Adempimenti per le PMI sulla protezione dei dati

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation – “GDPR”) è entrato in vigore il 25 maggio 2016 e divenuto applicabile, in Italia, il 25 maggio 2018.

Il 4 settembre 2018, il D.lgs. 10 agosto 2018, n.101 è stato pubblicato in Gazzetta Ufficiale ed è così definitivamente entrato in vigore il provvedimento di adeguamento del Codice in materia di protezione dei dati personali (D.lgs. n. 196/2003) alle disposizioni del Regolamento UE 2016/679.

La rinnovata disciplina offre un quadro di riferimento in termini di compliance per la protezione dei dati, aggiornato e fondato sui principi di responsabilizzazione (accountability), liceità e correttezza, esattezza dei dati, completezza, pertinenza e non eccedenza, integrità e riservatezza, con l’obiettivo ultimo di assicurare la massima protezione dei dati personali.

E’ necessario dunque un adeguamento alla normativa contenuta nel GDPR, che deve essere posto in essere da parte di tutti i soggetti giuridici che trattano dati personali (quali ad esempio: i dati sensibili, dati biometrici, dati genetici, dati relativi alla salute), i cd. “Titolari” del trattamento relativi a persone fisiche, i cd. “Interessati” al trattamento.

I “dati personali” sono da intendersi come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”), con particolare riferimento a un identificativo come il nome, dati relativi all’ubicazione, un identificativo online a uno o più elementi caratteristici della sua identità”. (art.4, par.1)

Tra i dati personali rientrano anche i “dati genetici” (relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica); i “dati biometrici” (ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica); i “dati relativi alla salute” (attinenti alla salute fisica o mentale di una persona fisica, che rilevano informazioni relative al suo stato di salute).

I “dati sensibili”, ai sensi dell’art.9, concernono l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla vita sessuale o all’orientamento sessuale della persona.

In base agli anzidetti principi, i Titolari del trattamento devono, con una logica costruttiva e partecipativa, rispettare le indicazioni ed eseguire gli adempimenti previsti dal GDPR.

Innanzitutto, in ottemperanza all’art. 37 del GDPR, alcuni Titolari del trattamento sono tenuti a nominare un Responsabile della protezione dei dati (RPD o, dall’inglese DPO, Data Protection Officer), ossia un soggetto esterno in grado di facilitare l’osservanza della normativa e aumentare il margine competitivo delle imprese.

L’obbligo di nominare il DPO vale innanzitutto per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto del trattamento, nonché per ogni altro soggetto che, “come attività principale, effettui un monitoraggio regolare e su larga scala delle persone fisiche ovvero tratti su larga scala categorie particolari di dati personali”. (art. 37, par. 1)

E’ evidente che la maggior parte delle Imprese, di piccola o media dimensione, siano Titolari di trattamento e – appunto – pongano in essere dei trattamenti dei dati personali: si pensi, ad esempio ed in via generale, a tutte le informazioni relative ai dipendenti. (..)

Le PMI, dunque, nel prevedere un organigramma privacy, valutata la natura dei dati trattati all’interno della propria attività, devono nominare il Responsabile della Protezione dei Dati Personali, consulente esperto nella disciplina sulla privacy, che oltre a supportare valutazioni di impatto, si occupi precipuamente della raccolta di informazioni per individuare i trattamenti svolti; della analisi e verifica dei trattamenti in termini di loro conformità, delle attività di informazione, consulenza e indirizzo nei confronti di titolare e responsabile, fungendo da interfaccia fra i soggetti coinvolti, quali le autorità di controllo, gli interessati, e le divisioni operative all’interno di un’azienda o di un ente. E’ necessaria dunque un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento, preferendo dunque soggetti che dimostrino qualità professionali adeguate alla complessità del compito da svolgere.

Il DPO, dunque, può essere una figura interna all’azienda, anche se per garantire l’imparzialità ed evitare conflitti di interesse, l’incarico può essere affidato ad un soggetto esterno, esperto del settore e che operi anche per altre organizzazioni.

Tra i compiti e le responsabilità del DPO, nell’esercizio del suo ruolo consultivo, si segnalano: – l’obbligo di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia; – la verifica, attuazione ed applicazione delle norme; – consulenza in merito alla valutazione d’impatto sulla protezione dei dati; – la cooperazione con le autorità di controllo.

La nomina del DPO da parte del Titolare deve essere comunicata all’Autorità garante e successivamente egli dovrà: – supportare il DPO nell’esecuzione dei suoi compiti; – fornire le risorse necessarie per l’esecuzione dei suoi compiti; – consentire l’accesso ai dati e alle operazioni di trattamento; – assicurare l’accesso ai dati e alle operazioni di trattamento; – assicurare l’accesso del DPO ai massimi livelli manageriali dell’azienda; – assicurarsi che gli altri compiti del DPO non interferiscano con la sua responsabilità primaria quale DPO; – non fornire alcuna istruzione al DPO sui suoi compiti.

Accanto a tale figura, comunque, si ricordi che il Titolare dell’impresa rimane l’unico responsabile del rispetto delle norme in materia di protezione dei dati. (art. 24, par.1)

Così, è compito del Titolare “tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, ovvero un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”. (art. 30)

Il registro delle attività di trattamento diviene lo strumento attraverso cui il Titolare tiene traccia di tutti i trattamenti dei dati personali posti in essere e consente allo stesso e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti dei dati personali svolti sullo specifico soggetto e rilevanti ai fini privacy.

Il Titolare deve predisporre l’informativa privacy, da aggiornarsi ed integrarsi con i contenuti prescritti dal GDPR (art. 13), che dovrà essere consegnata ai soggetti quali dipendenti e collaboratori, consulenti, e fornitori. Ancora, il Titolare o Responsabile deve nominare i dipendenti che trattano i dati personali per conto del Titolare e le persone autorizzate al trattamento.

L’obbligo di legge, dunque, per le PMI è rappresentato dal dovere di raccogliere, conservare e trattare i dati personali, in qualunque modalità, attraverso l’adozione di misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta: ad esempio, nel caso in cui a seguito di violazioni dei dati sia chiamato in causa per un’azione risarcitoria in sede civile, dovrà affrontare le difficoltà derivanti dall’inversione dell’onere della prova, e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee – sulla base delle indicazioni dell’Autorità di controllo – a ridurre i rischi connessi al non corretto utilizzo dei dati.

Va infine segnalato che il D.lgs n. 101/2018 ha implementato il regime sanzionatorio nelle ipotesi di mancato rispetto ed adeguamento alla novellata disciplina, di fatto prevedendo rilevanti sanzioni di natura amministrativa pecuniaria di importi fino a dieci milioni di euro o del 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non abbiano nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti; ovvero venti milioni di euro, o il 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante. L’Autorità competente a comminare la sanzione è il Garante per la protezione dei dati personali (art. 83, par.1).

Quanto ai profili penalistici, il Decreto è intervenuto modificando le fattispecie penalmente rilevanti già contenute nel Codice Privacy ed integrando le stesse con ulteriori violazioni, quali: l’art. 170 (Trattamento illecito dei dati), l’art. 167-bis (comunicazione e diffusione illecita dei dati personali), l’art. 167-ter (acquisizione fraudolenta di dati personali), l’art. 168 (falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante), l’art. 170 (Inosservanza dei provvedimenti del Garante).

Avvocato Iacopo Annese