GDPR: installazione impianti di videosorveglianza in aziend

Il datore di lavoro che intende installare all’interno della propria azienda un impianto di videosorveglianza è tenuto, qualora non sia presente un accordo o in assenza di RSA (Rappresentanza Sindacale Aziendale)/RSU (Rappresentanza Sindacale Unitari), a richiedere l’autorizzazione alla sede territoriale dell’Ispettorato Nazionale del Lavoro.

In Italia, l’installazione degli impianti di videosorveglianza all’interno dei luoghi di lavoro e le relative procedure di trattamento dei dati è disciplinato da molteplici fonti, nello specifico dallo Statuto dei Lavoratori, dalle circolari dell’Ispettorato Nazionale del Lavoro, dal GDPR (General Data Protection Regulation), dal Codice Privacy, dalle Linee guida 3/2019 e dal Provvedimento 8 aprile 2010 del Garante per la Protezione dei dati personali.

L’articolo 4 dello Statuto dei Lavoratori prevede che l’installazione di questo tipo di impianti, dai quali sia presente un’inevitabile possibilità di controllo a distanza dei lavoratori, è lecita esclusivamente per far fronte a tre esigenze aziendali:

• Sicurezza del lavoro;
• Tutela del patrimonio aziendale;
• Esigenze organizzative e produttive.

Le riprese possono essere conservate di norma per un massimo di 24 ore, ma in alcuni casi specifici è ammesso il prolungamento dei tempi fino a 7 giorni.

Quale documentazione presentare

Per ricevere l’autorizzazione all’installazione di impianti audiovisivi è necessario fare richiesta, presentando la seguente documentazione presso l’Ispettorato Nazionale del Lavoro territoriale:

• Modulo di istanza di autorizzazione all’installazione di impianti audiovisivi;
• Relazione recante la modalità di funzionamento del sistema di videosorveglianza;
• In caso di presentazione telematica, la dichiarazione sostitutiva per marca da bollo.

Se il sistema deve essere installato in almeno due unità produttive ubicate in province diverse, possono essere presentate tante istanze quante sono le sedi ai diversi Ispettorati del lavoro territorialmente competenti, oppure può essere presentata un’unica istanza all’Ispettorato Nazionale del Lavoro.

Modifiche da inserire nel manuale operativo privacy

Ottenere l’autorizzazione non basta. Tutte le aziende, di qualsiasi settore e dimensione, sono tenute ad aggiornare la propria documentazione privacy.

Il titolare o il responsabile del trattamento è tenuto a segnalare per iscritto, attraverso la redazione di uno specifico registro delle attività di trattamento all’interno del Manuale Operativo Privacy, tutte le persone autorizzate ad accedere ai locali in cui sono situate le postazioni di controllo, ad utilizzare gli impianti e, nel caso in cui si presentasse l’esigenza, a visionare le immagini.

Il registro delle attività di trattamento inerente alla videosorveglianza deve indicare:

• Le finalità di trattamento;
• Una descrizione delle categorie di interessati
• Le categorie di dati personali;
• Se i dati trattati vengono trasferiti verso un paese terzo o un’organizzazione internazionale;
• I termini per la cancellazione (di norma 24 ore);
• Le misure di sicurezza tecniche e organizzative adottate.

Una volta ottenuta l’autorizzazione vigerà l’obbligo di apporre cartelli per informare gli interessati della presenza di una zona videosorvegliata.

Quando è prevista la valutazione d’impatto preventiva?

La valutazione d’impatto preventiva è prevista se il trattamento, quando preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per le persone fisiche (artt. 35 e 36 del Regolamento).

Può essere il caso, ad esempio, dei sistemi integrati – sia pubblici che privati – che collegano telecamere tra soggetti diversi nonché dei sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli. La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35, par. 3, lett. c) del Regolamento) e negli altri casi indicati dal Garante (cfr. “Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679” dell’11 ottobre 2018).

Sanzioni

L’installazione di impianti audiovisivi senza la sopracitata autorizzazione costituisce reato e il datore di lavoro è soggetto a:

• Sanzione penale (ammenda) che va da € 154,00 a € 1.549,00;
• Arresto da 15 giorni a un anno (art. 38 Legge n. 300/1970), salvo che il fatto non costituisca reato più grave.

Queste si combinano con le sanzioni previste in materia di privacy (GDPR), le quali prevedono:

• Per la violazione degli obblighi, fino a € 10.000,00 o fino al 2% del fatturato mondiale annuo dell’esercizio precedente;
• Per le violazioni dei principi di base del trattamento, comprese le condizioni relative al consento, fino a € 20.000,00 o fino al 4% del fatturato mondiale annuo dell’esercizio precedente;
• Per la violazione dei diritti degli interessati, fino a € 20.000,00 o fino al 4% del fatturato mondiale annuo dell’esercizio precedente.

Servizi correlati

Privacy

Compliance analysis

Supply chain audit

Cosa si intende per Whistleblowing

Per whistleblowing si intende l’atto attraverso il quale il dipendente decide di segnalare alle autorità un illecito commesso dall’azienda per la quale lavora. È importante sottolineare che tale segnalazione deve riguardare l’interesse generale e non esclusivamente quello del singolo lavoratore. Alcuni esempi di segnalazione possono essere: corruzione, frodi nei confronti di creditori, frodi nei confronti del fisco, gestione illecita dei fondi pubblici.

Lo scopo

L’insieme di norme previste hanno lo scopo di prevedere un sistema che tuteli gli interessi del lavoratore che decide di sporgere la segnalazione. Infatti, il whistleblower (segnalatore), a seguito della denuncia, non può essere licenziato, trasferito o demansionato. Questa tutela serve per evitare che il soggetto, per paura di ritorsioni, non segnali l’illecito di cui è venuto a conoscenza. In Italia l’ente preposto alla gestione degli illeciti è l’ANAC (Autorità Nazionale Anticorruzione), la quale ha pubblicato il 12 luglio 2023 le nuove linee guida, volte a dare tutte le indicazioni per la presentazione all’autorità delle segnalazione esterne e per la relativa gestione. Esse forniscono indicazioni e principi di cui gli enti pubblici e privati possono tener conto per i propri canali e modelli organizzativi interni, su cui ANAC si riserva di adottare successivi atti di indirizzo.

La normativa

Il Decreto Legislativo 10 marzo 2023 n. 24 è entrato in vigore il 30 marzo e ha coinvolto inizialmente tutti gli enti pubblici e le società pubbliche o private con un modello organizzativo 231, per poi espandere il proprio campo di applicazione il 15 luglio con le aziende senza un modello organizzativo, ma con un minimo di 250 dipendenti. Dal 17 dicembre tutte le aziende con un minimo di 50 dipendenti saranno obbligate ad adeguarsi alla normativa. Qualora le imprese operino in settori sensibili, come quello finanziario, la disciplina troverà applicazione a prescindere dalla consistenza dell’organico aziendale.

Il ruolo di ANAC

Le competenze affidate ad ANAC si sono estese ulteriormente perché l’autorità sarà ora competente anche a ricevere segnalazioni sia dal settore pubblico che da quello privato. Sarà la persona segnalante che deve operare un giudizio discrezionale, valutando se fare segnalazione esterna. Quest’ultima è possibile se:

• Non vi è possibilità di fare segnalazione interna;
• La segnalazione interna non ha avuto riscontro;
• La persona segnalante ha fondati motivi di ritenere che, se effettuasse segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
• La persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

Cosa cambia

La nuova disciplina impone una riorganizzazione integrale in materia di whistleblowing da parte di enti pubblici e privati. Diventa essenziale dotarsi di un piano di azione che tenga presente molteplici aspetti, che vanno dalla predisposizione di canali di segnalazione adeguati e tecnologicamente affidabili alla formazione interna dei dipendenti ed esterna degli stakeholder sull’utilizzo dello strumento.

Come adeguarsi alla nuova normativa

Per adeguarsi alla normativa le organizzazioni, sia pubbliche che private, devono:

1. Gestire le segnalazioni tramite un software che utilizza sistemi crittografici e che garantisca la riservatezza dell’identità di chi segnala, della persona coinvolta e/o menzionata nella segnalazione;
2. Gestire il trattamento dei dati personali e la documentazione inerente alle segnalazioni a norma GDPR, effettuando una valutazione d’impatto (DPIA) specifica per assicurare un livello di sicurezza informatica (cyber security) commisurato ai rischi;
3. Strutturare adeguatamente la governance del sistema di whistleblowing e affidare la gestione delle segnalazioni a personale con formazione specifica;
4. Informare il personale sul canale di segnalazione e sulle procedure da seguire per effettuare una segnalazione interna.

Riguardo al punto 1, i canali conformi alla nuova legge sono software e app con sistemi di crittografia, i quali consentono totale riservatezza e rispetto dei principi di privacy by design e by default. Non sono conformi sistemi di gestione delle segnalazioni tramite e-mail/PEC e/o form cartacei e/o segnalazioni in presenza. Le segnalazioni possono essere effettuate anche in forma orale, a patto che siano effettuate linee telefoniche o sistemi che garantiscano la riservatezza. Il sistema deve dunque:

1. Garantire l’anonimato al dipendente;
2. Non deve essere accessibile a soggetti non autorizzati;
3. Conforme alle norme sulla privacy.

Come funziona il processo di segnalazione

Le organizzazioni hanno l’obbligo di implementare un processo di ricezione e gestione delle segnalazioni:

• Attuare una procedura conforme alla normativa (tempi limite di 7 giorni per presa in carico e 90 giorni per chiusura indagine, designazione di personale formato e garanzie di riservatezza);
• Adottare un canale, possibilmente informatico, idoneo a garantire la riservatezza sull’identità del segnalante e sul contenuto della segnalazione;
• Redigere un privacy impact assessment e una privacy policy sul Whistleblowing.

Privacy e riservatezza

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere in alcun modo rilevate senza il consenso esplicito della persona segnalante.

La documentazione inerente ciascuna segnalazione deve essere conservata per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

Sanzioni previste

Le sanzioni previste dalle violazioni whistleblowing sono suddivise in due gruppi:

• Da 5.000,00 a 30.000,00 euro in caso di ritorsioni, ostacoli alla segnalazione e/o violazioni della riservatezza del segnalante;
• Da 10.000,00 a 50.000,00 euro nel caso in cui non sia stato istituito un canale di segnalazione, non siano state adottate procedure di gestione o la gestione delle procedure non sia conforme alla normativa, e in caso di mancato svolgimento dell’attività di verifica e analisi delle segnalazioni.

Essendo tematica inerente alla privacy, è bene ricordare che le sanzioni applicate per le violazioni GDPR sono ancora peggiori. A seconda della gravità possono arrivare al 4% del fatturato complessivo o 20 milioni di euro. L’Italia è il secondo paese in Europa dopo la spagna per numero totale di violazioni sanzionate.

Effe Diligence, azienda di consulenza certificata ISO 9001:2015, si occupa di assistere il cliente nella corretta gestione degli obblighi relativi al trattamento dei dati personali. Riguardo al Whistleblowing, l’azienda mette a disposizione tutti gli strumenti e le procedure per adempiere alla normativa. Prenota una consulenza gratuita e scopri come migliorare la tua politica di trattamento dei dati personali.

Servizi correlati

Privacy

Compliance analysis

Supply chain audit

Responsabile del trattamento: soggetto interno o esterno all’azienda?

Sono passati ormai sette anni dall’entrata in vigore del Reg. UE 2016/679 (Regolamento europeo per la protezione dei dati) e quattro anni dalla sua attuazione in Italia, ma sono ancora molte le lacune presenti sui ruoli e le responsabilità dei soggetti interni ed esterni alle aziende.

Chi è il responsabile del trattamento?

La figura del responsabile del trattamento è disciplinata dall’art. 28 del Regolamento ed è definito dall’art. 4 par. 8 come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

È obbligatorio nominarne almeno uno?

Il titolare del trattamento può scegliere se nominare o meno uno o più responsabili del trattamento. Il rapporto tra titolare e responsabile deve essere disciplinato, come da art. 28 par. 3 da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

Chi può essere nominato come responsabile del trattamento?

Il titolare deve ricorrere esclusivamente a responsabili in grado di fornire garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.

Questo si concretizza mediante una valutazione continuativa del rischio, anche in momenti successivi alla stipula del contratto, mediante l’organizzazione di audit specifici.

Il responsabile può a sua volta nominare dei sub responsabili, previa autorizzazione da parte del titolare del trattamento, divenendo a tutti gli effetti responsabili del responsabile. Questa pratica viene utilizzata molto spesso in caso di subappalto o subfornitura.

Contenuto del contratto tra titolare e responsabile

Il contratto rappresenta uno strumento con cui il titolare detta i presupposti del rapporto tra le parti, tenendo conto dei compiti e delle responsabilità specifici nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato.

Il contenuto minimo deve altresì contenere:

• L’oggetto del trattamento (le attività proprie del responsabile);
• La durata del trattamento (il periodo di tempo o i criteri utilizzati per determinare un inizio e una fine);
• La natura del trattamento;
• Le finalità del trattamento;
• La tipologia di dati personali;
• La categoria di interessati (es. dipendenti, clienti, ecc…);
• Gli obblighi e i diritti del titolare.

Cosa succcese quando la collaborazione tra titolare e responsabile si interrompe?

In caso di cessazione del rapporto tra titolare e responsabile, quest’ultimo dovrà, a seconda di quanto specificato nel contratto, restituire o cancellare i dati in suo possesso.

Soggetto esterno o interno?

In base a quanto stabilito dal GDPR, il responsabile del trattamento è, per sua definizione, un soggetto esterno all’azienda. Infatti, il titolare del trattamento può decidere di trattare i dati all’interno della propria azienda oppure delegare in tutto o in parte le attività di trattamento ad un soggetto esterno. Quindi, per agire come responsabile del trattamento è necessario essere una persona giuridica distinta dal titolare ed elaborare dati per suo conto.

Il titolare, dunque, può distribuire incarichi anche a soggetti interni, i quali verranno nominati come persone autorizzate al trattamento, mantenendo però le responsabilità dei dati trattati. Diversamente, attraverso la nomina di un responsabile esterno, il titolare delega tutte le responsabilità specifiche, con la diretta conseguenza che la figura individuata e nominata possa essere chiamata a rispondere davanti alle autorità di controllo e alla magistratura.

Ricordiamo che, nel caso di trattamento in violazione delle norme del regolamento europeo, il responsabile risponde, congiuntamente al titolare, per il danno cagionato all’interessato, secondo quanto previsto dall’articolo 82. Il responsabile risponde per il danno causato dal trattamento solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto alle istruzioni del titolare del trattamento. Le condotte non conformi al GDPR che determinino le finalità e i mezzi del trattamento (cioè se agisce come fosse titolare) producono l’effetto di qualificare il responsabile come titolare del trattamento (art. 28 par. 10 GDPR).

Servizi correlati

Privacy

Compliance analysis

Supply chain audit

Le nuove linee guida sull’utilizzo di cookie e altri strumenti di tracciamento

I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai dispositivi utilizzati per la consultazione (smartphone, computer, tablet, ecc..) per essere memorizzati e poi ritrasmessi agli stessi siti in occasione della visita successiva.

Essi semplificano e velocizzano gli accessi ai siti web da parte degli utenti, in quanto memorizzano alcune informazioni relative agli stessi che non debbono più essere reperite ed elaborate dai dispositivi dopo il primo accesso.

I cookie inoltre semplificano la fruizione di alcuni servizi web: infatti, possono essere impiegati ad esempio per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

Tuttavia, non semplificano la vita solo agli utenti, ma anche ai soggetti che gestiscono il sito web, in quanto consentono la raccolta e il trattamento di molti dati personali (es: indirizzo IP, nome utente, indirizzo e-mail, ecc..), utilizzabili a fini di marketing.

Le nuove linee guida

Lo scorso giugno il Garante Privacy ha approvato nuove linee guida in materia di cookie e altri strumenti di tracciamento e sono diventate operative dal 9 gennaio 2022.

Le nuove Linee guida suggeriscono miglioramenti che i titolari possono adottare al fine di rendere agli utenti una informativa conforme ai requisiti di trasparenza previsti dagli articoli 12 e 13 del GDPR.

L’informativa deve:

• Avere un linguaggio semplice ed accessibile
• Essere multilayer, cioè suddivisa su più livelli e resa tramite più canali e modalità.

Se si utilizzano sono cookie tecnici

Alcuni cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Questi cookie, cosiddetti tecnici, sono spesso utili per consentire di navigare in un sito web e utilizzarne tutte le funzionalità. I cookie tecnici sono quelli il cui utilizzo non richiede il consenso dell’utente.

A questa categoria appartengono anche gli analytics cookie. Si tratta di cookie che raccolgono informazioni circa l’utilizzo che un utente fa di un sito web e che consentono di migliorarne il funzionamento. Ad esempio, gli analytics cookie mostrano quali sono le pagine più frequentemente visitate, consentono di verificare quali sono gli schemi ricorrenti d’utilizzo di un sito web e aiutano a comprendere ogni difficoltà che l’utente incontra nell’utilizzo.

Nel caso in cui vengano utilizzati solo questo tipo di cookie, la relativa informazione può essere collocata all’interno della homepage o nell’informativa generale del sito web.

Se si utilizzano altri tipi di cookie

Nel caso in cui vengano utilizzati, oltre cookie tecnici, anche cookie di profilazione e/o cookie di terze parti deve essere previsto l’utilizzo di banner a comparsa immediata e di adeguate dimensioni che contengano:

• Un comando per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo, così, le impostazioni di default che non ne consentano l’impiego
• L’indicazione che il sito utilizza cookie tecnici e se del caso, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve)
• Il link alla Privacy Policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e le modalità per esercitare i diritti di cui al Regolamento
• Un comando per accettare tutti i cookie
• Il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e, tramite due ulteriori comandi, poter modificare le scelte già fatte, prestando il consenso all’impiego di tutti i cookie se non dato in precedenza o revocandolo, anche in unica soluzione, se già espresso.

Il consenso

Le nuove Linee guida propongono significative modifiche in termini di consenso.

Lo scrolling non viene ritenuto uno strumento adatto alla raccolta di un idoneo consenso.

Il cookie wall, ovvero il meccanismo vincolante nel quale l’utente viene obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie o altri strumenti di tracciamento è da considerarsi illecito.

Consensi raccolti in precedenza

I consensi raccolti in precedenza mantengono validità a condizione che, al momento della loro acquisizione, siano stati registrati e siano documentabili.

Reinterazione della richiesta di consenso

Nel caso in cui gli utenti abbiano scelto di non prestare il consenso, mantenendo le impostazioni di default, la reiterazione della richiesta di consenso è consentita solo nei seguenti casi:

• Se cambiano significativamente le condizioni del trattamento
• Quando sia impossibile per il sito sapere se un cookie sia stato già memorizzato nel dispositivo
• Quando siano trascorsi almeno 6 mesi dalla precedente presentazione del banner

Servizi correlati

Privacy

Compliance analysis

Marketing

Dati obbligatori da inserire nel 2022 sul tuo sito web

Se sei un’azienda o un libero professionista e hai deciso di promuovere la tua attività attraverso la creazione di un sito web, ti sarà utile sapere quali sono i dati da inserire obbligatoriamente nella homepage.

Ditte individuali

Se sei titolare di una ditta individuale, sei tenuto a pubblicare sul tuo sito web le seguenti informazioni:

• Nome, cognome o denominazione
• Indirizzo della sede legale
• Ufficio del registro delle imprese
• Numero di iscrizione REA (Repertorio Economico Amministrativo)
• Privacy e Cookie Policy conformi al GDPR

Società di capitali

Le informazioni obbligatorie per i siti web di s.r.l. (Società a Responsabilità Limitata), s.r.l.s. (Società a Responsabilità Limitata Semplificata), s.p.a. (Società Per Azioni) e s.a.p.a. (Società in Accomandita Per Azioni) sono:

• Ragione Sociale
• Sede legale
• Partita Iva
• Ufficio del registro delle imprese
• Numero di iscrizione REA (Repertorio Economico Amministrativo)
• Capitale sociale e quota versata
• Privacy e Cookie Policy conformi al GDPR

Professionisti iscritti a un albo

Le informazioni obbligatorie per i siti web di proprietà di professionisti iscritti a un albo (medici, avvocati, commercialisti, ecc..) i dati obbligatori sono:

• Cognome e nome
• Titolo professionale
• Indirizzo della sede legale
• Numero di Partita IVA
• Numero di iscrizione all’Albo
• Privacy e Cookie Policy conformi al GDPR

Associazioni

Anche i siti web di associazioni devono riportare alcune informazioni obbligatorie:

• Nome associazione
• Tipo di associazione
• Codice fiscale o Partita IVA
• Privacy e Cookie Policy

Siti amatoriali

In caso di siti web creati da persone fisiche non vige alcun obbligo inerente all’inserimento di dati nella homepage.

Sanzioni

Le sanzioni previste per il mancato inserimento delle informazioni obbligatorie variano da € 258,23 a € 2.065,83 (articolo 11, Decreto Legislativo 472/97)

Servizi correlati

Privacy

Compliance analysis

Marketing

La GDPR riguarda tutte le imprese

Dal 2018 è divenuto ufficialmente applicabile in tutti gli stati membri dell’Unione Europea Il Reg. UE 2016/679, noto come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Tutti i soggetti che effettuano il trattamento di dati altrui hanno l’obbligo di adottare misure di sicurezza al fine di tutelare l’interesse della clientela e del proprio personale. Quindi la normativa riguarda tutte le imprese.

La parola chiave del regolamento è responsabilizzazione, in quanto vengono esaminati tutti i processi e non viene promossa solo ed esclusivamente la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.

E’ di fondamentale importanza riuscire a identificare sia le figure esterne che le figure interne che trattano dati per conto del titolare, che nella maggior parte dei casi è l’azienda stessa.

Le figure

Le figure principali identificate dal GDPR sono:

• Titolare del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’UE o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri

Quindi, la norma dà la possibilità anche all’azienda stessa di essere titolare del trattamento. La figura mette in atto tutte le misure necessarie a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure possono essere aggiornate quando necessario.

• Responsabile del trattamento: è la persona fisica o giuridica, l’autorità pubbica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

Nel momento in cui un trattamento deve essere effettuato per conto del titolare del trattamento del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.  La nomina di questa figura è riservata ad una figura esterna all’azienda (commercialisti, legali, consulenti del lavoro ecc…)

• Persona autorizzata: è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

In questo caso, la persona autorizzata è solitamente un dipendente dell’azienda e per svolgere la mansione ha ricevuto opportuna formazione.

• DPO (Data Protection Officer): Il DPO non deve essere sempre presente. L’obbligo nasce esclusivamente per le aziende pubbliche e/o che trattano dati sensibili su larga scala.
• Amministratore di sistema: pur non essendo esplicitamente richiamato nel gdpr, ha una considerevole responsabilità sui dati aziendali e riveste un ruolo particolare sul piano operativo all’interno dell’azienda.
• Medico competente: Questa figura riveste il ruolo di titolare autonomo del trattamento dei dati.

“Il regolamento si applica a tutte le aziende o enti che trattano dati personali nell’ambito delle attività di una delle sue filiali stabilite nell’UE, indipendentemente dal luogo in cui i dati sono trattati.”

I registri

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Questi registri sono suddivisi per categorie e contengono tutte le informazioni necessarie a tutelare i dati dell’interessato.

DPIA

La valutazione di impatto sulla protezione dei dati è necessaria quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Data Breach

Il data breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Il titolare del trattamento che subisce un data breach senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Le informative

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, l’informativa riguardante:

• l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
• i dati di contatto del responsabile della protezione dei dati, ove applicabile;
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridicadel trattamento;
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

In aggiunta alle suddette informazioni, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità deidati;
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

L’informativa è obbligatoria ogniqualvolta vi sia un trattamento di dati.

L’informativa è indispensabile anche nel caso in cui vengano raccolti dati all’interno del sito web. In questo caso è obbligatorio inserire al suo interno la privacy policy e la cookie policy.

Le sanzioni

Gli importi delle sanzioni previsti dal nuovo Regolamento UE sono pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o se l’importo è maggiore possono arrivare fino al 2% o 4% del fatturato.

Il GDPR parla soltanto delle sanzioni amministrative pecuniarie, l’articolo 83 prevede un importo pari ad un massimo di:

• 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
• 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

In ogni caso, le conseguenze per imprese e professionisti che commettono violazioni sono diverse:

• sanzioni penali;
• sanzioni amministrative;
• risarcimento del danno in favore dell’interessato;
• divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.

Servizi correlati

Privacy

Compliance analysis

Supply chain audit