In attesa che il prossimo Governo adotti uno o più decreti legislativi (il termine previsto è entro il 25 maggio 2018) per adeguare il quadro normativo nazionale alle disposizioni del REGOLAMENTO U.E. 2016/679 “GENERAL DATA PROTECTION REGULATION” (GDPR), appare necessario RIBADIRE che allo stato attuale permangono sia le “vecchie” disposizioni dettate dal Codice della Privacy che le nuove del REGOLAMENTO .
Pertanto si ricorda che:
-il cliente deve essere informato
-il cliente deve autorizzare particolari trattamenti quali il passaggio di telefonate, la conservazione dei suoi dati anagrafici, la spedizione di messaggi pubblicitari o di auguri e tenerne copia in Azienda almeno fino a quando verranno mantenuti i dati di quel cliente
-la notifica degli alloggiati deve essere inviata esclusivamente on-line
-le schedine non devono più essere tenute in forma cartacea ( e non devono essere fatte firmare al cliente)
-le ricevute digitali che le aziende devono scaricare dal sito alloggiatiweb.poliziadistato.it, attestanti l’invio delle schede di notifica degli alloggiati, devono essere tenute per 5 anni esclusivamente in formato digitale
-è necessario (ed obbligatorio) eseguire un back up periodico e costante dei PC.
-gli operatori devono essere informati ed istruiti sul trattamento dei dati.
-sono ancora vigenti le norme relative alla videosorveglianza, all’assunzione di personale, al web etc…. .
Si rimanda per quanto sopra al notiziario n.6/2017 e suoi allegati.
Le principali novità riportate nel Regolamento europeo sono:
-valutazione dei rischi e misure tecniche e organizzative per garantire la sicurezza – articoli 24, 28, 29, 32, 40, 41, 42 e 43
Sulla base del principio di “responsabilizzazione”, il titolare analizza i rischi inerenti il trattamento, quali la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzato, che potrebbero cagionare un danno fisico, materiale o immateriale. A seguito dell’analisi dei rischi, viene valutato l’adeguato livello di sicurezza, attuando le misure ritenute idonee per limitare tali rischi. Le misure di sicurezza adottate dovranno essere annotate nel registro.
-Implementazione delle misure tecniche e organizzative
Il Regolamento U.E. richiede inoltre che il responsabile del trattamento, ove nominato dal titolare, debba presentare garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che assicurano la sicurezza del trattamento. Il responsabile del trattamento, o chiunque agisce sotto la sua autorità o sotto quella del titolare del trattamento, non può trattare dati personali se non è istruito in tal senso dal titolare del trattamento.
È necessario pertanto che i soggetti incaricati dal titolare o dal responsabile di effettuare un trattamento, o singole fasi di esso, ricevano le specifiche istruzione da seguire. Al riguardo, alleghiamo un facsimile, già diffuso agli associati e contenuto nella nostra guida sulla privacy del 2015, che, debitamente implementato, può continuare ad essere utilizzato per incaricare i lavoratori ad eseguire operazioni di trattamento di dati personali con strumenti informatici, conferendo le credenziali di autenticazione per l’accesso agli stessi (allegato ).
In allegato anche uno schema di disciplinare aziendale che, con le opportune modifiche e integrazioni, può essere utilizzato per informare i lavoratori sul corretto utilizzo degli strumenti informatici ai fini della sicurezza dei dati personali (allegato ).
-registro delle attività di trattamento – articolo 30
-Il titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Il registro deve contenere tutte le informazioni sui trattamenti effettuati, elencate nell’articolo 30. Si tratta di un nuovo adempimento che anche se non obbligatorio per tutti i titolari di trattamento, è ritenuto dall’Autorità Garante un adempimento indispensabile, a prescindere dalle dimensioni dell’organizzazione, al fine di compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche. Secondo il Garante, la tenuta del registro dei trattamenti non costituisce un adempimento formale, ma è bensì parte integrante di un sistema di corretta gestione dei dati personali. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante. Il Garante intende elaborare un modello di registro dei trattamenti, da mettere a disposizione sul proprio sito, che i singoli titolari potranno integrare nei modi opportuni. Nelle more, la Federazione ha predisposto un facsimile di registro semplificato (allegato ), che potrà essere utilizzato dalle aziende non obbligate alla sua tenuta,
-notifica delle violazioni di dati personali – articolo 33 e 34
–In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica al Garante non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Si ricorda che oltre al penale nel nuovo Regolamento europeo sono stabilite sanzioni amministrative pecuniarie fino a 20 milioni di euro, o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.