Il GDPR – Non basta un’informativa e un antivirus

Avv. Gianni Dell’Aiuto – Consulente privacy e DPO

Il Regolamento Europeo 679/2016 (GDPR), è la nuova disciplina in materia di protezione dati personali che ha profondamente modificato il D. Lgs. 196/2003 che resta in vigore così come modificato dai D. Lgs. 51 e 101/2018. Sembra complicato ma, oltre ad essere un obbligo e un dovere, il GDPR è oggi anche un elemento della gestione aziendale che può e deve essere personalizzato per ogni realtà, tenendo presente anche il rapporto con i costi da sostenere.

Dal 25 maggio 2018 ogni azienda, ogni professionista, ogni ente pubblico, avrebbe dovuto adeguare le proprie privacy policy al regolamento. Peraltro, a differenza della precedente normativa, non è più sufficiente richiedere a clienti, fornitori, dipendenti un generico consenso al trattamento dati personali, il GDPR ha posto al centro del proprio sistema l’Interessato vale a dire il soggetto che mette a disposizione del Titolare non solo dati identificativi, ma anche le proprie preferenze, i dati di navigazione e quant’altro necessario per rapporti commerciali o di collaborazione.

GDPR: Cos'è, Che Significa, Cosa Fare e Cosa Cambia

Chi ottiene questi dati non solo deve ottenere l’autorizzazione a disporne, conservarli e trattarli, ma il dovere della loro protezione non facendoseli sottrarre né perderli, ma anche garantire l’esercizio dei “Diritti degli Interessati”, che sono stati posti dalla norma su un importante piano giuridico. Di ciò devono tenere debito conto aziende e enti che, a questo preciso fine, assumono la qualifica di Titolare del Trattamento. Per poterlo fare è necessaria una base legale.

Salve quindi le ipotesi in cui il consenso al trattamento dati non derivi da un obbligo di legge (si pensi agli uffici finanziari o all’anagrafe), al Legislatore Europeo non è sfuggito che per poter svolgere un’attività di impresa, intercorre tra l’Interessato e colui che svolge un’attività, un rapporto contrattuale; in tal senso al numero 81 dei considerata che precedono il GDPR (peraltro con una traduzione infelice), viene previsto che dovrà essere proprio quello del contratto, o altro atto giuridico previsto dalle leggi dell’Unione, a disciplinare le modalità del trattamento dati.

E’ quindi scelta dell’impresa, quale Titolare del Trattamento ad optare per contratti individuali o formulati su standard e schemi, sulla base della propria struttura e delle esigenze operative. Ciò che però conta è che nel documento siano chiaramente specificate, o comunque allegate, le informative da fornire obbligatoriamente all’interessato, per permettergli di prestare un compiuto consenso al Trattamento dei suoi dati Personali.

Il GDPR in 8 punti: cos'è, a chi si applica, quali sono le linee guida -  Sigemi: Cloud Managed Platforms

Ricordiamo che, a differenza della precedente disciplina, per la quale bastava un generico consenso, il GDPR prevede che l’Interessato presti per ogni tipologia di trattamento un consenso specifico. Dovrà essere quindi ben specificato, ad esempio, che i dati siano trattati solo a fini amministrativi e fiscali, cioè quelli previsti per legge, mentre per l’invio di materiale informativo, offerte, mailing list, dovrà essere specificato il consenso per ciascuna attività in forma chiara. Ergo non basterà più una sola firma o un solo click. Il Titolare dovrà inoltre, in caso di richiesta, fornire la prova di avere ottenuto legalmente ogni singolo consenso.

Se questa è solo una breve panoramica per quanto attiene ai rapporti per la loro disciplina documentale, il Titolare dovrà predisporre anche gli opportuni sistemi di protezione tecnica che non possono sostanziarsi in un antivirus ancorché aggiornato. In particolare dovrà essere prevista una disciplina interna sulla base degli incarichi per tutti coloro che sono deputati al trattamento dati con attenzione anche agli strumenti tecnici utilizzati da ciascuno. Anche la perdita di una memory o di un cellulare da parte di un collaboratore è un data breach, e le conseguenze possono essere pesanti.

contattaci