Circolare informativa ai clienti del 26 febbraio 2018
OGGETTO: nuove regole Europee sulla PRIVACY
obbligatorie dal 25/5/2018 per tutti gli stati appartenenti alla Unione Europea
Come premessa a questa circolare occorre prendere atto:
- che ciascun imprenditore o professionista, nell’esercizio della propria attività, in modo del tutto involontario, viene in possesso di dati appartenenti a persone o aziende con le quali vengono intrattenuti rapporti di vario tipo: clienti – fornitori – dipendenti ecc.
- che a nostra volta, quotidianamente, riceviamo ed inviamo svariate informazioni sia in modo cartaceo, che tramite la rete internet (fax – Email – WatsApp – ecc…);
- che quotidianamente ciascuno di noi, sia a titolo personale che come imprenditore o professionista, è bersagliato da messaggi, telefonate, contatti, email provenienti da mittenti assolutamente sconosciuti ed indesiderati che, venendo a conoscenza in qualche modo dei nostri riferimenti personali, ci inopportunano per i piu’ svariati motivi ledendo un nostro legittimo diritto di riservatezza e di privacy;
non è sbagliato dire che oggi, buona parte della nostra vita è diventata “On Line” ed è fortemente condizionata, in positivo ed in negativo, dai vari strumenti offerti da Internet.
Dal momento però che i dati che viaggiano in Internet sono sempre piu’ minacciati da soggetti che possono entrarne in possesso per utilizzi non sempre consentiti e leciti, i Governi UE si sono posti il problema della loro salvaguardia con l’istituzione di una normativa comune sulla Privacy, finalizzata a dare le necessarie soluzioni in termini di riservatezza – protezione – salvaguardia, sia dei dati personali di ciascuno di noi, sia dei dati di terzi di cui a nostra volta noi siamo venuti a conoscenza e che deteniamo a vario titolo;
Per quanto riguarda l’Italia, esisteva già una normativa sulla Privacy risalente al 2003 (D. Lgs. 196/2003) che, sulla base delle tecnologie allora presenti, ha finora dettato le regole di protezione dei dati; si tenga conto che nel 2003 tali dati erano in prevalenza riportati e conservati su supporti cartacei ed inviati tramite il sistema postale, a differenza di oggi dove una gran parte dei dati vengono inviati – trattati – conservati in modo informatico con sistemi tecnologici sempre piu’ sofisticati ed impercettibili, non piu’ gestibili con le precedenti regole che per certi aspetti rimangono tuttora vigenti, ma che ora vengono implementate ed uniformate per tutti gli Stati appartenenti alla UE, con nuove disposizioni valevoli obbligatoriamente per tutti gli Stati con decorrenza dal 25 maggio 2018, (regolamento UE n° 679/2016 che ha introdotto il GDPR: General Data Protection Regulation);
E’ inutile dire che saranno sanzionate, anche in modo pesante, le infrazioni a tale normativa che verranno rilevate dagli organi preposti ai controlli (nuclei speciali della Guardia di Finanza).
Abbiamo aspettato ad inviare la presente informativa in attesa uscissero le linee guida e le circolari ufficiali da parte del Garante che avrebbero dovuto dipanare i tanti dubbi interpretativi ed applicativi dal regolamento UE; purtroppo, ad oggi non sono ancora stati forniti i chiarimenti che si aspettano da tempo, per cui riteniamo comunque necessario inviare una prima informativa, anche se sommaria, in attesa di avere gli elementi ufficiali che ci consentano di approfondire meglio le particolarità delle nuove regole e tarare quindi gli adempimenti piu’ opportuni per ciascuna azienda cliente in quanto soggetta, poco o tanto, a queste regole;
E’ necessario quindi individuare le figure principali previste dalla normativa Privacy:
- INTERESSATO: è la persona fisica a cui appartengono i dati di cui veniamo in possesso;
- DATI PERSONALI: sono i dati appartenenti alla persona fisica (interessato) in grado di rivelare elementi “particolari” propri di quella persona, quali: etnia – religione – patologie sanitarie – appartenenza politica – abitudini sessuali, ecc…;
- TITOLARE: è la persona fisica o giuridica che viene in possesso dei dati dell’interessato ed in base alle finalità dei dati posseduti, determina i sistemi ed i mezzi per proteggerli;
- RESPONSABILE: è la persona fisica o giuridica che praticamente tratta e gestisce i dati dell’interessato per conto del Titolare; il Responsabile puo’ essere anche lo stesso Titolare;
ci sono poi diverse altre figure complementari, che per semplicità omettiamo di indicare;
Fatte queste necessarie premesse, vogliamo fornire le prime indicazioni sulla base di quanto si desume dal nuovo regolamento UE, che nei principi generali sembra prevedere quanto segue:
- la tutela che si pone la Privacy è rivolta principalmente ai “dati personali e particolari” appartenenti alle persone fisiche (etnia – religione – patologie sanitarie etc…);
- non sono oggetto di Privacy i dati che non appartengono a persone fisiche, esempio: dati di aziende e società di cui si viene a conoscenza per ragioni puramente commerciali quali i dati dei clienti e dei fornitori, che non hanno nulla di “particolare e personale”;
- Non vengono fornite indicazioni specifiche su come i dati vanno protetti in quanto il titolare:
- ha l’obbligo di individuare i “dati particolari” di cui è venuto in possesso;
- a sua discrezione deve adottare le misure che ritiene idonee per proteggere tali dati;
- si assume direttamente le conseguenti responsabilità nei confronti dell’organo di controllo se lo stesso ritiene che le misure adottate non siano valide e sufficienti.
al riguardo possiamo dire che:
- per quanto riguarda i dati cartacei, poco è cambiato rispetto al passato, infatti le regole di protezione e di salvaguardia dei dati cartacei dovrebbero rimanere grosso modo le stesse;
- per quanto riguarda invece i dati informatici, alla luce degli sviluppi dell’informatizzazione e delle relative minacce a cui tali dati sono soggetti, occorrerà prevedere i seguenti passaggi:
- effettuare una Analisi dei sistemi informatici aziendali e delle banche dati di cui si dispone (è banca dati anche l’Hard Disk del computer aziendale/professionale utilizzato per fare la contabilità o le fatture) ed effettuazione di una mappatura del tipo di dati in essi contenuti;
- effettuare un’analisi dei rischi (soprattutto informatici) che si possono correre nella detenzione e trattamento dei dati “personali e particolari” posseduti;
- Mettere in atto le misure tecniche e organizzative adeguate per garantire che il trattamento di tali dati sia conforme a quanto prevede il regolamento UE; (occorre anche riuscire a dimostrare agli eventuali organi accertatori – GdF – la validità delle misure adottate);
- Procedere alla redazione del Registro delle Attività di Trattamento dei dati nel quale vengono riportate le verifiche che sono state effettuate, le criticità riscontrate, le misure di protezione adottate, le nomine di eventuali figure responsabili dei dati;
- Verificare la correttezza delle Informative relative al trattamento dei dati rilasciate ai soggetti di cui deteniamo dati personali e particolari;
- Verificare le relative Autorizzazioni al Trattamento dei dati (consenso) ottenute dagli stessi soggetti ;
- Effettuare la Nomina di eventuali Responsabili interni o esterni;
Ci sarebbero ancora tante informazioni da fornire, ma preferiamo attendere i chiarimenti ufficiali per fare la necessaria chiarezza e di conseguenza intervenire operativamente e praticamente caso per caso, per adottare le misure ritenute piu’ idonee.
Come sempre rimaniamo a disposizione.
A presto e buon lavoro.
Studio CANOVI