gdpr-regolamento-europeo-dati-personali
adv

Mancano due settimane all’effettiva applicazione del GDPR e non esiste ancora una normativa tecnica che stabilisca precisamente quali adempimenti debbano soddisfare gli studi professionali per non incorrere nelle sanzioni previste dal Regolamento europeo 679/16.

Dal prossimo 25 maggio tutti gli studi professionali (anche se piccoli oppure costituiti da un singolo professionista) dovranno essere in linea con la disciplina europea in materia di privacy e molti dubbi e preoccupazioni affliggono i professionisti italiani. Cerchiamo di analizzare i punti più critici della materia.

ACQUISIZIONE E PROTEZIONE DEI DATI PERSONALI DEI PROPRI CLIENTI

Il primo problema che gli studi professionali dovranno risolvere è quello di verificare che l’acquisizione dei dati personali dei propri clienti rispetti i principi di liceità, correttezza e trasparenza sanciti dall’art. 6 dal GDPR.

Per essere in regola con le disposizioni europee i professionisti dovranno acquisire solo i dati strettamente necessari e pertinenti al raggiungimento dello scopo perseguito; inoltre, gli stessi dovranno essere costantemente aggiornati e rettificati in caso di bisogno.

Pertanto, tutte le informazioni eccedenti dovranno obbligatoriamente essere cancellate. I dati personali, così acquisiti, potranno essere conservati solo per il periodo strettamente necessario al loro utilizzo o eventualmente per ulteriore tempo previsto dalle normative specifiche in materia (ad esempio l’obbligo di conservazione per gli avvocati è di 5 anni). Gli studi professionali, perciò, dovranno dotarsi di strumenti adeguati per la loro tutela.

Ad oggi purtroppo, il legislatore nazionale non ha fissato degli standard di sicurezza ai quali allinearsi, pertanto, il grado di protezione da fornire è rimesso alla discrezione dei singoli professionisti. Una regola di buon senso da seguire in questi casi potrebbe essere quella di determinare il grado di rischio che una violazione causerebbe ai diritti e alle libertà degli interessati.

psb consulting gdpr

Ad esempio, per i piccoli studi professionali potrebbe essere sufficiente dotarsi di firewall e password con un elevato grado di complessità tale da evitare possibili attacchi informatici nonché dei sistemi di backup sufficienti a scongiurare la possibile perdita di dati. Nelle realtà professionali più complesse, invece, i titolari del trattamento dovrebbero utilizzare meccanismi antielusione più sofisticati; in questi casi sarebbe opportuno rivolgersi a società di gestione della sicurezza e privacy che offrono diversi tipi di soluzioni.

AGGIORNAMENTO INFORMATIVA PRIVACY

Tra le questioni che maggiormente preoccupano i piccoli professionisti c’è anche la redazione della nuova formulazione dell’informativa privacy. I vecchi moduli utilizzati in precedenza dai professionisti, dopo il 25 maggio, non potranno essere più utilizzati, perché mancanti di alcuni elementi essenziali previsti dalla disciplina europea.

Per evitare sanzioni le nuove informative dovranno essere redatte in base a quanto disposto dagli articoli 13 e 14 del Regolamento europeo n. 679/16. L’elenco completo delle informazioni da inserire nel documento è consultabile al seguente link

 http://www.privacy-regulation.eu/it/13.htm

NOMINA E COMUNICAZIONE AL GARANTE DEL RESPONSABILE DELLA PROTEZIONE DATI

Altro nodo problematico è rappresentato dalla obbligatorietà o meno della nomina di un Responsabile della protezione dati. Un approccio chiarificatore viene offerto dal Garante della privacy, il quale ha fornito un elenco di soggetti espressamente esonerati da tale obbligo.

Tra quelli esenti troviamo: i professionisti che esercitano l’attività in proprio, anche le imprese individuali e familiari, gli agenti, rappresentanti e mediatori nonché le piccole e medie imprese (in quest’ultimo caso l’impresa è esonerata solo in relazione ai dati dei propri dipendenti e fornitori).

Ne deriva, pertanto, l’obbligo per tutti gli altri titolari di trattamento della nomina di un DPO, che dovrà essere comunicata entro il 25 maggio all’Authority nazionale. I titolari di trattamento, che non hanno ancora provveduto ad inviare tale comunicazione, potranno farlo utilizzando l’apposita procedura telematica istituita dal Garante della privacy sulla propria pagina web (www.garanteprivacy.it).

PROCEDURA TELEMATICA

Il modulo per la comunicazione dovrà contenere tutti i dati del titolare e/o del responsabile del trattamento, del Responsabile della protezione dati nonché di colui che effettua la comunicazione.

Terminata questa prima fase si riceverà una mail, nella quale ci sarà un allegato che dovrà essere firmato digitalmente e rispedito entro 48 ore dalla ricezione. Infine, il buon esito della procedura sarà accertato tramite la comunicazione di un numero di protocollo sia al soggetto che ha provveduto ad effettuare la comunicazione sia al titolare del trattamento e al DPO nominato.

Per evitare problemi nel completamento di tale procedura, dovuti a ritardi nella ricezione o nell’invio della documentazione, si consiglia di effettuarla il prima possibile: eventuali ritardi potrebbero comportare l’applicazione di sanzioni da parte del Garante.

Lo scopo di questa procedura è di istituire una banca dati dei DPO nazionali sempre aggiornata, tale da poter garantire un’efficace comunicazione tra i responsabili della protezione dei dati e il Garante stesso, così come auspicato dal gruppo di esperti Articolo 29.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.