Mancano due settimane all’effettiva applicazione del GDPR e non esiste ancora una normativa tecnica che stabilisca precisamente quali adempimenti debbano soddisfare gli studi professionali per non incorrere nelle sanzioni previste dal Regolamento europeo 679/16.
Dal prossimo 25 maggio tutti gli studi professionali (anche se piccoli oppure costituiti da un singolo professionista) dovranno essere in linea con la disciplina europea in materia di privacy e molti dubbi e preoccupazioni affliggono i professionisti italiani. Cerchiamo di analizzare i punti più critici della materia.
ACQUISIZIONE E PROTEZIONE DEI DATI PERSONALI DEI PROPRI CLIENTI
Il primo problema che gli studi professionali dovranno risolvere è quello di verificare che l’acquisizione dei dati personali dei propri clienti rispetti i principi di liceità, correttezza e trasparenza sanciti dall’art. 6 dal GDPR.
Per essere in regola con le disposizioni europee i professionisti dovranno acquisire solo i dati strettamente necessari e pertinenti al raggiungimento dello scopo perseguito; inoltre, gli stessi dovranno essere costantemente aggiornati e rettificati in caso di bisogno.
Pertanto, tutte le informazioni eccedenti dovranno obbligatoriamente essere cancellate. I dati personali, così acquisiti, potranno essere conservati solo per il periodo strettamente necessario al loro utilizzo o eventualmente per ulteriore tempo previsto dalle normative specifiche in materia (ad esempio l’obbligo di conservazione per gli avvocati è di 5 anni). Gli studi professionali, perciò, dovranno dotarsi di strumenti adeguati per la loro tutela.
Ad oggi purtroppo, il legislatore nazionale non ha fissato degli standard di sicurezza ai quali allinearsi, pertanto, il grado di protezione da fornire è rimesso alla discrezione dei singoli professionisti. Una regola di buon senso da seguire in questi casi potrebbe essere quella di determinare il grado di rischio che una violazione causerebbe ai diritti e alle libertà degli interessati.
Ad esempio, per i piccoli studi professionali potrebbe essere sufficiente dotarsi di firewall e password con un elevato grado di complessità tale da evitare possibili attacchi informatici nonché dei sistemi di backup sufficienti a scongiurare la possibile perdita di dati. Nelle realtà professionali più complesse, invece, i titolari del trattamento dovrebbero utilizzare meccanismi antielusione più sofisticati; in questi casi sarebbe opportuno rivolgersi a società di gestione della sicurezza e privacy che offrono diversi tipi di soluzioni.
AGGIORNAMENTO INFORMATIVA PRIVACY
Tra le questioni che maggiormente preoccupano i piccoli professionisti c’è anche la redazione della nuova formulazione dell’informativa privacy. I vecchi moduli utilizzati in precedenza dai professionisti, dopo il 25 maggio, non potranno essere più utilizzati, perché mancanti di alcuni elementi essenziali previsti dalla disciplina europea.
Per evitare sanzioni le nuove informative dovranno essere redatte in base a quanto disposto dagli articoli 13 e 14 del Regolamento europeo n. 679/16. L’elenco completo delle informazioni da inserire nel documento è consultabile al seguente link
http://www.privacy-regulation.eu/it/13.htm
NOMINA E COMUNICAZIONE AL GARANTE DEL RESPONSABILE DELLA PROTEZIONE DATI
Altro nodo problematico è rappresentato dalla obbligatorietà o meno della nomina di un Responsabile della protezione dati. Un approccio chiarificatore viene offerto dal Garante della privacy, il quale ha fornito un elenco di soggetti espressamente esonerati da tale obbligo.
Tra quelli esenti troviamo: i professionisti che esercitano l’attività in proprio, anche le imprese individuali e familiari, gli agenti, rappresentanti e mediatori nonché le piccole e medie imprese (in quest’ultimo caso l’impresa è esonerata solo in relazione ai dati dei propri dipendenti e fornitori).
Ne deriva, pertanto, l’obbligo per tutti gli altri titolari di trattamento della nomina di un DPO, che dovrà essere comunicata entro il 25 maggio all’Authority nazionale. I titolari di trattamento, che non hanno ancora provveduto ad inviare tale comunicazione, potranno farlo utilizzando l’apposita procedura telematica istituita dal Garante della privacy sulla propria pagina web (www.garanteprivacy.it).
PROCEDURA TELEMATICA
Il modulo per la comunicazione dovrà contenere tutti i dati del titolare e/o del responsabile del trattamento, del Responsabile della protezione dati nonché di colui che effettua la comunicazione.
Terminata questa prima fase si riceverà una mail, nella quale ci sarà un allegato che dovrà essere firmato digitalmente e rispedito entro 48 ore dalla ricezione. Infine, il buon esito della procedura sarà accertato tramite la comunicazione di un numero di protocollo sia al soggetto che ha provveduto ad effettuare la comunicazione sia al titolare del trattamento e al DPO nominato.
Per evitare problemi nel completamento di tale procedura, dovuti a ritardi nella ricezione o nell’invio della documentazione, si consiglia di effettuarla il prima possibile: eventuali ritardi potrebbero comportare l’applicazione di sanzioni da parte del Garante.
Lo scopo di questa procedura è di istituire una banca dati dei DPO nazionali sempre aggiornata, tale da poter garantire un’efficace comunicazione tra i responsabili della protezione dei dati e il Garante stesso, così come auspicato dal gruppo di esperti Articolo 29.
