La tutela dei dati personali (identificativi, sensibili, giudiziari, biometrici, genetici) trova attualmente regolamentazione nel D.Lgs. 196/2003, che ha introdotto il “Codice in materia dei dati personali” (o Codice Privacy), nonché nel nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016 e che si applicherà a decorrere dal 25 maggio 2018, data entro la quale dovrà essere garantito il perfetto allineamento fra le normative nazionali in materia di protezione dei dati e le disposizioni contenute nella nuova normativa europea.
Tale evoluzione normativa in materia di tutela dei dati, oltre a fornire un quadro legislativo uniforme per tutti i Paesi dell’Unione Europea, fa fronte alle nuove esigenze di tutela dei dati connesse con l’evoluzione tecnologica, dove l’uso dei dati personali si svolge in modo tendenzialmente indiscriminato e talvolta inconsapevole. Non a caso, infatti, la finalità che tanto il D.lgs. 196/2003 quanto il Regolamento UE 2016/679 si propongono è quella di garantire i diritti e le libertà fondamentali delle persone fisiche, ed in particolare il diritto alla protezione dei dati personali.
Destinatari delle previsioni contenute nel D.lgs. 196/2003 e nel Regolamento UE 2016/679 sono tutti quei soggetti che “trattano” (in maniera automatizzata o meno) dati personali di soggetti residenti nell’Unione Europea. Pertanto, tutte le aziende, le pubbliche amministrazioni (comuni, ospedali, scuole, ecc.), gli enti e le associazioni, le cooperative, le imprese individuali, i liberi professionisti che trattano dati personali di clienti, dipendenti, fornitori, cittadini, utenti, pazienti, colleghi, soci, associati, ecc.
Le imprese e le istituzioni pubbliche sono, pertanto, tenute ad adottare ed attuare politiche interne e misure di sicurezza adeguate per garantire che il trattamento dei dati personali effettuato sia conforme – sin dalla fase preliminare di acquisizione del dato – a tutte le disposizioni del Regolamento e del Decreto legislativo.
E’ previsto, inoltre, l’obbligo di effettuare, sin dal momento della progettazione del processo aziendale e degli applicativi informatici di supporto, delle valutazioni di impatto nei casi in cui il trattamento dei dati, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati ed in particolare quando riguardi: la geolocalizzazione, lo stato di salute, la vita sessuale, l’origine etnica; o ancora, per trattamenti di dati in archivi su larga scala riguardanti minori, dati genetici o dati biometrici.
È dunque necessario elaborare un sistema documentale di gestione della privacy contenente tutte le azioni e le misure adottate per soddisfare i requisiti di conformità al Regolamento.
In tal senso, di fondamentale importanza è l’obbligo di resa dell’informativa privacy e della acquisizione dei consensi al trattamento che – essendo esclusa ogni forma di consenso tacito – dovrà essere scritto, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un’apposita casella in un sito web).
Infine, il Regolamento UE ha introdotto la figura del Responsabile della protezione dei dati (Data Protection Officer DPO), incaricato di assicurare una gestione corretta dei dati personali e l’osservanza interna del Regolamento qualora il trattamento sia effettuato da un’autorità pubblica, o qualora, nel settore privato, il trattamento comporti un monitoraggio regolare e sistematico dei soggetti dei dati.
Di importanza non secondaria, è l’impianto sanzionatorio. Il Regolamento prevede, infatti, che l’Autorità di Controllo possa arrivare ad irrogare sanzioni amministrative pecuniarie fino a 2 milioni di Euro o fino al 4% del volume d’affari globale registrato nell’anno precedente (se superiore).
Il servizio offerto ha come obiettivo principale quello di fornire gli strumenti conoscitivi ed organizzativi affinché la Società possa ridurre al minimo il rischio di dispersione o di violazione dei dati.
L’attività di supporto ha avvio con le fasi di risk assessment e si completa con la stesura delle procedure e la formazione del personale.
La predisposizione della documentazione relativa alla gestione della privacy, in linea generale, comprende la stesura o revisione dei seguenti documenti: Manuale Privacy comprensivo di informative e nomine. Nota: si sottolinea che tutta la documentazione viene predisposta nell’ottica di integrazione con i sistemi di gestione già operativi in azienda e di implementazione (o integrazione) con il modello organizzativo di cui al D.Lgs. 231 del 2001.
Una volta portato a compimento il Manuale Privacy e la documentazione correlata, il servizio si conclude con la Formazione del personale, requisito fondamentale ai fini del completo adeguamento dell’azienda alla legge.
E’ inoltre anche prestata assistenza finalizzata:
- all’ottenimento dell’autorizzazione alla videosorveglianza e successiva assistenza nella fase post-installazione (aggiornamento del Manuale e delle procedure, informative ai dipendenti),
- per la redazione della Privacy Policy del sito aziendale nonché per la gestione delle informazioni sensibili raccolte tramite il sito aziendale ed i social network.
Il servizio è eseguito da avvocati con specifica esperienza nella gestione della conformità legislativa ai requisiti della privacy