Perché è importante rivolgersi ad uno specialista della Privacy

SCARICA ARTICOLO

Cosa devi fare se hai un'azienda per non rischiare sanzioni e perché è importante rivolgersi ad uno specialista della Privacy? Facciamo chiarezza con Tecniche di Compliance. 

La Privacy, ovvero la protezione dei dati personali (i dati dei cosiddetti “Interessati”) è in costante pericolo ogni giorno, lo sappiamo. 

 

Le informazioni sensibili sono diventate core business per grandi aziende che utilizzano i big data per diventare data-driven company ed avere vantaggio competitivo sul mercato. 

 

L’utilizzo indiscriminato di informazioni degli interessati ha portato la Comunità Europea a rendere operativo il 25 maggio 2018 il Nuovo Regolamento Europeo sulla Privacy (ovvero GDPR) che contiene numerose novità. 

 

Una delle più interessanti novità introdotte da questo nuovo regolamento è l'introduzione dell'Accountability, cioè l'onere da parte delle Aziende di dimostrare unilateralmente di essersi dotate di misure cautelative adeguate sulla gestione privacy in capo a chi tratta i dati (ovvero il Titolare) che consistono in: 

 

  • redazione di un manuale di analisi dei rischi di dispersione dei dati gestiti nella propria azienda
  • redazione e diffusione interna di procedure aziendali di data protection
  • presenza di attestati di formazione nominali dei propri dipendenti
  • redazione di una procedura ad hoc di gestione di eventuale data breach (ovvero violazione della propria rete informatica, che solo nel 2019 sono stati 1443)
  • analisi della mappatura dei trattamenti mediante redazione ed aggiornamento del cd “registro dei trattamenti” etc.


Insomma, la Privacy come Sistema di Gestione dei Dati Personali e non più come Informative, Consensi ed allegato “B” del D.Lgs 196/03.

 

 

I rischi e le verifiche richieste

 

 

Le Aziende che non si saranno adeguate al nuovo Regolamento e non ne rispetteranno le disposizioni rischiano sanzioni molto elevate che varieranno tra il 2% o 4% del volume d'affari annuale.


Per “vigilare” sull’adeguatezza del livello di protezione dei dati nelle Aziende (piccole, medie o grandi che siano senza alcuna differenza nè in termini di volume di affari né di personale impiegato) il Garante della Privacy Europeo ha introdotto delle Verifiche Ispettive ovvero dei processi per ottenere informazioni obiettive -gestite dai singoli Garanti nazionali- effettuate in Italia dalla Guardia di Finanza – Nucleo Operativo Privacy.

 

Tali verifiche, inizialmente effettuate presso le sedi delle Aziende, oggi sono sempre più effettuate da remoto.

 

Le richieste di verifica possono essere infatti inoltrate dalle Autorità di Controllo tramite PEC finalizzata ad acquisire il Sistema Documentale Privacy dell’Azienda per poi valutarlo e, qualora ritenuto carente, richiedere idonee spiegazioni e/o comminare le proporzionate Sanzioni.

 

Molto spesso tali verifiche sono attivate in seguito alle segnalazioni di violazioni al Garante da parte degli Interessati, l’Ente verificatore pertanto sempre di più concede tempistiche brevi di riscontro per la ricezione della Documentale privacy dell’Azienda.

 

 

Perché rivolgersi ad uno specialista

 

 

Va da sé dunque che le Società dovranno farsi trovare molto pronte in caso di idonea verifica che non lascia alcun margine per un adeguamento ex post. 

 

Questo significa che se l’autorità preposta ai controlli sull’adeguamento al GDPR fa una verifica in una società, la società deve avere già messo in atto questo adeguamento. Non può dire che in seguito alla verifica lo farà (anche perché è ormai obbligatorio dal 2018).

 

Acquisire, utilizzare, conservare e proteggere i Dati sono operazioni importanti, necessarie, delicate e non più rinviabili. 

 

Cosa deve fare dunque un’azienda rivolgendosi ad uno specialista per non incappare in una sanzione (derivata da una verifica ispettiva disastrosa)?

 

Per far sì che la Visita Ispettiva vada bene, l’azienda dovrà:

 

  • identificare i responsabili del processo di valutazione, gli interessati del trattamento (es. dipendenti, fornitori), le tipologie di trattamento (es. dati anagrafici, sanitari, etc.), le categoria del trattamento (dati personali e personali particolari), le finalità del trattamento (informatica o cartacea), le funzioni coinvolte (in qualità di Responsabile, Incaricato, amministratore di Sistema);
  • Fare un’analisi organizzativa dei processi nell’ambito dei quali sono trattati i dati;
  • Valutare le necessità del trattamento e proporzionalità nell’uso dei dati
  • Valutare i rischi inerenti e residui;
  • Valutare, implementare o aggiornare le misure di sicurezza, procedure, informative, consensi, formazione, nomine, flussi informativi;
  • Monitorare e riesaminare periodicamente la valutazione della conformità del trattamento in relazione alle valutazioni effettuate.


Tutto quanto sopra metterà l’Azienda, con l’aiuto dello specialista che avrà rivisto i documenti, nella condizione di dotarsi del Sistema di Gestione Privacy che dimostrerà alla Guardia di Finanza – Nucleo Operativo Privacy il rispetto degli obblighi normativi del GDPR.

 

I dati presentati dal Garante Italiano della Privacy hanno messo in evidenza la necessità di continuare ad intervenire a tutela dei consumatori. Sono state varate altresì nuove regole a tutela dei consumatori per rispondere alle sfide della digital economy e dare trasparenza sul funzionamento degli algoritmi.

 

L’attività del Garante Italiano della Privacy nel 2019 ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l'altro:

 

  • il marketing telefonico
  • la sanità
  • il credito al consumo
  • la sicurezza informatica
  • il settore bancario e finanziario
  • il lavoro
  • gli enti local

 

In fase di verifica delle Aziende, sono state rilevate anche alcune comunicazioni circa i reati all'autorità giudiziaria, che hanno riguardato:

  • l'inosservanza dei provvedimenti del Garante
  • la falsità nelle dichiarazioni e notificazioni al Garante in caso di Verifiche Ispettive 
  • un caso di accesso abusivo ad un sistema informativo e telematico. 

 

Questo ci dà idea di quanto sia importante per una Società affrontare la Verifica Ispettiva con prontezza senza lasciare margine ad alcuna improvvisazione.

 

Nel 2020 poi ogni attività del Garante e/o Verifica Ispettiva della Guardia di Finanza è stata impattata dalle numerose necessità contingenti di gestione dei Dati Sanitari legati al Covid-19.

 

 

Gdpr e Covid-19

 

 

Le Aziende infatti si sono purtroppo dovute misurare con la difficoltà di gestire l’impatto del Covid sui dati sanitari dei propri Dipendenti, pur non avendo ancora raggiunto in molti casi un livello di assessment privacy soddisfacente.


La tematica ha avuto enorme impatto non solo nelle grandi realtà industriali del paese, ma anche nelle tantissime piccole realtà imprenditoriali, spina dorsale del nostro Paese.

 

Ed allora l’Imprenditore non era informato, e non lo è probabilmente tutt’ora, sul fatto ad esempio che:

 

  • La disciplina vigente vieta la diffusione da parte del Datore di Lavoro dei dati relativi alla salute del Dipendente e che tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19. 

    Pertanto qualsiasi soggetto pubblico o privato non può diffondere, attraverso siti web o altri canali, i nominativi dei casi accertati di Covid-19 o dei soggetti sottoposti alla misura dell’isolamento per finalità di contenimento della diffusione dell’epidemia.
     
  • Non è possibile diffondere i dati identificativi del Dipendente positivo al Covid-19 o che è stato posto in isolamento.
     
  • La disciplina vigente vieta la diffusione dei dati relativi alla salute. Tale divieto non è stato derogato dalla normativa d’urgenza sull’emergenza epidemiologica da Covid-19;

    Il datore di lavoro può rilevare la temperatura corporea del personale dipendente o di utenti, fornitori, visitatori e clienti all’ingresso della propria sede ma “in ragione del fatto che la rilevazione in tempo reale della temperatura corporea, quando è associata all’identità dell’interessato, costituisce un trattamento di dati personali (art. 4, par. 1, 2) del Regolamento (UE) 2016/679), non è ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione” (art. 5, par.1, lett. c) del Regolamento cit.), è consentita la registrazione della sola circostanza del superamento della soglia stabilita dalla legge e comunque quando sia necessario documentare le ragioni che hanno impedito l’accesso della persona al luogo di lavoro;

    Diversamente nel caso in cui la temperatura corporea venga rilevata a clienti (ad esempio, nell’ambito della grande distribuzione) o visitatori occasionali anche nel caso in cui la temperatura risulti superiore alla soglia indicata nelle disposizioni emergenziali non è, di regola, necessario registrare il dato relativo al motivo del diniego di accesso.”
     
  • Non può essere resa nota l’identità del dipendente affetto da Covid-19 agli altri lavoratori da parte del datore di lavoro. 

    In relazione al fine di tutelare la salute degli altri lavoratori, in base a quanto stabilito dalle misure emergenziali, spetta alle autorità sanitarie competenti informare i “contatti stretti” del contagiato, al fine di attivare le previste misure di profilassi.

 
Il GDPR (detto Nuova Privacy perché esisteva già un codice privacy precedente) non riguarda la tutela dei dati personali verso un reato o una categoria di persone, ma riguarda più in generale un’organizzazione ben precisa che devono avere le aziende al proprio interno, per rispettare questi dati personali e la loro gestione.
 
 
In collaborazione con Tecniche di Compliance S.r.l, società di Consulenza Aziendale orientata all’innovazione che offre consulenza aziendale finalizzata all’adeguamento delle Società alle normative vigenti in materia di Privacy (D.Lgs. 196/2003 e D.Lgs 101/2018) e Nuovo Regolamento Europeo 2016/679 cd GDPR.

 

Compila il seguente form per scaricare il materiale informativo.

I dati forniti vengono utilizzati esclusivamente per rispondere alle richieste inoltrate. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate nella nostra Privacy Policy.

CHIUDI