Chiedici un preventivo
Contattaci
800974469
Chatta con noi
Pubblicato il 18/03/2025
La domanda che si fanno molti imprenditori é quali siano gli adempimenti obbligatori quando si applica la normativa sul trattamento dei dati personali. Come è compliant un’organizzazione quando si tratta di privacy?
La risposta non é univoca ma dipende da diversi fattori, tuttavia ci sono una serie di elementi che sono comuni a tutte le imprese indipendentemente dalla loro dimensione o natura.
Altri elementi sono invece obbligatori per alcune tipologie di imprese, e facoltative - anche se spesso consigliabili - per altre aziende.
Quanto di seguito indicato sono alcuni aspetti principali della normativa, ma ricordiamo che ce ne possono essere tanti altri, altrettanto importanti, che non vengono presi in considerazione in questa sede.
Proviamo a fare chiarezza su questi aspetti. Non ci sono delle risposte immediate in quanto dipende sia dall’organizzazione aziendale che dal tipo di trattamento dei dati personali che viene effettuato.
Questa materia viene disciplinata principalmente dal Regolamento Europeo 2016/679 - il famoso “GDPR” acronimo di General Data Protection Regulation - oltre che da ulteriori normative nazionali, come ad esempio per le parti che sono ancora applicabili il D. Lgs 196/2003, meglio conosciuto come “Codice Privacy” e che é stato parzialmente abrogato
con l’avvenire del GDPR.
Un principio fondamentale della materia é l’accountability (art. 5 par. 2 GDPR): il soggetto destinatario dell’obbligo deve rispettare le norme sulla protezione dei dati personali, oltre che essere in grado di dimostrare tale conformità in modo proattivo.
In altre parole, l'accountability richiede che il titolare adotti misure tecniche e organizzative efficaci per garantire la sicurezza dei dati, documenti le scelte e le azioni adottate per tutelare i dati personali e dimostri, in caso di controlli, che i dati sono trattati in conformità con il GDPR.
Un elemento utile per dimostrare la conformità dell’organizzazione può essere la creazione di policy che disciplinino il trattamento dei dati.
Ma facciamo un passo indietro.
A chi si applica questa normativa? La risposta é semplice: a tutti quei soggetti che effettuano dei trattamenti sui dati personali. Vediamo chi sono i soggetti principali in questo scenario:
● il titolare del trattamento (art. 4 punto 7 Gdpr) é quel soggetto, tanto azienda quanto persona fisica, o anche autoritá pubblica, che decide perché e come trattare i dati personali. É pertanto chi ha il potere decisionale sul trattamento dei dati personali e ne assume la responsabilità legale.
In particolar modo si occupa di:
❖ stabilire le finalità del trattamento, ad esempio se viene svolta attività di marketing, gestione del personale, etc.;
❖ definire i mezzi del trattamento, ovvero quali strumenti, metodi e procedure utilizzare;
❖ garantire la conformità alle normative vigenti, come il GDPR;
❖ redigere e aggiornare la documentazione richiesta, tra cui il registro dei trattamenti e le informative privacy;
❖ gestire i diritti degli interessati, come il diritto all’accesso, alla rettifica, alla cancellazione e alla portabilità dei dati;
❖ adottare misure di sicurezza adeguate per proteggere i dati personali.
Pertanto un’azienda quando svolge la propria attività - ad esempio nei confronti dei propri dipendenti, o nella propria pagina web - ha sicuramente dei profili per cui risulta titolare del trattamento, e pertanto sará obbligata al rispetto degli obblighi in materia.
● il responsabile del trattamento, é quel soggetto che svolge il trattamento per conto del titolare, e pertanto sará stato istruito da quest’ultimo su come utilizzare i dati e per quali finalitá.
È tenuto a garantire misure di sicurezza tecniche e organizzative adeguate, deve supportare il titolare nel garantire il rispetto dei diritti degli interessati e può essere soggetto a controlli e verifiche da parte del titolare.
Ad esempio lo studio di un commercialista che elabora le buste paga per i dipendenti di una società agisce come responsabile del trattamento, e pertanto il titolare dovrá provvedere ad una sua nomina.
● l’incaricato o autorizzato al trattamento é la persona fisica che, all’interno dell’organizzazione del titolare o del responsabile, tratta i dati personali seguendo le istruzioni ricevute. Ad esempio i dipendenti del titolare del trattamento vengono nominati incaricati e pertanto ricevono istruzioni su come trattare i dati.
● l’interessato è il soggetto i cui dati personali sono oggetto del trattamento. Per fare un esempio pratico puó essere un cliente o un utente del sito web. Il GDPR gli attribuisce una serie di diritti, come il diritto di accesso, rettifica, cancellazione (diritto all'oblio), limitazione del trattamento e portabilità dei dati.
● il DPO - acronimo di Data Protection Officer - è una figura professionale e svolge un ruolo di consulenza, controllo e supporto all’interno dell’organizzazione. Puó essere tanto una risorsa interna all’azienda quanto un esterno.
Ai sensi dell’art. 37 Gdpr è obbligatorio nominarlo in certi casi specifici: autorità o enti pubblici, organizzazioni che prevedono trattamenti su larga scala, organizzazioni che prevedono particolari categorie di dati personali.
Tuttavia i casi di nomina non si limitano ai casi sopra esposti poiché è sempre possibile per una società nominare il proprio DPO su base volontaria anche quando non ricorrono le casistiche sopra specificate, proprio in virtù della materia trattata.
Il DPO deve possedere conoscenze specialistiche in materia di protezione dei dati personali e normativa privacy ed è una figura indipendente in quanto non può ricevere istruzioni su come svolgere i suoi compiti oltre che non essere rimosso o
penalizzato per l’esecuzione delle sue funzioni.
É una figura fondamentale per assicurare che le organizzazioni gestiscano i dati personali nel rispetto della normativa, fungendo da punto di riferimento per tutte le questioni legate alla privacy.
● l’Autoritá Garante della Privacy è l'autorità amministrativa indipendente italiana incaricata di controllare che i dati personali siano trattati nel rispetto della normativa, oltre che di tutelare i diritti e le libertà fondamentali delle persone fisiche riguardo al trattamento dei loro dati personali.
Verifica che i soggetti obbligati rispettino le norme sulla privacy, puó prevedere controlli ed ispezioni, detiene il potere di imporre sanzioni - spesso anche molto salate - e riceve le segnalazioni su possibili illeciti.
Non si limitano certamente qui le funzioni del Garante, potendo ad esempio fornire delle linee guida, effettuare attività di sensibilizzazione ai cittadini, fornire pareri ed autorizzare certi tipi di trattamenti.
I principali documenti che debbono essere redatti per ogni impresa e che sono obbligatori sono:
● registro dei trattamenti (art. 30 Gdpr): debbono essere mappate tutte le attivitá di trattamento dei dati e vengono descritti i tipi di dati trattati, le finalità del trattamento, i destinatari dei dati e altre informazioni rilevanti. Questo obbligo é in capo tanto al titolare del trattamento quanto al responsabile; inoltre é applicabile al 99% delle aziende perché deve essere redatto quando il trattamento dei dati non é occasionale;
● informativa privacy (artt. 12, 13 e 14 Gdpr): devo far sapere ai miei interlocutori, indipendentemente dal loro ruolo, perché tratto i loro dati personali e cosa ci faccio con i loro dati. Avró pertanto un’informativa specifica per i candidati che si presentano ai colloqui, un’altra per i dipendenti, una diversa per i clienti, una per il sito web e via dicendo.
● nomina a responsabile del trattamento (art. 28 Gdpr): quando il trattamento dei dati viene svolto da un soggetto esterno, che svolge dunque il ruolo di “fornitore” lato (ad esempio il commercialista che elabora le buste paga), il titolare fornisce le istruzioni per il trattamento dei dati affidato al responsabile.
Altri obblighi debbono essere rispettati dalle aziende quando si verificano certe situazioni:
● la Data Protection Impact Assessment (c.d. DPIA), é un documento che redige il titolare del trattamento con cui valuta come vengono trattati i dati quando vi sono dei rischi per i diritti e le libertá degli interessati. Puó essere coadiuvato dal DPO nella sua compilazione, e quest’ultimo fornisce il proprio parere in merito.
● rispondere alle richieste degli interessati, quando vengono esercitati i propri diritti. Ad esempio un utente di una pagina web potrá richiedere alla stessa informazioni su quando si é iscritto e quali siano i dati personali in possesso del titolare, oppure richiedere di essere cancellato.
● gestione di eventuali data breach, ovvero di violazioni dei dati personali. Si tratta di un incidente di sicurezza che comporta, accidentalmente o illecitamente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali trattati da un'organizzazione.
Questa notifica deve essere effettuata al Garante, oltre che si deve comunicare a chi ha subito la violazione i possibili rischi e le misure da adottare.
Possiamo dunque vedere come questa materia sia trasversale, in quanto concerne praticamente tutte le organizzazioni, tanto pubbliche quanto private.
È fondamentale che tutti quanti i soggetti della filiera siano coscienziati su come vengono trattati i dati personali, sia all’interno che all’esterno dell’azienda.
A seconda del settore e dei trattamenti che vengono effettuati, possiamo prevedere delle soluzioni specifiche basate sulle particolaritá del caso concreto.
