A quasi un anno dal debutto del regolamento europeo – il cosiddetto Gdpr, diventato operativo il 25 maggio 2018 – il tema della privacy torna a imporsi nella vita degli studi professionali. Nei giorni scorsi è, infatti, scaduto il periodo di tolleranza concesso dal legislatore per consentire un approccio soft alle nuove regole sulla riservatezza e per molti può essere necessario effettuare un check up degli adempimenti per non farsi trovare impreparati.
Il «grace period»
A prevedere un periodo di grazia non è stato direttamente il Gdpr, ma il decreto legislativo 101/2018, che ha adeguato la vecchia normativa nazionale sulla privacy al nuovo sistema europeo. Il comma 13 dell’articolo 22 del Dlgs prevedeva che per otto mesi a partire dal 19 settembre scorso – data di entrata in vigore del decreto – il Garante della privacy tenesse conto, nell’applicazione delle sanzioni amministrative, della novità delle regole sulla tutela dei dati in chiave Ue. Un “occhio di riguardo” che doveva, naturalmente, essere compatibile con l’impianto del Gdpr.
PUBBLICITA’
| PROGETTO ALBATROS SAFETYwww.progettoalbatros.net – Software per la valutazione dei rischi per la sicurezza sui luoghi di lavoro, nei cantieri e per la formazione dei lavoratori semplice e completo |
Bilanciamento a cui l’Autorità guidata da Antonello Soro ha posto attenzione, preparandosi, allo stesso tempo, a partire con le verifiche una volta scaduta la moratoria. Come il Garante ha ribadito, ora prenderà il via un programma di ispezioni – messo a punto nei mesi scorsi – che si concentrerà soprattutto sui grandi gestori di dati personali (si veda Il Sole 24 Ore del Lunedì del 6 maggio).
La check list
«Chiariamo subito – afferma Francesco De Biasi, counsel di Cleary Gottlieb – che lo studio professionale dovrebbe essere in linea con il Gdpr dal 25 maggio scorso. Il periodo di grazia, infatti, non ha sospeso l’adeguamento alle nuove regole sulla privacy». Allo stesso tempo, però, la moratoria di otto mesi può aver indotto più di un professionista (o anche gli imprenditori e la stessa Pa) a prender tempo.
Quali, dunque, i controlli da fare per sapere se lo studio è ora allineato con i nuovi obblighi sulla tutela dei dati? Si tratta di dar corso a ciò che gli addetti ai lavori definiscono privacy impact assesment. «Partirei dal tema della cybersecurity – spiega Massimiliano Masnada, partner di Hogan Lovells -, ovvero una verifica delle misure di protezione delle informazioni: la tenuta dei database, dei firewall, degli accessi a internet, della posta elettronica. Solo per fare alcuni esempi. In buona sostanza, un check di tutti i sistemi che possono essere vulnerabili e, se aggrediti, comportare una perdita di dati; il cosiddetto data breach, che, se rilevante, va sempre notificato al Garante».
«Passerei – aggiunge De Biasi – al controllo dei tempi di conservazione dei dati. In questo ambito occorre un cambio culturale: spesso negli studi, ma non solo, si tende a conservare le informazioni personali per sempre. Non è così. Ci sono tempi di custodia fissati dal legislatore e vanno rispettati».
Un altro aspetto da verificare è la tenuta del registro dei trattamenti: «Tranne i casi di trattamento dei dati minimi e occasionali, è un obbligo – ricorda De Biasi – che riguarda tutti, professionisti compresi». È uno strumento che, se ben predisposto, consente di avere traccia della vita del dato dal momento in cui entra nello studio.
Ci sono poi gli adempimenti legati all’informativa, alla raccolta del consenso, alla nomina delle varie figure della privacy. «Ci si deve accertare – commenta Masnada – se gli incarichi, a partire da quello di titolare e responsabile del trattamento, sono stati ripartiti. E, come spesso capita, verificare se anche i consulenti esterni, per esempio quelli informatici, sono stati “inquadrati” e se è stato disciplinato l’accesso da parte loro ai dati dello studio».
Controlli che evitano le pesanti sanzioni amministrative previste dal Gdpr , che possono arrivare al 4% del fatturato (si veda la tabella). «Senza dimenticare – afferma Masnada – il danno reputazionale. I provvedimenti del Garante sono, infatti, pubblici».
Fino a 10 milioni di euro o al 2% del fatturato
Sanzione fino a 10 milioni di euro o, per le imprese e se l’importo è superiore, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Obblighi del titolare o del responsabile del trattamento su consenso dei minori, identificazione dell’interessato, registro delle attività di trattamento, misure di sicurezza, data breach, valutazione d’impatto, certificazione della tutela dei dati
• Obblighi dell’organismo di certificazione sulle procedure di certificazione della tutela dei dati
• Codici di condotta
Fino a 20 milioni di euro o al 4% del fatturato
Sanzione fino a 20 milioni di euro o, per le imprese e se l’importo è superiore, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente per le seguenti violazioni:
• Regole sulla liceità del trattamento e il consenso
• Informativa, diritto di accesso, di rettifica, di cancellazione, di portabilità dei dati, di opposizione
• Procedure di trasferimento dei dati verso Paesi terzi o organizzazioni internazionali
• Norme relative al trattamento dei dati in materia di giornalismo e rapporti di lavoro
• Inosservanza di una prescrizione del Garante
