Negli scorsi articoli abbiamo parlato del GDPR, per spiegare il cambiamento avutosi nell’ambito della Privacy dal 25 maggio 2018 con l’entrata in vigore della nuova disciplina. I nostri consulenti hanno preparato una lista con le 10 domande più frequenti che i nostri clienti hanno posto su tale tema.
1) Cosa si intende per trattamento dei dati?
Il trattamento dei dati consiste in qualsiasi operazione, eventualmente compiuta con processi automatizzati o telematici, riguardante dati personali come ad esempio la raccolta, la registrazione, la conservazione, la modifica, la consultazione, l’uso, la comunicazione o diffusione, la cancellazione o la distruzione.
Quindi per fare alcuni esempi la compilazione dei moduli di adesione ad una associazione comporta trattamento dei dati, così come l’emissione di una fattura a favore del cliente. Infatti, in tutti questi casi l’operatore o l’associazione vengono a conoscenza dei dati dell’interessato e li utilizzano e archiviano nei propri sistemi informatici o cartacei.
In assenza di attività volte a raccogliere e/o utilizzare dati personali non è necessario attuare la normativa sulla privacy, come ad esempio nel caso di un sito che presenti le attività dell’associazione senza richiedere la registrazione degli utenti.
2) Chi è il Titolare del trattamento e cosa deve fare?
Il Titolare del trattamento è il soggetto che determina le finalità del trattamento ed è tenuto a mettere in essere tutte le misure richieste dal GDPR al fine di tutelare la privacy delle persone fisiche con cui viene in contatto.
Nel caso di società o associazioni è sempre l’ente giuridico in nome del legale rappresentante ad essere qualificato titolare.
3) Chi è il Responsabile del trattamento?
La definizione di responsabile del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Ciò significa che tra il Titolare e il Responsabile ci deve essere un preciso rapporto in base al quale il titolare è tenuto a comunicare i dati al responsabile. In pratica, è la persona che tratta dati personali per conto dell’associazione come il commercialista, il consulente del lavoro, un consulente, i fornitori di servizi digitali, etc.
Il responsabile è da considerarsi solo “esterno” all’associazione; pertanto non è possibile nominare un socio, un dipendente o un collaboratore come responsabile del trattamento dei dati. L’art. Articolo 28, comma. 3, del GDPR prevede l’obbligo di stipulare un contratto tra titolare e responsabile del trattamento, dettagliando i suoi contorni e stabilendo requisiti rigorosi sugli aspetti severi e più importanti.
E’ verosimile che il commercialista o altro consulente a cui si rivolge l’associazione abbia già un suo modello da utilizzare per i casi in cui tale designazione è necessaria, quindi è possibile rivolgersi direttamente a tale soggetto.
4) Quando deve essere nominato il DPO?
Il Responsabile della protezione dei Dati o Data Protection Officer (DPO) è un soggetto, anche dipendente del titolare del trattamento, ma dotato di particolari poteri di autonomia, che deve essere nominato nei seguenti casi:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (c.d. dati sensibili).
5) Cos’è il Registro dei trattamenti e quando deve essere adottato?
ll registro delle attività di trattamento elenca le informazioni sulle caratteristiche dei trattamenti effettuati dal titolare del trattamento. Ogni titolare del trattamento di dati dovrà tenere un registro delle categorie di trattamento dei dati personali implementati sotto la sua responsabilità.
Tale obbligo non vige per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non includa un rischio per i diritti e le libertà delle persone interessate, non occasionale o se si riferisce in particolare a dati sensibili o a dati relativi a condanne e reati.
6) Come deve comportarsi la realtà imprenditoriale nei confronti dei soggetti incaricati a trattare i dati?
E’ importante istruire e dare indicazioni ai soggetti incaricati di trattare i dati rispetto alle misure da adottare per la protezione dei dati personali. Alcuni esempi sono: l’utilizzo di password alfanumeriche da cambiare periodicamente per la protezione dei PC; non lasciare documenti e/o dati incustoditi sopra a tavoli e scrivanie; chiudere sempre a chiave gli archivi, le stanze, etc.; non divulgare a terzi i dati degli interessati; etc.
7) Con la nuova normativa GDPR, cosa devo fare relativamente al sito internet?
Nel caso in cui il sito internet richieda la registrazione dell’utente è necessario adeguare l’informativa già presente sul sito secondo la normativa del GDPR.
8) Per quanto tempo devo mantenere la documentazione in archivio?
Ogni titolare del trattamento deve definire una politica di durata e di conservazione dei dati. Per quanto riguarda le associazioni, i dati dei soci saranno conservati, come minimo, per tutta la durata del rapporto associativo e comunque per il tempo stabilito dalle vigenti disposizioni in materia civilistica e fiscale.
Ad oggi, poiché è difficile stabilire con esattezza la durata del trattamento e in assenza di prassi consolidate, è possibile inserire nell’informativa dichiarazioni “generiche”.
9) Condivido una stanza in uno studio, oppure l’impresa ha sede in un luogo condiviso con altre realtà, cosa devo/dobbiamo fare?
In tali casi è necessario che si adottino misure affinché i dati raccolti da ciascun titolare siano tutelati da possibili violazioni. Alcuni possibili esempi sono: ciascun titolare ha a disposizione una stanza che chiude a chiave e il cui accesso è vietato ai non autorizzati; ciascun titolare ha a disposizione un apposito armadietto a uso archivio, munito di chiave o lucchetto, apribile solo dal titolare o da un suo incaricato; gli incaricati al trattamento hanno l’indicazione di non lasciare documenti incustoditi su tavoli e scrivanie; etc.
Non appare invece essere una buona pratica l’asportazione dei documenti e la conservazione presso l’abitazione dell’operatore, in quanto il rischio di perdita o violazione dei dati è assai elevato in questo caso.
10) Cosa sono i “dati sensibili”?
Essi sono una particolare categoria di dati personali per i quali la legge prevede una disciplina specifica.
Sono dati “sensibili” quelli che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, oltre ai dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
GDPR: cosa devo fare nel mio caso specifico?
Se dovessi avere bisogno di capire cosa fare nel tuo caso specifico, o in quello di un tuo cliente, puoi richiedere una consulenza personalizzata compilando il QUESTIONARIO AL SEGUENTE LINK
Per ulteriori informazioni contattaci al numero 0810663491 o scrivici alla mail segreteria@ascommultiservice.it
3
20
20