Il testo analizza la disciplina della privacy, come definita dal Regolamento UE 2016/679 e dal D.Lgs. n. 101/2018, con il quale è stato rivisto ed aggiornato il D.Lgs. n. 196/2003, cd. “Codice della privacy”.
Attualmente, la protezione dei dati nel nostro Paese è disciplinata dalle seguenti disposizioni:
GDPR, ovvero il Regolamento UE 2016/679, in vigore dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea; D.Lgs. n. 196/2003, così come modificato dal D.Lgs. n. 101/2018, per quanto riguarda gli aspetti demandati alla normativa nazionale. Il testo analizza il contesto privacy che deriva dall’applicazione congiunta delle norme sopra elencate. In particolare, dopo un primo inquadramento generale della materia, sono analizzate le seguenti tematiche:
figure (titolare, responsabile, designato per specifici compiti/funzioni, Data Protection Officer, etc.); adempimenti (informativa, consenso, registri delle attività di trattamento, analisi del rischio, etc.); diritti dell’interessato (accesso, rettifica, portabilità dei dati, diritto all’oblio); reclamo, ricorso e regime sanzionatorio. Nell’ambito della trattazione è dedicato un ampio spazio agli aspetti privacy (figure, adempimenti, modulistica, etc.) di interesse per gli studi professionali di commercialisti e consulenti tributari; è, inoltre, presente un focus sulla disciplina privacy applicabile in materia di videosorveglianza e di condominio.
Completa l’analisi degli aspetti più teorici la sezione “Formulario”, nella quale sono proposti i fac simile dei principali documenti privacy.
STRUTTURA DEL LIBRO: Inquadramento normativo Legge 31 dicembre 1996 n. 675 Decreto Legislativo n. 196/2003 Regolamento UE 2016/679 Legge 25 ottobre 2017, n. 163 Decreto Legislativo n. 101/2018 Impianto normativo privacy vigente Definizioni utili Sezione Prima - ASPETTI GENERALI Oggetto, finalità e ambito di applicazione della disciplina Oggetto e finalità Ambito di applicazione del Regolamento Principi generali: accountability, privacy by design e by default Principio di “accountability” Data protection by design and by default I dati nella privacy Dati personali Categorie particolari di dati Dati relativi a condanne penali e reati Il trattamento dei dati nella privacy Definizione di “trattamento” (art. 4) Principi generali per il trattamento dei dati (art. 5) Liceità del trattamento dei dati personali (art. 6) Liceità del trattamento delle categorie particolari di dati (art. 9) Liceità del trattamento dei dati relativi a condanne penali e reati (art. 10) Trattamento che non richiede l’identificazione (art. 11) Notizie o immagini relative a minori Inutilizzabilità dei dati trattati in violazione della normativa Sezione Seconda - FIGURE PRIVACY Premessa Titolare del trattamento Definizione Responsabilità Obblighi (misure tecniche ed organizzative) Contitolari del trattamento Responsabile del trattamento Competenze del responsabile Nomina del responsabile Compiti e funzioni del responsabile Responsabile della protezione dei dati (DPO) Soggetto designato per specifici compiti e funzioni Definizione Individuazione del soggetto designato Caratteristiche del soggetto designato Nomina e compiti del soggetto designato Soggetto autorizzato al trattamento Individuazione dei soggetti autorizzati Competenze Interessato Definizione Diritti dell’interessato Rappresentante del titolare o responsabile non stabilito nell’UE Definizione Ubicazione e compiti del rappresentante Designazione del rappresentante Altri soggetti definiti dal Regolamento Destinatario Soggetto terzo Impresa e gruppo imprenditoriale Autorità di controllo Organizzazione internazionale Amministratore di sistema (ADS) Definizione di “amministratore di sistema” Adempimenti a carico del titolare ADS in outsourcing (ora responsabile del trattamento) Chiarimenti in merito agli adempimenti relativi alla figura dell’ADS Sezione Terza - DATA PROTECTION OFFICER (DPO) Obbligo o facoltà di nomina del DPO Quando la nomina del DPO è obbligatoria Soggetti esclusi dalla nomina del DPO (nomina facoltativa) Requisiti e designazione del DPO Qualità professionali richieste al DPO Individuazione del DPO Posizione del DPO e rapporti con il titolare del trattamento Atto di designazione del DPO Pubblicazione e comunicazione al Garante dei dati di contatto del DPO Compiti del DPO Consulenza sugli obblighi privacy Controllo del rispetto del regolamento Parere sulla valutazione d’impatto sulla protezione dei dati (DPIA) Cooperazione con l’autorità di controllo e funzione di punto di contatto Analisi dei rischi del trattamento Tenuta registro delle attività di trattamento (opzionale) Comunicazione al Garante della nomina/revoca/variazione del DPO Compilazione della comunicazione Firma e caricamento della comunicazione Riscontro di avvenuta comunicazione Invio di comunicazioni successive Esempi di compilazione FAQ inerenti la figura del DPO FAQ del Garante della privacy (DPO in ambito privato) FAQ del Gruppo di lavoro art. 29 Sezione Quarta - ADEMPIMENTI Premessa Informativa per gli interessati Modalità di redazione dell’informativa Tempi di consegna dell’informativa Esonero dal rilascio dell’informativa Contenuti dell’informativa Presa visione dell’informativa e consenso al trattamento Esempio di informativa privacy Consenso dell’interessato Quando il consenso non è necessario Modalità di acquisizione del consenso Revoca del consenso Registri delle attività di trattamento Definizione di registro delle attività di trattamento Soggetti obbligati alla tenuta del registro delle attività di trattamento Esonero dall’obbligo di tenuta del registro delle attività di trattamento Aggiornamento dei registri dei trattamenti Esibizione dei registri alle autorità di controllo Contenuti del registro del titolare del trattamento Contenuti del registro del responsabile del trattamento Misure di sicurezza La sicurezza dei dati nel GDPR Possibili misure di sicurezza Formazione dei soggetti autorizzati al trattamento dei dati Valutazione d’impatto sulla protezione dei dati e consultazione preventiva Valutazione d’impatto sulla protezione dei dati Definizione di valutazione d’impatto Trattamenti soggetti alla valutazione d’impatto Elementi da considerare per effettuare una valutazione di impatto Software per la valutazione di impatto Consultazione preventiva Contenuti della richiesta di consultazione preventiva Parere dell’Autorità di controllo Data breach e comunicazione di violazione dei dati personali Notifica della violazione dei dati personali all’autorità di controllo Termini entro cui effettuare la notifica Contenuto e modalità di trasmissione della notifica Fac simile modello di notifica Comunicazione della violazione dei dati personali all’interessato Forma e contenuto della comunicazione Circostanze nelle quali non è richiesta la comunicazione Fac simile comunicazione all’interessato Diagramma di flusso per la gestione del “data breach” “Data breach”: esempi, note e raccomandazioni Sezione Quinta - DIRITTI DELL’INTERESSATO Premessa Diritto di accesso Copia dei dati oggetto di trattamento Trasferimento dei dati ad un Paese terzo Diritto di rettifica Presupposti per la rettifica Obbligo di notifica Diritto alla cancellazione (c.d. “diritto all’oblio”) Presupposti per la cancellazione Obbligo di informazione degli altri titolari del trattamento Esclusioni Obbligo di notifica Diritto di limitazione di trattamento Presupposti per la limitazione del trattamento Modalità operative Diritto alla portabilità dei dati Componenti del diritto alla portabilità dei dati Applicazione del diritto alla portabilità dei dati Aspetti operativi Messa a disposizione dei dati portabili Diritto di opposizione Presupposti per l’opposizione Informazione all’interessato Esercizio del diritto di opposizione Diritto di non essere sottoposto a trattamenti automatizzati Presupposti per l’esercizio del diritto Esclusioni Decisioni basate su “categorie particolari di dati” Esercizio dei diritti dell’interessato Gratuità dell’esercizio dei diritti dell’interessato Esercizio dei diritti per persone decedute Riscontro del titolare del trattamento alle richieste dell’interessato Verifica dell’identità del richiedente Forma del riscontro all’interessato Termini di risposta alla richiesta dell’interessato Limitazione degli obblighi e dei diritti Limitazioni del diritto nazionale Sezione Sesta - TUTELA DELL’INTERESSATO E SANZIONI Reclamo, ricorso e segnalazione al Garante Reclamo al Garante della privacy Ricorso dinanzi all’autorità giudiziaria (alternativo al reclamo) Ricorso giurisdizionale effettivo Segnalazione al Garante della privacy Diritto al risarcimento del danno subito Sanzioni amministrative Principi generali Misura delle sanzioni amministrative pecuniarie Procedimento per l’applicazione delle sanzioni Sanzioni penali Trattamento illecito di dati Comunicazione e diffusione illecita di dati personali su larga scala Acquisizione fraudolenta di dati personali su larga scala Falsità nelle dichiarazioni al Garante e interruzione di procedimento Inosservanza di provvedimenti del Garante Violazioni dei controlli a distanza e delle indagini su opinioni dei lavoratori Sezione Settima - PRIVACY DELLO STUDIO PROFESSIONALE Figure privacy nello studio professionale Titolare del trattamento Responsabile del trattamento Autorizzati al trattamento Interessati Responsabile della protezione dei dati (DPO) Soggetto designato per specifici compiti e funzioni Amministratore di sistema Struttura dello studio professionale e organigramma privacy Dati trattati dallo studio professionale Trattamento dei dati delle persone giuridiche dotate di autonomia patrimoniale perfetta Trattamento dei dati delle persone fisiche Dati personali “comuni” Categorie particolari di dati personali Dati personali relativi a condanne penali e reati Adempimenti necessari Adempimenti verso il personale interno, i clienti e altri soggetti Adempimenti verso dipendenti/collaboratori ed altri soggetti “esterni” Adempimenti verso i clienti (persone fisiche) dello studio professionale Misure di sicurezza nello studio professionale Trattamento con strumenti elettronici Trattamento senza strumenti elettronici Registri delle attività di trattamento Fac simile in forma libera Modello semplificato PMI (Garante) Esempio progressivo: evoluzione dello studio professionale e adempimenti privacy Anno (n) Anno (n + 1) Anno (n + 2) Sezione Ottava - ALTRI ASPETTI DI INTERESSE Videosorveglianza Applicazione del GDPR nell’ambito della videosorveglianza Liceità dei sistemi di videosorveglianza Comunicazione di videoregistrazioni a terzi Trattamenti riguardanti categorie particolari di dati Diritti dell’interessato Obblighi di trasparenza e informazione Conservazione e obbligo di cancellazione delle immagini registrate Misure tecniche e organizzative Valutazione d’impatto sulla protezione dei dati FAQ Garante Condominio Soggetti interessati Tipologia di atti e documenti trattati Equilibrio tra gestione del condominio e privacy Adempimenti Videosorveglianza nel condominio Amministratore di condominio Assemblea di condominio Utilizzo della posta elettronica e della rete internet nel rapporto di lavoro Liceità del trattamento Adempimenti del datore di lavoro Controlli del datore di lavoro Raccolta e conservazione dei metadati della posta elettronica in uso ai dipendenti Regole deontologiche e meccanismi di certificazione Codici di condotta e regole deontologiche Meccanismi di certificazione Trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali Principi generali per il trasferimento Trasferimento sulla base di una decisione di adeguatezza Trasferimento soggetto a garanzie adeguate Norme vincolanti d’impresa Trasferimento o comunicazione non autorizzati dal diritto dell’unione Deroghe in specifiche situazioni Disposizioni transitorie e di coordinamento Dati sensibili e giudiziari Validità dei provvedimenti del Garante Rinvii a disposizioni del D.Lgs. n. 196/2003 abrogate Sezione Nona - FORMULARIO Informativa a clienti - Trattamento dati per esecuzione contratto Informativa a clienti - Trattamento dati per esecuzione contratto e finalità di marketing Informativa a clienti Studio professionale Informativa a dipendenti e collaboratori Nomina a responsabile del trattamento Atto di nomina a soggetto autorizzato e mansionario Atto di nomina a soggetto designato per specifici compiti e funzioni Atto di nomina ad amministratore di sistema Atto di designazione del DPO - Modello Garante Comunicazione, variazione e revoca dati di contatto del DPO - Modello Garante Esercizio dei diritti dell’interessato - Modello Garante Istanza di reclamo - Modello Garante Violazione dei dati personali - Modello Garante Registro dei trattamenti del titolare - Modello Garante per PMI Registro dei trattamenti del responsabile - Modello Garante per PMI Identificazione e registrazione dei soggetti a cui è permesso accedere agli archivi dopo orario di chiusura Regolamento per l’utilizzo degli strumenti informatici Sezione Decima - NORMATIVA Regolamento UE 2016/679 (con riferimenti ai Considerando) Decreto Legislativo 30 giugno 2003, n. 196 Decreto Legislativo 10 agosto 2018, n. 101