Linee Guida per il nuovo regolamento ” Privacy ” UE 2016/679 entrato in vigore il 25 maggio 2018


Linee Guida per il nuovo regolamento ” Privacy ” UE 2016/679 entrato in vigore il 25 maggio 2018

Una delle novità riguarda il Registro dei Trattamenti (art. 30) ma gli obblighi in materia non si applicano alle imprese od organizzazioni con meno di 250 dipendenti, quindi nessuna complicazione almeno per obbligo (poi il Garante consiglia l’adozione di tale registro in via “generale”).

Altra novità (punti 28-29 del considerando e art. 4 punto 5) riguarda la previsione, ai fini della protezione dei dati, di utilizzare la pseudonimizzazione, cosa che si ritiene irrealizzabile nell’ambito dello studio.
Le associazioni o organizzazioni rappresentanti categorie di titolari di trattamento possono elaborare dei Codici di condotta (punto 98 del considerando e art. 40) in modo da facilitare i propri aderenti ad assolvere gli obblighi, specie per le micro-piccole e medie imprese (sul fac simile di quanto previsto in materia di antiriciclaggio).

Una delle conferme (punto 14 del considerando e art. 1) e’ quella che la protezione prevista dal regolamento si applica alle persone fisiche, restando così esclusi dall’applicazione della norma i dati delle persone giuridiche e delle imprese dotate di personalità giuridica, osservando che nell’esecuzione di pratiche, ad esempio di una srl, vengono comunque trattati dati di persone fisiche (variazione di amministratori, variazioni di indirizzo di soci etc.), inoltre il regolamento non si applica ai dati delle persone decedute (punto 27 del considerando); per quanto riguarda il trattamento di dati dei minori l’articolo 8 fa riferimento ai minori di 16 anni (limite di età recepito in Italia), aggiungendo che gli Stati membri possono stabilire anche un’età inferiore ma non ai 13 anni.

Viene invece inserita la figura del Data Protection Officer (DPO), in pratica il “Consulente – Responsabile Privacy”, in possesso di appositi requisiti professionali sia in materia di privacy che di sicurezza informatica, la cui nomina è obbligatoria quando:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Si consiglia, come è consigliabile farlo per l’antiriciclaggio, di aprire una cartella nella quale inserire i files di documentazione relativi alle norme in materia di trattamento dei dati personali ed inizialmente si suggerisce di inserire in tale cartella Il testo del regolamento europeo e le guide del garante in materia.

MODULO TRATTAMENTO DATI PERSONALI