi requisiti privacy, di adempiere alla formazione obbligatoria in modo personalizzato e adatto alle esigenze aziendali.

Il pacchetto di adeguamento documentale privacy consentirà :
• la gestione di nomine e relative istruzioni operative
• la compilazione dei registri delle attività
• risk analysis ed eventuale valutazione di impatto (DPIA)
• realizzazione di informative e consensi automatici per dipendenti, clienti e fornitori.

Per avere informazioni su privacy e formazione contattare

Serinta srl – info@serinta.it – 0968.432291

 

 

Salute e sicurezza nell’alternanza scuola-lavoro

Obblighi sicurezza alternanza scuola-lavoro: un Articolo di PuntoSicuro.it illustra gli obblighi per gli attori coinvolti nei percorsi di alternanza scuola-lavoro.

La riforma denominata “La Buona Scuola” ha fatto fare un “balzo in avanti al rapporto fra scuola e lavoro”, come ha dichiarato il Ministro dell’Istruzione, dell’Università e della Ricerca, Stefania Giannini; l’alternanza diventa da quest’anno “un elemento strutturale dell’offerta formativa”. Con almeno 400 ore da effettuare negli ultimi tre anni degli istituti tecnici e professionali e 200 nei licei.

La nuova legge di riforma n. 107/15 all’art. 1 dal comma 33 al comma 44 introduce e regolamenta l’obbligo di alternanza scuola-lavoro da svolgersi per tutti gli alunni nell’ultimo triennio delle scuole secondarie di secondo grado.

Dal comma 33 al 38 si parla di alternanza scuola-lavoro nelle scuole secondarie di secondo grado, da svolgersi anche in periodo estivo; verranno adattate anche a tali attività le norme sui diritti delle studentesse e degli studenti.

Dal comma 39 al 44 sono previsti finanziamenti ed un registro presso le Camere di commercio per le imprese che realizzeranno l’alternanza. Più in particolare il D.Lgs 15/4/2005, n. 77 applicativo della l. 28/03/2003, n. 53 (riforma Moratti) ha introdotto la normativa sull’alternanza scuola-lavoro.

L’alternanza scuola-lavoro consiste nella realizzazione di percorsi progettati, attuati, verificati e valutati, sotto la responsabilità dell’istituzione scolastica o formativa, sulla base di apposite convenzioni con le imprese, o con le rispettive associazioni di rappresentanza, o con le camere di commercio, industria, artigianato e agricoltura, o con gli enti pubblici e privati, ivi inclusi quelli del terzo settore, disponibili ad accogliere gli studenti per periodi di apprendimento in situazione lavorativa, che non costituiscono rapporto individuale di lavoro art. 4 D.Lgs. 15 aprile 2005, n. 77.

Ma quali sono le ricadute in termini di tutela della salute e sicurezza degli studenti (lavoratori)?

L’ampia formulazione dell’art. 2 comma 1 lett. a) del D.lgs. n. 81/2008 e s.m.i., secondo il quale deve essere considerato “lavoratore” ogni “persona che, indipendentemente dalla tipologia contrattuale, svolge un’attività lavorativa nell’ambito dell’organizzazione di un datore di lavoro pubblico o privato, con o senza retribuzione, anche al solo fine di apprendere un mestiere”, viene ulteriormente specificata in relazione all’allievo “degli istituti di istruzione ed universitari (…) nei quali si faccia uso di laboratori, attrezzature di lavoro in genere, agenti chimici, fisici e biologici, ivi comprese le apparecchiature fornite di videoterminali limitatamente ai periodi in cui l’allievo sia effettivamente applicato alla strumentazioni o ai laboratori in questione”. Perciò tutto sta a capire se sono tutelati gli studenti e l’ambito effettivo della tutela in materia di salute e sicurezza sul lavoro.

Nell’ambito dei progetti di alternanza scuola-lavoro, la rete di tutela è peraltro destinata a doversi allargare, costringendo ad interfacciarsi, con auspicabile effetto positivo, figure che, funzionalmente, afferiscono a realtà organizzative autonome e separate, rispettivamente rappresentate dal soggetto proponente (istituto scolastico/formativo) e dal soggetto ospitante (azienda): i due datori di lavoro (Dirigente scolastico e titolare dell’azienda ), i due tutor, i due R.S.P.P., e così via. Nell’intento di favorire i meccanismi di interazione fra questi attori, il gruppo di lavoro dovrà innanzitutto definire l’attribuzione delle rispettive competenze.

Assieme alla cooperazione sinergica di tutte le figure coinvolte, l’altro elemento imprescindibile per il buon esito del progetto è l’approccio propositivo dello studente-lavoratore, figura centrale dell’iniziativa, che deve interpretare al meglio l’opportunità che gli viene offerta, investendo energie in termini di disponibilità e volontà di apprendimento.

Per mettere lo studente-lavoratore nelle condizioni di maturare “in sicurezza” questa esperienza di crescita formativa-professionale, non è sufficiente che le attrezzature, i locali, gli impianti e quant’altro siano a norma di legge, ma è indispensabile che egli sia preliminarmente coinvolto in un percorso educativo tale da garantirgli un’adeguata formazione in materia di igiene e sicurezza del lavoro, rendendolo contestualmente consapevole di essere parte attiva del sistema di tutela.

Quali sono gli obblighi previsti?

Innanzitutto, il Dirigente scolastico (datore di lavoro dello studente) dovrà valutare i rischi legati alla realizzazione degli stage o dell’alternanza scuola-lavoro, e programmare le relative misure di prevenzione e di gestione affinché gli studenti siano il più possibile tutelati.

In questa prospettiva risulta necessario incentivare la collaborazione tra il referente d’istituto e il Servizio di Prevenzione e Protezione dell’istituto.

Nel selezionare aziende idonee ad ospitare allievi in stage è obbligatorio considerare la sicurezza come requisito vincolante. Ciò richiede conoscenze anche in materia di sicurezza da parte del referente d’istituto ma anche la definizione di procedure per acquisire informazioni da parte dell’azienda.
Nella convenzione fra scuola e singole aziende che ospitano gli allievi dovranno essere espressi gli impegni delle parti.

Per quanto concerne quelli relativi alla sicurezza, l’azienda dovrà garantire:

  • l’osservanza degli obblighi di legge;
  • la valutazione dei rischi riferita all’esperienza di stage;
  • la fornitura dei DPI, allorché la mansione svolta dall’allievo lo preveda;
  • la sorveglianza sanitaria dell’allievo, se prevista dalla valutazione dei rischi per le attività alle quali potrà essere adibito
  • l’informazione dell’allievo sui rischi dell’azienda e della mansione a cui sarà adibito;
  • l’informazione dell’allievo sulle misure di prevenzione ed emergenza in atto;
  • l’integrazione della formazione già erogata dalla scuola e assicurando quanto previsto dall’art. 37 del D.Lgs. 81/08 e s.m.i. un tutor aziendale.

L’impegno per l’istituto scolastico riguarderà:

  • le garanzie assicurative dell’allievo;
  • la formazione generale come previsto dall’Accordo Stato-Regioni del 21.12.11;
  • un responsabile scolastico del progetto

Per tutto ciò quindi, nonostante la specifica finalità didattica e formativa e la limitata presenza ed esposizione ai rischi, l’istituzione scolastica è tenuta a verificare le condizioni di sicurezza connesse all’organizzazione dell’alternanza scuola lavoro, garantendo i presupposti perché gli studenti siano il più possibile tutelati, sul versante oggettivo, attraverso la selezione di strutture ospitanti “sicure”, e sul versante “soggettivo”, tramite l’informazione degli allievi. Il dirigente Scolastico, avrà cura di verificare che l’ambiente di apprendimento sia consono al numero degli alunni ammessi in una struttura e adeguato alle effettive capacità tecnologiche, organizzative e didattiche della stessa.

Fondamentali per lo sgravio degli impegni a carico delle istituzioni scolastiche risulteranno le collaborazioni che le stesse riusciranno ad attivare, congiuntamente agli Uffici Scolastici Regionali, con accordi territoriali presso gli enti preposti per competenza, in modo tale da:

garantire la sorveglianza sanitaria, qualora necessaria, di cui all’articolo 41 del decreto legislativo 81/2008 e s.m.i.;

assicurare presso l’INAIL contro gli infortuni sul lavoro e malattie professionali gli studenti impegnati, nei casi previsti dagli artt. 1 e 4 del decreto del Presidente della Repubblica n. 1124/65;

stipulare un’assicurazione per la responsabilità civile verso terzi; le coperture assicurative devono riguardare anche attività eventualmente svolte dagli studenti al di fuori della sede operativa della struttura ospitante, purché ricomprese nel progetto formativo dell’alternanza;

ricevere preventivamente dall’istituzione scolastica o formativa un’adeguata formazione generale in materia di tutela della salute e della sicurezza nei luoghi di lavoro e, ove necessario, sul controllo sanitario, quali misure generali di tutela ai sensi dell’art. 15 e 37, commi 1, del D.Lgs. n. 81/2008 e s.m.i. come previsto dall’Accordo Stato-Regioni del 21.12.11, anche al fine del riconoscimento del credito formativo permanente.

È evidente che uno dei maggiori sforzi su cui le parti dovranno concentrare la propria attenzione consiste nella pianificazione della informazione e formazione da garantire allo studente lavoratore: in particolare è necessario dare evidenza delle informazioni date da parte dell’Istituto e del tipo (argomenti e tempistica) di formazione fornita; ciò al fine permettere alla struttura ospitante (Azienda) di integrare idoneamente la formazione anche sulla base della propria esperienza (organizzativa e produttiva).

Se le informazioni di base  (“attività produttive in generale”) dovranno essere illustrate dall’Istituto scolastico, le particolarità (condizioni specifiche, procedure, ambienti di lavoro, misure di prevenzione collettive, DPI etc. ) del lavoro potranno essere erogate con maggiore efficacia dall’Azienda. In proposito anche la struttura ospitante dovrà, all’interno della sua valutazione, aver preso in considerazione tutti i rischi relativi all’attività svolta dagli studenti, senza accontentarsi di indicazioni generiche: esistono in particolare dei rischi supplementari derivanti dalle particolari modalità dell’inserimento nell’impresa, da fattori psicologici, dalla non abitudine ai comportamenti convenzionali di ciascun ambiente di lavoro, dall’utilizzo di macchinari e strumenti spesso nuovi, e su questi rischi l’Azienda dovrà assicurare adeguata informazione e formazione specifica, cosa che assumerà vero valore preventivo se effettuato sul campo.

Preme ricordare, al fine di ridurre gli oneri a carico della struttura ospitante nell’erogazione della formazione specifica sui rischi di lavoro, che possono essere:

a. stipulati dagli Uffici Scolastici Regionali, appositi accordi territoriali con i soggetti e gli enti competenti ad erogare tale formazione, tra i quali l’INAIL e gli organismi paritetici previsti negli Accordi Stato Regioni del 21/12/2011 e del 25/07/2012;

b. svolti percorsi formativi in modalità e-learning, anche in convenzione con le piattaforme pubbliche esistenti riguardanti la formazione generale, come previsto dall’allegato 1 dell’Accordo Stato Regioni del 21/12/2011;

c. promosse forme più idonee di collaborazione, integrazione e compartecipazione finanziaria da determinarsi in sede di convenzione. Nel caso in cui le mansioni cui è adibito lo studente-lavoratore richiedano una sorveglianza medica speciale, l’azienda ospitante è tenuta a darne tempestiva informazione all’istituto scolastico che ha l’onere di organizzare con il proprio medico competente le visite, nonché di gestire eventuali prescrizioni mediche riguardanti l’idoneità (parziale o totale) al lavoro.

In continuità, ma a ben vedere anche in evoluzione con la normativa di tutela della salute e sicurezza nei luoghi di lavoro,  la sorveglianza sanitaria di cui all’articolo 41 del decreto legislativo 81/2008 e successive modifiche ed integrazioni, si considera obbligo assolto mediante visita preventiva da effettuarsi da parte del medico competente dell’istituzione scolastica, ovvero dal Dipartimento di Prevenzione della Azienda Unità Sanitaria Locale.

Tale visita medica, dovrebbe:

• avere una validità estesa a tutta la durata del percorso di alternanza;

• consentire agli studenti di svolgere la propria attività anche in diverse strutture ospitanti, per la stessa tipologia di rischio.

Qualora, invece, sussistano rischi specifici in base al documento di valutazione dei rischi di cui agli articoli 17, comma 1, lettera a), e 28 del citato decreto legislativo 81/2008, sarà cura della struttura ospitante accertare preliminarmente l’assenza di controindicazioni alle attività a cui gli studenti saranno destinati.

 Appare chiaro il ruolo determinante oltre che dei soggetti coinvolti, nel novero delle responsabilità, soprattutto della ditta ospitante per quanto riguarda tutti gli aspetti di tutela della salute e sicurezza nei luoghi di lavoro conseguenti all’applicazione del D.Lgs 81/08 e s.m.i..

Dunque, se da un lato era l’ora che la scuola si occupasse anche di lavoro e di salute e sicurezza nei luoghi di lavoro, maggiore attenzione da parte del legislatore nella definizione delle reali modalità di prevenzione non avrebbe guastato, soprattutto all’interno di questi percorsi.

fonte: PUNTO SICURO

dott.ssa Lisanna Billeri e dott. Gianfranco Bianucci

Tecnici della prevenzione

Unità Funzionale Prevenzione Igiene e Sicurezza nei Luoghi di Lavoro

Az. USL Toscana Centro, zona Valdinievole

Privacy: guida all’applicazione del regolamento

Dal Garante per la protezione dei dati personali arriva una guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali.

Si riporta di seguito quanto pubblicato dal sito del Garante Privacy  (clicca qui per la guida completa)

Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali

(La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo)

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d´ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.

La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.

Indice

  •  Fondamenti di liceità del trattamento
  • Titolare, responsabile, incaricato del trattamento
  • Informativa
  • Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

Cosa cambia?

Il regolamento:

  • disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all´esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;
  • fissa più dettagliatamente (rispetto al Codice) le caratteristiche dell´atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell´art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;
  • consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest´ultimo risponde dinanzi al titolare dell´inadempimento dell´eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l´evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3);
  • prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare,  la tenuta del registro dei trattamenti svolti (ex art. 30, paragrafo 2); l´adozione di idoneemisure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento); la designazione di un RPD-DPO (si segnalano, al riguardo, le linee-guida in materia di responsabili della protezione dei dati adottate dal Gruppo “Articolo 29”, disponibili qui anche nella versione in italiano: www.garanteprivacy.it/regolamentoue/rpd), nei casi previsti dal regolamento o dal diritto nazionale (si veda art. 37 del regolamento). Si ricorda, inoltre, che anche il responsabile non stabilito nell´Ue dovrà designare un rappresentante in Italia quando ricorrono le condizioni di cui all´art. 27, paragrafo 3, del regolamento – diversamente da quanto prevedeva l´art. 5, comma 2, del Codice.

Cosa non cambia?

Il regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE (e, quindi, al Codice italiano). Pur non prevedendo espressamente la figura dell´ “incaricato” del trattamento (ex art. 30 Codice), il regolamento non ne esclude la presenza in quanto fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l´autorità diretta del titolare o del responsabile” (si veda, in particolare, art. 4, n. 10, del regolamento).

RACCOMANDAZIONI

I titolari di trattamento dovrebbero valutare attentamente l´esistenza di eventuali situazioni di contitolarità (si vedano, in proposito, le indicazioni fornite dal Garante in vari provvedimenti, fra cui http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39785), essendo obbligati in tal caso a stipulare l´accordo interno di cui parla l´art. 26, paragrafo 1, del regolamento. Sarà necessario, in particolare, individuare il “punto di contatto per gli interessati” previsto dal suddetto articolo ai fini dell´esercizio dei diritti previsti dal regolamento.

I titolari di trattamento dovrebbero verificare che i contratti o altri atti giuridici che attualmente disciplinano i rapporti con i rispettivi responsabili siano conformi a quanto previsto, in particolare, dall´art. 28, paragrafo 3, del regolamento.

Dovranno essere apportate le necessarie integrazioni o modifiche, in particolare qualora si intendano designare sub-responsabili nei termini sopra descritti. La Commissione e le autorità nazionali di controllo (fra cui il Garante) stanno valutando la definizione di clausole contrattuali modello da utilizzare a questo scopo.

Attraverso l´adesione a codici deontologici ovvero l´adesione a schemi di certificazione il responsabile può dimostrare le “garanzie sufficienti” di cui all´art. 28, paragrafi 1 e 4.

Il Garante sta valutando i codici deontologici attualmente vigenti per alcune tipologie di trattamento nell´ottica dei requisiti fissati nel regolamento (art. 40), mentre per quanto concerne gli schemi di certificazione occorrerà attendere anche l´intervento del legislatore nazionale che dovrà stabilire alcune modalità di accreditamento dei soggetti certificatori (se diversi dal Garante: si veda art. 43). In ogni caso, il Gruppo “Articolo 29” sta lavorando sui temi e sarà opportuno tenere conto degli sviluppi che interverranno in materia nei prossimi mesi.

Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di titolari e responsabili del trattamento che prevede l´adozione di misure atte a garantire proattivamente l´osservanza del regolamento nella sua interezza.

In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che titolari e responsabili del trattamento possano mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del Codice e, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1507921, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1508059 per quanto riguarda la pubblica amministrazione, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1813953  in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e dimostrare “che il trattamento è effettuato conformemente” al regolamento (si veda art. 24, paragrafo 1, del regolamento).

CLICCA QUI PER LA GUIDA COMPLETA Guida all applicazione del Regolamento UE 2016 679

Regolamento Privacy UE 2016/679 in vigore dal 25 maggio

Il Regolamento Privacy UE 2016/679, anche chiamato GDPR, si applicherà a partire dal 25 maggio 2018

Il nuovo Regolamento Privacy, obbligatorio in tutti i suoi elementi, sarà direttamente applicabile tra qualche settimana con le sue novità, in particolare in tema di diritti dell’interessato, responsabilità dei titolari e responsabili dei trattamenti, valutazione dei rischi, misure di sicurezza e sanzioni. Ma la grande novità del Regolamento Privacy è che si offre a tutti i cittadini degli Stati membri dell’Unione Europea lo stesso livello di diritti in termini di utilizzo dei propri dati personali. Il nuovo Regolamento Privacy si fonda sulla “responsabilizzazione” dell’azienda e dei titolari del trattamento, che saranno liberi di valutare come adeguarsi alla normativa ma dovranno obbligatoriamente dimostrarlo.

Vediamo le principali novità del nuovo Regolamento Privacy:

  • Principio di accountability: il titolare deve implementare misure tecniche e organizzative per rispettare il regolamento, dovendo essere in grado poi di dimostrare, documenti alla mano, di averle adottate. Secondo il Regolamento Privacy, dunque, chi tratta i dati deve considerare i rischi connessi al trattamento sin dalla progettazione (privacy by design) e le eventuali misure di sicurezza da adottare per tutelare i diritti e le libertà delle persone. Le stesse misure devono garantire e poter dimostrare in ogni momento che i dati personali trattati siano solo quelli strettamente necessari per la finalità del trattamento (privacy by default)
  • Informative e consenso: l’informativa deve essere concisa, trasparente, facilmente accessibile, con un linguaggio chiaro e semplice, data per iscritto o con altri mezzi elettronici. Finalità, interessi del titolare e/o responsabile, periodo di conservazione devono essere specificati. L’eventuale trasferimento dei dati a terzi deve essere esplicito. Il consenso deve essere libero, specifico rispetto alle finalità, informato e sempre revocabile.
  • Diritti degli interessati: oltre ai già validi diritto di accesso, di rettifica, di cancellazione, di opposizione (rafforzati nel regolamento Privacy), nascono il diritto alla limitazione al trattamento dei dati, diritto alla portabilità dei dati.
  • VIP – Valutazione di impatto privacy (o DPIA) tra i nuovi adempimenti del Regolamento Privacy troviamo la valutazione di impatto sulla protezione dei dati, obbligatoria da parte del titolare e/o dal responsabile quando il trattamento possa mettere in pericolo i diritti e le libertà dell’interessato. La valutazione dovrà determinare origine, valore, particolarità e gravità dei rischi, così da adottare misure opportune. Nel Regolamento Privacy sono inoltre elencati esempi di trattamento che comportano l’obbligo della valutazione.
  • La nomina del DPO: una nuova figura introdotta dal Regolamento Privacy è quella del DPO (data protection officer) o responsabile della protezione dei dati, un punto di riferimento per tutto ciò che riguarda il trattamento. È obbligatorio quando i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, quando vengono trattati prevalentemente dati sensibili (categorie particolari di dati personali) e quando il trattamento è effettuato da un’autorità o da un organismo pubblico. Questa figura avrà il compito di sorvegliare l’osservanza del Regolamento Privacy, valutando i rischi di ogni trattamento.
  • Registro dei trattamenti: il Regolamento Privacy ha previsto che il titolare e/o i responsabili del trattamento tengano un registro che attesti tutte le operazioni svolte sui dati posseduti. Il registro, elettronico o cartaceo, è obbligatorio solo per le imprese con più di 250 dipendenti, salvo che il trattamento non sia molto rischioso, riguardi dati sensibili o relativi a condanne penali. I contenuti minimi saranno i dati del titolare e dei responsabili, dell’eventuale DPO, i dati trattati, le finalità del trattamento, le categorie degli interessati e le misure di sicurezza intraprese. Data la completezza delle informazioni contenute nel registro, la sua elaborazione è consigliata a tutti i titolari, considerando che il documento sarà molto utile in caso di controllo da parte dell’autorità.
  • Misure di Sicurezza: devono essere adeguate per attenuare i rischi derivanti da una violazione dei dati. Il Regolamento Privacy suggerisce ed elenca al titolare delle misure che possono essere utilizzate, come la cifratura dei dati personali, la capacità di ripristinarne l’accesso in maniera tempestiva in caso di incidente fisico o tecnico, o una procedura per testare regolarmente le misure di sicurezza.
  • Data Breach: è una violazione dei dati che può provocare la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali. Con il nuovo Regolamento Privacy, in presenza di uno di questi eventi, il titolare del trattamento deve procedere alla notifica al Garante entro 72 ore, senza ingiustificato ritardo e, nel caso non si fossero adottate le misure di sicurezza adeguate, anche all’interessato.
  • Le sanzioni: un altro elemento centrale del nuovo Regolamento Privacy è rappresentato dalle sanzioni amministrative pecuniarie. Sono stati fissati e inaspriti i massimali, 10 milioni di euro (o il 2% del fatturato), e 20 milioni di euro (o il 4% del fatturato). Quanto un’azienda dovrà pagare in caso di violazione, dipenderà dal tipo, dalla natura, dell’entità della stessa relativamente agli obblighi del Regolamento Privacy. Competente in materia di sanzioni sarà l’Autorità Nazionale di Controllo (ANC).

Sulla pagina web del Garante per la Protezione dei dati personali è possibile trovare tutte le informazioni utili alla gestione dei nuovi adempimenti, le linee guida e le faq.