GDPR E CODICE PRIVACY - Le regole per studi e aziende

• Principali figure

• Informativa e consenso

• Comunicazioni data breach

• Tutela dell’interessato

• Adempimenti per gli studi professionali

• Modulistica per professionisti e aziende

Il testo analizza la disciplina della privacy, come definita dal Regolamento UE 2016/679 e dal D.Lgs. n. 101/2018, con il quale è stato rivisto ed aggiornato il D.Lgs. n. 196/2003, cd. “Codice della privacy”.

Attualmente, la protezione dei dati nel nostro Paese è disciplinata dalle seguenti disposizioni:

1. GDPR, ovvero il Regolamento UE 2016/679, in vigore dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea;
2. D.Lgs. n. 196/2003, così come modificato dal D.Lgs. n. 101/2018, per quanto riguarda gli aspetti demandati alla normativa nazionale.

Il testo analizza il contesto privacy che deriva dall’applicazione congiunta delle norme sopra elencate. In particolare, dopo un primo inquadramento generale della materia, sono analizzate le seguenti tematiche:

• figure (titolare, responsabile, designato per specifici compiti/funzioni, Data Protection Officer, etc.);
• adempimenti (informativa, consenso, registri delle attività di trattamento, analisi del rischio, etc.);
• diritti dell’interessato (accesso, rettifica, portabilità dei dati, diritto all’oblio);
• reclamo, ricorso e regime sanzionatorio.

Nell’ambito della trattazione è dedicato un ampio spazio agli aspetti privacy (figure, adempimenti, modulistica, etc.) di interesse per gli studi professionali di commercialisti e consulenti tributari; è, inoltre, presente un focus sulla disciplina privacy applicabile in materia di videosorveglianza e di condominio.

Completa l’analisi degli aspetti più teorici la sezione “Formulario”, nella quale sono proposti i fac simile dei principali documenti privacy.

STRUTTURA DEL LIBRO:

• Inquadramento normativo
• Legge 31 dicembre 1996 n. 675
• Decreto Legislativo n. 196/2003
• Regolamento UE 2016/679
• Legge 25 ottobre 2017, n. 163
• Decreto Legislativo n. 101/2018
• Impianto normativo privacy vigente
• Definizioni utili 

Sezione Prima - ASPETTI GENERALI

• Oggetto, finalità e ambito di applicazione della disciplina 
• Oggetto e finalità
• Ambito di applicazione del Regolamento
• Principi generali: accountability, privacy by design e by default 
• Principio di “accountability”
• Data protection by design and by default
• I dati nella privacy
• Dati personali
• Categorie particolari di dati 
• Dati relativi a condanne penali e reati
• Il trattamento dei dati nella privacy
• Definizione di “trattamento” (art. 4)
• Principi generali per il trattamento dei dati (art. 5)
• Liceità del trattamento dei dati personali (art. 6)
• Liceità del trattamento delle categorie particolari di dati (art. 9)
• Liceità del trattamento dei dati relativi a condanne penali e reati (art. 10)
• Trattamento che non richiede l’identificazione (art. 11)
• Notizie o immagini relative a minori
• Inutilizzabilità dei dati trattati in violazione della normativa

Sezione Seconda - FIGURE PRIVACY

• Premessa
• Titolare del trattamento
• Definizione
• Responsabilità
• Obblighi (misure tecniche ed organizzative)
• Contitolari del trattamento
• Responsabile del trattamento
• Competenze del responsabile
• Nomina del responsabile
• Compiti e funzioni del responsabile
• Responsabile della protezione dei dati (DPO)
• Soggetto designato per specifici compiti e funzioni
• Definizione
• Individuazione del soggetto designato
• Caratteristiche del soggetto designato
• Nomina e compiti del soggetto designato
• Soggetto autorizzato al trattamento
• Individuazione dei soggetti autorizzati
• Competenze
• Interessato
• Definizione
• Diritti dell’interessato
• Rappresentante del titolare o responsabile non stabilito nell’UE
• Definizione
• Ubicazione e compiti del rappresentante
• Designazione del rappresentante
• Altri soggetti definiti dal Regolamento
• Destinatario
• Soggetto terzo
• Impresa e gruppo imprenditoriale
• Autorità di controllo 
• Organizzazione internazionale
• Amministratore di sistema (ADS)
• Definizione di “amministratore di sistema”
• Adempimenti a carico del titolare
• ADS in outsourcing (ora responsabile del trattamento)
• Chiarimenti in merito agli adempimenti relativi alla figura dell’ADS

Sezione Terza - DATA PROTECTION OFFICER (DPO)

• Obbligo o facoltà di nomina del DPO
• Quando la nomina del DPO è obbligatoria
• Soggetti esclusi dalla nomina del DPO (nomina facoltativa)
• Requisiti e designazione del DPO
• Qualità professionali richieste al DPO
• Individuazione del DPO
• Posizione del DPO e rapporti con il titolare del trattamento
• Atto di designazione del DPO
• Pubblicazione e comunicazione al Garante dei dati di contatto del DPO
• Compiti del DPO
• Consulenza sugli obblighi privacy
• Controllo del rispetto del regolamento
• Parere sulla valutazione d’impatto sulla protezione dei dati (DPIA)
• Cooperazione con l’autorità di controllo e funzione di punto di contatto
• Analisi dei rischi del trattamento
• Tenuta registro delle attività di trattamento (opzionale)
• Comunicazione al Garante della nomina/revoca/variazione del DPO
• Compilazione della comunicazione
• Firma e caricamento della comunicazione
• Riscontro di avvenuta comunicazione
• Invio di comunicazioni successive
• Esempi di compilazione
• FAQ inerenti la figura del DPO
• FAQ del Garante della privacy (DPO in ambito privato)
• FAQ del Gruppo di lavoro art. 29
• Sezione Quarta - ADEMPIMENTI
• Premessa
• Informativa per gli interessati
• Modalità di redazione dell’informativa
• Tempi di consegna dell’informativa
• Esonero dal rilascio dell’informativa
• Contenuti dell’informativa
• Presa visione dell’informativa e consenso al trattamento
• Esempio di informativa privacy
• Consenso dell’interessato
• Quando il consenso non è necessario
• Modalità di acquisizione del consenso
• Revoca del consenso
• Registri delle attività di trattamento
• Definizione di registro delle attività di trattamento
• Soggetti obbligati alla tenuta del registro delle attività di trattamento
• Esonero dall’obbligo di tenuta del registro delle attività di trattamento
• Aggiornamento dei registri dei trattamenti
• Esibizione dei registri alle autorità di controllo
• Contenuti del registro del titolare del trattamento
• Contenuti del registro del responsabile del trattamento
• Misure di sicurezza
• La sicurezza dei dati nel GDPR
• Possibili misure di sicurezza
• Formazione dei soggetti autorizzati al trattamento dei dati
• Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
• Valutazione d’impatto sulla protezione dei dati
• Definizione di valutazione d’impatto
• Trattamenti soggetti alla valutazione d’impatto
• Elementi da considerare per effettuare una valutazione di impatto
• Software per la valutazione di impatto
• Consultazione preventiva
• Contenuti della richiesta di consultazione preventiva
• Parere dell’Autorità di controllo
• Data breach e comunicazione di violazione dei dati personali
• Notifica della violazione dei dati personali all’autorità di controllo
• Termini entro cui effettuare la notifica
• Contenuto e modalità di trasmissione della notifica
• Fac simile modello di notifica
• Comunicazione della violazione dei dati personali all’interessato
• Forma e contenuto della comunicazione
• Circostanze nelle quali non è richiesta la comunicazione
• Fac simile comunicazione all’interessato
• Diagramma di flusso per la gestione del “data breach”
• “Data breach”: esempi, note e raccomandazioni

Sezione Quinta - DIRITTI DELL’INTERESSATO

• Premessa
• Diritto di accesso
• Copia dei dati oggetto di trattamento
• Trasferimento dei dati ad un Paese terzo
• Diritto di rettifica
• Presupposti per la rettifica
• Obbligo di notifica
• Diritto alla cancellazione (c.d. “diritto all’oblio”)
• Presupposti per la cancellazione
• Obbligo di informazione degli altri titolari del trattamento
• Esclusioni
• Obbligo di notifica
• Diritto di limitazione di trattamento
• Presupposti per la limitazione del trattamento
• Modalità operative
• Diritto alla portabilità dei dati
• Componenti del diritto alla portabilità dei dati
• Applicazione del diritto alla portabilità dei dati
• Aspetti operativi
• Messa a disposizione dei dati portabili
• Diritto di opposizione
• Presupposti per l’opposizione
• Informazione all’interessato
• Esercizio del diritto di opposizione
• Diritto di non essere sottoposto a trattamenti automatizzati
• Presupposti per l’esercizio del diritto
• Esclusioni 
• Decisioni basate su “categorie particolari di dati”
• Esercizio dei diritti dell’interessato
• Gratuità dell’esercizio dei diritti dell’interessato
• Esercizio dei diritti per persone decedute
• Riscontro del titolare del trattamento alle richieste dell’interessato
• Verifica dell’identità del richiedente
• Forma del riscontro all’interessato
• Termini di risposta alla richiesta dell’interessato
• Limitazione degli obblighi e dei diritti
• Limitazioni del diritto nazionale

Sezione Sesta - TUTELA DELL’INTERESSATO E SANZIONI

• Reclamo, ricorso e segnalazione al Garante
• Reclamo al Garante della privacy
• Ricorso dinanzi all’autorità giudiziaria (alternativo al reclamo)
• Ricorso giurisdizionale effettivo
• Segnalazione al Garante della privacy
• Diritto al risarcimento del danno subito
• Sanzioni amministrative
• Principi generali
• Misura delle sanzioni amministrative pecuniarie
• Procedimento per l’applicazione delle sanzioni
• Sanzioni penali 
• Trattamento illecito di dati
• Comunicazione e diffusione illecita di dati personali su larga scala
• Acquisizione fraudolenta di dati personali su larga scala
• Falsità nelle dichiarazioni al Garante e interruzione di procedimento
• Inosservanza di provvedimenti del Garante
• Violazioni dei controlli a distanza e delle indagini su opinioni dei lavoratori

Sezione Settima - PRIVACY DELLO STUDIO PROFESSIONALE

• Figure privacy nello studio professionale
• Titolare del trattamento
• Responsabile del trattamento
• Autorizzati al trattamento
• Interessati
• Responsabile della protezione dei dati (DPO)
• Soggetto designato per specifici compiti e funzioni
• Amministratore di sistema
• Struttura dello studio professionale e organigramma privacy
• Dati trattati dallo studio professionale
• Trattamento dei dati delle persone giuridiche dotate di autonomia patrimoniale perfetta
• Trattamento dei dati delle persone fisiche
• Dati personali “comuni”
• Categorie particolari di dati personali
• Dati personali relativi a condanne penali e reati
• Adempimenti necessari
• Adempimenti verso il personale interno, i clienti e altri soggetti
• Adempimenti verso dipendenti/collaboratori ed altri soggetti “esterni”
• Adempimenti verso i clienti (persone fisiche) dello studio professionale
• Misure di sicurezza nello studio professionale
• Trattamento con strumenti elettronici
• Trattamento senza strumenti elettronici
• Registri delle attività di trattamento
• Fac simile in forma libera 
• Modello semplificato PMI (Garante)
• Esempio progressivo: evoluzione dello studio professionale e adempimenti privacy
• Anno (n)
• Anno (n + 1)
• Anno (n + 2)

Sezione Ottava - ALTRI ASPETTI DI INTERESSE

• Videosorveglianza
• Applicazione del GDPR nell’ambito della videosorveglianza
• Liceità dei sistemi di videosorveglianza
• Comunicazione di videoregistrazioni a terzi
• Trattamenti riguardanti categorie particolari di dati
• Diritti dell’interessato
• Obblighi di trasparenza e informazione
• Conservazione e obbligo di cancellazione delle immagini registrate
• Misure tecniche e organizzative
• Valutazione d’impatto sulla protezione dei dati
• FAQ Garante
• Condominio
• Soggetti interessati
• Tipologia di atti e documenti trattati
• Equilibrio tra gestione del condominio e privacy
• Adempimenti
• Videosorveglianza nel condominio
• Amministratore di condominio
• Assemblea di condominio
• Utilizzo della posta elettronica e della rete internet nel rapporto di lavoro
• Liceità del trattamento
• Adempimenti del datore di lavoro
• Controlli del datore di lavoro
• Raccolta e conservazione dei metadati della posta elettronica in uso ai dipendenti
• Regole deontologiche e meccanismi di certificazione
• Codici di condotta e regole deontologiche
• Meccanismi di certificazione
• Trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali
• Principi generali per il trasferimento
• Trasferimento sulla base di una decisione di adeguatezza
• Trasferimento soggetto a garanzie adeguate
• Norme vincolanti d’impresa
• Trasferimento o comunicazione non autorizzati dal diritto dell’unione
• Deroghe in specifiche situazioni
• Disposizioni transitorie e di coordinamento
• Dati sensibili e giudiziari 
• Validità dei provvedimenti del Garante
• Rinvii a disposizioni del D.Lgs. n. 196/2003 abrogate

Sezione Nona - FORMULARIO

• Informativa a clienti - Trattamento dati per esecuzione contratto
• Informativa a clienti - Trattamento dati per esecuzione contratto e finalità di marketing
• Informativa a clienti Studio professionale
• Informativa a dipendenti e collaboratori
• Nomina a responsabile del trattamento
• Atto di nomina a soggetto autorizzato e mansionario
• Atto di nomina a soggetto designato per specifici compiti e funzioni
• Atto di nomina ad amministratore di sistema
• Atto di designazione del DPO - Modello Garante
• Comunicazione, variazione e revoca dati di contatto del DPO - Modello Garante
• Esercizio dei diritti dell’interessato - Modello Garante
• Istanza di reclamo - Modello Garante
• Violazione dei dati personali - Modello Garante
• Registro dei trattamenti del titolare - Modello Garante per PMI
• Registro dei trattamenti del responsabile - Modello Garante per PMI
• Identificazione e registrazione dei soggetti a cui è permesso accedere agli archivi dopo orario di chiusura
• Regolamento per l’utilizzo degli strumenti informatici

Sezione Decima - NORMATIVA

• Regolamento UE 2016/679 (con riferimenti ai Considerando)
• Decreto Legislativo 30 giugno 2003, n. 196
• Decreto Legislativo 10 agosto 2018, n. 101