Torniamo su un argomento, in questi giorni di grande discussione, a nostro avviso caratterizzato da gran confusione.
Il prossimo 25 maggio entrerà in vigore la nuova normativa sulla PRIVACY, nel Parlamento è fermo il Decreto Legislativo sulla privacy che se licenziato, nei prossimi giorni consentirà agli operatori di fare chiarezza sulle nuove disposizioni.
Il Decreto stando ad alcuni articoli di stampa, conterrà delle semplificazioni per le micro, piccole e medie imprese, alleggerirà gli adempimenti nei loro confronti e sarà prevista anche una fase transitoria per l’applicazione.
In ogni caso volendo entrare in merito alle disposizioni, così come oggi sono formulate, ci permettiamo di farvi un breve riepilogo sulle disposizioni applicative della legge:
Il nuovo regolamento si applica esclusivamente al trattamento dei “DATI PERSONALI DI PERSONE FISICHE” , ne sono pertanto esclusi tutti i soggetti giuridici in quanto in ogni caso i loro dati sono pubblici (vedi registro imprese CCIAA), il regolamento di fatto protegge esclusivamente i diritti delle persone fisiche che potranno esigere e vedere garantito che i propri dati , quando entrano in contatto con una attività commerciale, produttiva, professionale o di servizi sia pubblica o privata, saranno trattati con sicurezza e nel rispetto delle normative in materia .
Per dati personali si intendono Cognome, Nome, dati di nascita, Immagini (personali, di ambienti ed abitazioni), dati sensibili (origine razziale, etnica, religiosa, sindacale o politica, lo stato di salute, patologie, sfera sessuale, dati giudiziari, penali o restrittivi della libertà, dati di minori).
A nostro giudizio gran parte delle aziende, oppure le associazioni od i condomini, se non operano in un settore specifico tipo quello sanitario o medico, non dispongono di dati sensibili, il che rende senza dubbio più semplice la gestione degli adempimenti.
Prima di tutto se un operatore economico non crea dei data base che contengono dati anagrafici di persone fisiche, (nome e cognome, data di nascita, cf ecc.) non è tenuto a nessun adempimento, neppure a raccogliere il consenso della persona fisica.
I dati dei vostri clienti o fornitori ditte individuali potrebbero essere dati personali anche se sono pubblici in quanto vi è la possibilità di prelevarli dal Registro Imprese tenuto presso la CCIAA competente oppure perché sono stati trasmessi spontaneamente dal soggetto attraverso la fattura delle prestazioni; in ogni caso riteniamo che solo per i professionisti o le ditte individuali , per gestire la contabilità aziendale, si renderà necessario richiedere loro l’autorizzazione al trattamento dei dati.
Altri dati PERSONALI che un’azienda può trovarsi a gestire sono quelli relativi al personale dipendente per esempio cartelle cliniche e visite mediche, oppure iscrizione a sindacati.
Il primo adempimento da effettuare in azienda od in studio è un documento che attesti la verifica preliminare su come vengono gestiti i dati personali, gli spunti per la compilazione potranno essere reperiti dal vecchio DPS della sicurezza, documento che conteneva una ricognizione di come erano trattati gli archivi, se vi erano le protezioni, le password ecc. ecc.
Il documento per la ricognizione ex art. 35 della legge assume la denominazione di VIP (Valutazione di impatto privacy).
Altro documento da predisporre dopo la valutazione ex art 31 della legge, è il REGISTRO DEI TRATTAMENTI che però in caso di mancanza di dati sensibili, alto rischio per gli interessati al trattamento, oppure meno di 250 dipendenti, si è esentati dal compilare.
Sarà necessaria la nomina di un RESPONSABILE DEL TRATTAMENTO che potrà coincidere con la figura del titolare o del legale rappresentante, oppure con una persona fisica o giuridica esterna appositamente incaricata. Il responsabile deve garantire l’adozione delle misure di sicurezza necessarie al trattamento dei dati raccolti e PERSONALI DELLE PERSONE FISICHE. Egli deve anche prevedere che il suo staff od i suoi collaboratori/dipendenti, INCARICATI, che opereranno con i dati oggetto della PRIVACY, abbiano un’adeguata informazione e formazione in modo che sappiano come gestire le procedure interne, la gestione della relativa sicurezza e la raccolta delle informative e consensi. A tal proposito si potranno acquistare on line dei corsi brevi di prima informazione/formazione, oppure fornire delle schede o slide od informazioni con altri supporti.
Si potranno trattare i dati delle persone fisiche solo se gli interessati risulteranno informati attraverso un documento denominato (INFORMATIVA) che esponga i dati del titolare del trattamento, le finalità del trattamento, se i dati sono gestiti direttamente da titolare o presso terzi ed i dati della liceità del trattamento.
Si esclude la figura del DPO (data protection officer) in quanto soggetto la cui nomina è obbligatoria solo per la pubblica amministrazione oppure per chi gestisce dati sensibili /giudiziari su larga scala (ospedali /tribunali, laboratori di analisi ecc).
In calce all’INFORMATIVA sarà necessario il rilascio del CONSENSO al trattamento dei dati della persona fisica con la relativa sottoscrizione.
Lo scopo di questa prima circolare non è quello di risolvere ogni dubbio, anche noi ne nutriamo ancora parecchi ma riteniamo che la maggior parte delle aziende non abbia grosse problematiche di gestione della PRIVACY.
Allo stato attuale alcuni operatori hanno strumentalizzato le sanzioni e l’approssimarsi della scadenza, a nostro giudizio, solo per cavalcare un nuovo filone di “business” senza considerare e valutare le reali situazioni delle aziende o dei professionisti.
Nei prossimi giorni saremo in grado di darvi ulteriori informazioni e supporti che potranno essere proposti dal nostro Studio per la gestione in proprio della documentazione e degli adempimenti correlati, oppure attraverso la nostra collaborazione, a costi decisamente ridotti.
Rimaniamo a vostra disposizione per eventuali chiarimenti od approfondimenti.