Il tempo è scaduto: è passato quasi un anno dall’entrata in vigore del Regolamento Generale sulla Protezione dei Dati dell’Unione Europea (Gdpr) e otto mesi dall’entrata in vigore del decreto che ha introdotto il cosiddetto “periodo di grazia”. Che dal 19 maggio è arrivato a scadenza. D’ora in poi, le verifiche da parte del Garante della Privacy, con la collaborazione del Nucleo Speciale Privacy della Guardia di Finanza, saranno meno “comprensive” e le sanzioni saranno puntuali.
IL GARANTE DELLA PRIVACY: LE VERIFICHE NEL 2018
Lo comunica l’Agi (Agenzia Giornalistica Italiana): «Nel 2018 le violazioni amministrative contestate dal Garante della privacy sono state 707 per lo più concernenti il trattamento illecito di dati, la mancata adozione di misure di sicurezza, il telemarketing senza consenso, le violazioni di banche dati, l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali. Le sanzioni amministrative riscosse ammontano a oltre 8 milioni 160 mila euro, circa il 115% in più rispetto all’anno precedente. Sempre nel 2018 il Garante ha adottato 517 provvedimenti collegiali e fornito riscontro a oltre 5.600 tra quesiti, reclami e segnalazioni».
LE VERICHE PROGRAMMATE NEL 2019
Il piano ispettivo del Garante, in questi primi mesi del 2019, si è concentrato sul settore sanità, sui trattamenti effettuati dall’Istat e altri sistemi informatici statistici, sugli istituti bancari (con particolare riferimento ai flussi di cui all’anagrafe dei conti), sull’attività di marketing di società pubbliche e private, sugli Enti pubblici (con riferimento a banche dati di notevoli dimensioni) e su società che usano carte di fidelizzazione di clienti.
LE SANZIONI
- Fino a 20 milioni di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione degli obblighi del titolare o del responsabile del trattamento dei dati su consenso dei minori, il registro delle attività di trattamento, le misure di scurezza, il data breach, la valutazione d’impatto, la certificazione della tutela dei dati e i codici di condotta.
- Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell’esercizio precedente. In caso di violazione delle regole sulla liceità del trattamento e il consenso, l’informativa, il diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati e di opposizione. Ne sono interessate anche le procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali, le norme relative al trattamento dei dati in materia di rapporti di lavoro e l’inosservanza di una prescrizione del Garante.
- Penali: riguardano il trattamento illecito dei dati; la comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante, l’inosservanza dei provvedimenti del Garante.
- Correttive: il Garante può rivolgere avvertimenti o ammonimenti al titolare, o al responsabile del trattamento dei dati, sul fatto che i trattamenti possono violare o hanno violato le norme. In questa tipologia sanzionatoria ci stanno anche le limitazioni al trattamento (provvisoria o definitiva); la rettifica, la cancellazione o l’aggiornamento dei dati personali; la revoca delle certificazioni; l’ordine di sospendere i flussi di dati verso un destinatario in un Paese terzo o un’organizzazione internazionale.
LA CHECK LIST CONTRO I PASSI FALSI
Per non farsi trovare impreparate, Confartigianato Varese consiglia alle imprese di effettuare un check up degli adempimenti:
- Registro dei trattamenti e analisi dei rischi: compilare e tenere aggiornati il registro dei trattamenti e il documento di valutazione dei rischi
- Valutazione impatto privacy: verificarne l’obbligo di compilazione e aggiornare il documento
- Data breach: minimizzare i rischi e gli effetti negativi della violazione dei dati, notificare la violazione al Garante e comunicarla ai diretti interessati
- Contitolarità: un accordo da sottoscrivere nel caso in cui ci siano joint venture e mappare l’esternalizzazione dei trattamenti. In caso di outsourcing, stendere contratti con i responsabili esterni
- Autorizzati al trattamento: mappatura delle nomine esistenti, verifiche e allineamento delle “vecchie” nomine ai nuovi standard legali, profilazione dei dipendenti come utenti del sistema informativo aziendale, formazione nei confronti dei collaboratori
- Informazioni agli interessati: le informative devono essere messe a disposizione; icone e infografiche possono essere abbinate ai testi
- Consenso degli interessati: le imprese devono verificare i consensi già raccolti e appurare se sono o no in linea con gli articoli citati ed eventualmente procedere ad una regolarizzazione
- Dpo (Data Protection Officer): le imprese devono verificare l’obbligo di nomina, e la scelta di un Dpo esterno o interno, cui si deve far seguire la stesura di un contratto o di un atto di incarico.
LE IMPRESE E LE DOMANDE PIU’ FREQUENTI
Ci sono almeno seiquesiti che, secondo l’esperienza dei consulenti Privacy di Confartigianato Varese, rivolgono di sovente gli imprenditori: sono obbligato ad adeguarmi al Gdpr? Al Regolamento europeo sono soggette anche le imprese individuali, con una sola scrivania o senza sede? Quanto mi costa adeguarmi e mantenere il Gdpr? Quali rischi corro se non mi adeguo e quali sono le sanzioni? Devo rinnovarlo ogni anno?
PERCHE’ ADEGUARSI?
Innanzitutto, per essere conformi ad una direttiva europea che prevede pesanti sanzioni. Inoltre, il regolamento europeo 2016/679 può essere lo strumento per rivedere il flusso delle informazioni dal momento in cui entrano fino a quando escono dall’azienda. Infine, in un mondo sempre più connesso con tecnologie sofisticate e strutturate, il livello di rischio aumenta ed è fondamentale comprendere che la salvaguardia dei dati è una priorità per le aziende. Sono molte le realtà che non hanno messo in campo alcun processo di aggiornamento per la sicurezza dei sistemi, delle infrastrutture e delle reti, e c’è ancora molta confusione sui ruoli e le attività da svolgere per trattare correttamente i dati.
IL SERVIZIO
Confartigianato Imprese Varese ha pensato ad un servizio modulabile che aiuta le imprese ad entrare in modo pratico nel Regolamento europeo attraverso:
- Check up gratuito: verifica il livello di rischio dell’azienda rispetto al nuovo Regolamento
- Consulenza: raccoglie le informazioni indispensabili alla predisposizione della documentazione necessaria ai sensi di legge. Inoltre, è previsto un documento di analisi dei rischi che facilita l’eliminazione delle non conformità con verifica dei risultati dopo un anno
- Formazione per titolari e dipendenti: dedicata, in particolare, alla compilazione della documentazione prevista dalla legge e alla corretta gestione dei dati
- Documento di videosorveglianza: per mappare e preparare la documentazione relativa agli impianti di videosorveglianza
- Check up informatico: permette l’analisi specifica dei sistemi informatici con l’obiettivo di individuare aree di criticità relative alla sicurezza delle informazioni.
Qui il link per fissare un appuntamento con i consulenti di Confartigianato Imprese Varese.