GDPR E CODICE PRIVACY – Le regole per studi e aziende
Principali figure
Informativa e consenso
Comunicazioni data breach
Tutela dell’interessato
Adempimenti per gli studi professionali
Modulistica per professionisti e aziende
Il testo analizza la disciplina della privacy, come definita dal Regolamento UE 2016/679 e dal D.Lgs. n. 101/2018, con il quale è stato rivisto ed aggiornato il D.Lgs. n. 196/2003, cd. “Codice della privacy”.
Attualmente, la protezione dei dati nel nostro Paese è disciplinata dalle seguenti disposizioni:
GDPR, ovvero il Regolamento UE 2016/679, in vigore dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea;
D.Lgs. n. 196/2003, così come modificato dal D.Lgs. n. 101/2018, per quanto riguarda gli aspetti demandati alla normativa nazionale.
Il testo analizza il contesto privacy che deriva dall’applicazione congiunta delle norme sopra elencate. In particolare, dopo un primo inquadramento generale della materia, sono analizzate le seguenti tematiche:
figure (titolare, responsabile, designato per specifici compiti/funzioni, Data Protection Officer, etc.);
adempimenti (informativa, consenso, registri delle attività di trattamento, analisi del rischio, etc.);
diritti dell’interessato (accesso, rettifica, portabilità dei dati, diritto all’oblio);
reclamo, ricorso e regime sanzionatorio.
Nell’ambito della trattazione è dedicato un ampio spazio agli aspetti privacy (figure, adempimenti, modulistica, etc.) di interesse per gli studi professionali di commercialisti e consulenti tributari; è, inoltre, presente un focus sulla disciplina privacy applicabile in materia di videosorveglianza e di condominio.
Completa l’analisi degli aspetti più teorici la sezione “Formulario”, nella quale sono proposti i fac simile dei principali documenti privacy.
STRUTTURA DEL LIBRO:
Inquadramento normativo
Legge 31 dicembre 1996 n. 675
Decreto Legislativo n. 196/2003
Regolamento UE 2016/679
Legge 25 ottobre 2017, n. 163
Decreto Legislativo n. 101/2018
Impianto normativo privacy vigente
Definizioni utili
Sezione Prima – ASPETTI GENERALI
Oggetto, finalità e ambito di applicazione della disciplina
Oggetto e finalità
Ambito di applicazione del Regolamento
Principi generali: accountability, privacy by design e by default
Principio di “accountability”
Data protection by design and by default
I dati nella privacy
Dati personali
Categorie particolari di dati
Dati relativi a condanne penali e reati
Il trattamento dei dati nella privacy
Definizione di “trattamento” (art. 4)
Principi generali per il trattamento dei dati (art. 5)
Liceità del trattamento dei dati personali (art. 6)
Liceità del trattamento delle categorie particolari di dati (art. 9)
Liceità del trattamento dei dati relativi a condanne penali e reati (art. 10)
Trattamento che non richiede l’identificazione (art. 11)
Notizie o immagini relative a minori
Inutilizzabilità dei dati trattati in violazione della normativa
Sezione Seconda – FIGURE PRIVACY
Premessa
Titolare del trattamento
Definizione
Responsabilità
Obblighi (misure tecniche ed organizzative)
Contitolari del trattamento
Responsabile del trattamento
Competenze del responsabile
Nomina del responsabile
Compiti e funzioni del responsabile
Responsabile della protezione dei dati (DPO)
Soggetto designato per specifici compiti e funzioni
Definizione
Individuazione del soggetto designato
Caratteristiche del soggetto designato
Nomina e compiti del soggetto designato
Soggetto autorizzato al trattamento
Individuazione dei soggetti autorizzati
Competenze
Interessato
Definizione
Diritti dell’interessato
Rappresentante del titolare o responsabile non stabilito nell’UE
Definizione
Ubicazione e compiti del rappresentante
Designazione del rappresentante
Altri soggetti definiti dal Regolamento
Destinatario
Soggetto terzo
Impresa e gruppo imprenditoriale
Autorità di controllo
Organizzazione internazionale
Amministratore di sistema (ADS)
Definizione di “amministratore di sistema”
Adempimenti a carico del titolare
ADS in outsourcing (ora responsabile del trattamento)
Chiarimenti in merito agli adempimenti relativi alla figura dell’ADS
Sezione Terza – DATA PROTECTION OFFICER (DPO)
Obbligo o facoltà di nomina del DPO
Quando la nomina del DPO è obbligatoria
Soggetti esclusi dalla nomina del DPO (nomina facoltativa)
Requisiti e designazione del DPO
Qualità professionali richieste al DPO
Individuazione del DPO
Posizione del DPO e rapporti con il titolare del trattamento
Atto di designazione del DPO
Pubblicazione e comunicazione al Garante dei dati di contatto del DPO
Compiti del DPO
Consulenza sugli obblighi privacy
Controllo del rispetto del regolamento
Parere sulla valutazione d’impatto sulla protezione dei dati (DPIA)
Cooperazione con l’autorità di controllo e funzione di punto di contatto
Analisi dei rischi del trattamento
Tenuta registro delle attività di trattamento (opzionale)
Comunicazione al Garante della nomina/revoca/variazione del DPO
Compilazione della comunicazione
Firma e caricamento della comunicazione
Riscontro di avvenuta comunicazione
Invio di comunicazioni successive
Esempi di compilazione
FAQ inerenti la figura del DPO
FAQ del Garante della privacy (DPO in ambito privato)
FAQ del Gruppo di lavoro art. 29
Sezione Quarta – ADEMPIMENTI
Premessa
Informativa per gli interessati
Modalità di redazione dell’informativa
Tempi di consegna dell’informativa
Esonero dal rilascio dell’informativa
Contenuti dell’informativa
Presa visione dell’informativa e consenso al trattamento
Esempio di informativa privacy
Consenso dell’interessato
Quando il consenso non è necessario
Modalità di acquisizione del consenso
Revoca del consenso
Registri delle attività di trattamento
Definizione di registro delle attività di trattamento
Soggetti obbligati alla tenuta del registro delle attività di trattamento
Esonero dall’obbligo di tenuta del registro delle attività di trattamento
Aggiornamento dei registri dei trattamenti
Esibizione dei registri alle autorità di controllo
Contenuti del registro del titolare del trattamento
Contenuti del registro del responsabile del trattamento
Misure di sicurezza
La sicurezza dei dati nel GDPR
Possibili misure di sicurezza
Formazione dei soggetti autorizzati al trattamento dei dati
Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
Valutazione d’impatto sulla protezione dei dati
Definizione di valutazione d’impatto
Trattamenti soggetti alla valutazione d’impatto
Elementi da considerare per effettuare una valutazione di impatto
Software per la valutazione di impatto
Consultazione preventiva
Contenuti della richiesta di consultazione preventiva
Parere dell’Autorità di controllo
Data breach e comunicazione di violazione dei dati personali
Notifica della violazione dei dati personali all’autorità di controllo
Termini entro cui effettuare la notifica
Contenuto e modalità di trasmissione della notifica
Fac simile modello di notifica
Comunicazione della violazione dei dati personali all’interessato
Forma e contenuto della comunicazione
Circostanze nelle quali non è richiesta la comunicazione
Fac simile comunicazione all’interessato
Diagramma di flusso per la gestione del “data breach”
“Data breach”: esempi, note e raccomandazioni
Sezione Quinta – DIRITTI DELL’INTERESSATO
Premessa
Diritto di accesso
Copia dei dati oggetto di trattamento
Trasferimento dei dati ad un Paese terzo
Diritto di rettifica
Presupposti per la rettifica
Obbligo di notifica
Diritto alla cancellazione (c.d. “diritto all’oblio”)
Presupposti per la cancellazione
Obbligo di informazione degli altri titolari del trattamento
Esclusioni
Obbligo di notifica
Diritto di limitazione di trattamento
Presupposti per la limitazione del trattamento
Modalità operative
Diritto alla portabilità dei dati
Componenti del diritto alla portabilità dei dati
Applicazione del diritto alla portabilità dei dati
Aspetti operativi
Messa a disposizione dei dati portabili
Diritto di opposizione
Presupposti per l’opposizione
Informazione all’interessato
Esercizio del diritto di opposizione
Diritto di non essere sottoposto a trattamenti automatizzati
Presupposti per l’esercizio del diritto
Esclusioni
Decisioni basate su “categorie particolari di dati”
Esercizio dei diritti dell’interessato
Gratuità dell’esercizio dei diritti dell’interessato
Esercizio dei diritti per persone decedute
Riscontro del titolare del trattamento alle richieste dell’interessato
Verifica dell’identità del richiedente
Forma del riscontro all’interessato
Termini di risposta alla richiesta dell’interessato
Limitazione degli obblighi e dei diritti
Limitazioni del diritto nazionale
Sezione Sesta – TUTELA DELL’INTERESSATO E SANZIONI
Reclamo, ricorso e segnalazione al Garante
Reclamo al Garante della privacy
Ricorso dinanzi all’autorità giudiziaria (alternativo al reclamo)
Ricorso giurisdizionale effettivo
Segnalazione al Garante della privacy
Diritto al risarcimento del danno subito
Sanzioni amministrative
Principi generali
Misura delle sanzioni amministrative pecuniarie
Procedimento per l’applicazione delle sanzioni
Sanzioni penali
Trattamento illecito di dati
Comunicazione e diffusione illecita di dati personali su larga scala
Acquisizione fraudolenta di dati personali su larga scala
Falsità nelle dichiarazioni al Garante e interruzione di procedimento
Inosservanza di provvedimenti del Garante
Violazioni dei controlli a distanza e delle indagini su opinioni dei lavoratori
Sezione Settima – PRIVACY DELLO STUDIO PROFESSIONALE
Figure privacy nello studio professionale
Titolare del trattamento
Responsabile del trattamento
Autorizzati al trattamento
Interessati
Responsabile della protezione dei dati (DPO)
Soggetto designato per specifici compiti e funzioni
Amministratore di sistema
Struttura dello studio professionale e organigramma privacy
Dati trattati dallo studio professionale
Trattamento dei dati delle persone giuridiche dotate di autonomia patrimoniale perfetta
Trattamento dei dati delle persone fisiche
Dati personali “comuni”
Categorie particolari di dati personali
Dati personali relativi a condanne penali e reati
Adempimenti necessari
Adempimenti verso il personale interno, i clienti e altri soggetti
Adempimenti verso dipendenti/collaboratori ed altri soggetti “esterni”
Adempimenti verso i clienti (persone fisiche) dello studio professionale
Misure di sicurezza nello studio professionale
Trattamento con strumenti elettronici
Trattamento senza strumenti elettronici
Registri delle attività di trattamento
Fac simile in forma libera
Modello semplificato PMI (Garante)
Esempio progressivo: evoluzione dello studio professionale e adempimenti privacy
Anno (n)
Anno (n + 1)
Anno (n + 2)
Sezione Ottava – ALTRI ASPETTI DI INTERESSE
Videosorveglianza
Applicazione del GDPR nell’ambito della videosorveglianza
Liceità dei sistemi di videosorveglianza
Comunicazione di videoregistrazioni a terzi
Trattamenti riguardanti categorie particolari di dati
Diritti dell’interessato
Obblighi di trasparenza e informazione
Conservazione e obbligo di cancellazione delle immagini registrate
Misure tecniche e organizzative
Valutazione d’impatto sulla protezione dei dati
FAQ Garante
Condominio
Soggetti interessati
Tipologia di atti e documenti trattati
Equilibrio tra gestione del condominio e privacy
Adempimenti
Videosorveglianza nel condominio
Amministratore di condominio
Assemblea di condominio
Utilizzo della posta elettronica e della rete internet nel rapporto di lavoro
Liceità del trattamento
Adempimenti del datore di lavoro
Controlli del datore di lavoro
Raccolta e conservazione dei metadati della posta elettronica in uso ai dipendenti
Regole deontologiche e meccanismi di certificazione
Codici di condotta e regole deontologiche
Meccanismi di certificazione
Trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali
Principi generali per il trasferimento
Trasferimento sulla base di una decisione di adeguatezza
Trasferimento soggetto a garanzie adeguate
Norme vincolanti d’impresa
Trasferimento o comunicazione non autorizzati dal diritto dell’unione
Deroghe in specifiche situazioni
Disposizioni transitorie e di coordinamento
Dati sensibili e giudiziari
Validità dei provvedimenti del Garante
Rinvii a disposizioni del D.Lgs. n. 196/2003 abrogate
Sezione Nona – FORMULARIO
Informativa a clienti – Trattamento dati per esecuzione contratto
Informativa a clienti – Trattamento dati per esecuzione contratto e finalità di marketing
Informativa a clienti Studio professionale
Informativa a dipendenti e collaboratori
Nomina a responsabile del trattamento
Atto di nomina a soggetto autorizzato e mansionario
Atto di nomina a soggetto designato per specifici compiti e funzioni
Atto di nomina ad amministratore di sistema
Atto di designazione del DPO – Modello Garante
Comunicazione, variazione e revoca dati di contatto del DPO – Modello Garante
Esercizio dei diritti dell’interessato – Modello Garante
Istanza di reclamo – Modello Garante
Violazione dei dati personali – Modello Garante
Registro dei trattamenti del titolare – Modello Garante per PMI
Registro dei trattamenti del responsabile – Modello Garante per PMI
Identificazione e registrazione dei soggetti a cui è permesso accedere agli archivi dopo orario di chiusura
Regolamento per l’utilizzo degli strumenti informatici
Sezione Decima – NORMATIVA
Regolamento UE 2016/679 (con riferimenti ai Considerando)
Decreto Legislativo 30 giugno 2003, n. 196
Decreto Legislativo 10 agosto 2018, n. 101
