

GDPR e Codice Privacy 2019: le regole per studi e aziende
devicesE-book
description Cartaceo-
Informativa e consenso
-
Data Protection Officer
-
Comunicazioni data breach
-
Adempimenti per gli studi professionali
-
Valutazioni di impatto
-
Online i principali documenti privacy personalizzabili
L'E-Book, aggiornato ai nuovi chiarimenti del garante privacy, analizza la disciplina della privacy, come definita dal Regolamento UE 2016/679 e dal D.Lgs. n. 101/2018, con il quale è stato rivisto ed aggiornato il D.Lgs. n. 196/2003, cd. “Codice della privacy”.
Attualmente, la protezione dei dati nel nostro Paese risulta regolamentata dalle seguenti disposizioni:
- GDPR, ovvero il Regolamento UE 2016/679, in vigore dal 25 maggio 2018 in tutti gli Stati membri;
- D.Lgs. n. 196/2003, per quanto riguarda gli aspetti demandati alla normativa nazionale.
Il testo analizza il contesto privacy che deriva dall’applicazione congiunta delle norme sopra elencate. In particolare, dopo un primo inquadramento generale della materia, sono analizzate le seguenti tematiche:
- figure (titolare, responsabile, designato per specifici compiti/funzioni, Data Protection Officer, etc.);
- adempimenti (informativa, consenso, registri delle attività di trattamento, analisi del rischio, etc.);
- diritti dell’interessato (accesso, rettifica, portabilità dei dati, diritto all’oblio, etc.);
- reclamo, ricorso e regime sanzionatorio.
Nell’ambito della trattazione è dedicato un ampio spazio agli aspetti privacy (figure, adempimenti, modulistica, etc.) di interesse per gli studi professionali di commercialisti e consulenti tributari, tenendo conto delle ultime novità introdotte in materia di data breach, valutazioni d’impatto e procedimento di reclamo; completa inoltre l’analisi degli aspetti più teorici la sezione “Formulario” nella quale sono proposti i fac simili dei principali documenti privacy.
Struttura dell'E-Book:
Inquadramento normativo
- Legge 31 dicembre 1996 n. 675
- Decreto Legislativo n. 196/2003
- Regolamento UE 2016/679
- Legge 25 ottobre 2017, n. 163
- Decreto Legislativo n. 101/2018
- Impianto normativo privacy vigente
Definizioni utili
Sezione Prima - ASPETTI GENERALI
Oggetto, finalità e ambito di applicazione della disciplina
- Oggetto e finalità
- Ambito di applicazione del regolamento
Principi generali: accountability, privacy by design e by default
- Principio di “accountability”
- Data protection by design and by default
I dati nella privacy
- Dati personali
- Categorie particolari di dati
- Dati relativi a condanne penali e reati
Il trattamento dei dati nella privacy
- Definizione di “trattamento” (art. 4)
- Principi generali per il trattamento dei dati (art. 5)
- Liceità del trattamento dei dati personali (art. 6)
- liceità del trattamento delle categorie particolari di dati (art. 9)
- liceità del trattamento dei dati relativi a condanne penali e reati (art. 10)
- Trattamento che non richiede l’identificazione (art. 11)
- Notizie o immagini relative a minori
- inutilizzabilità dei dati trattati in violazione della normativa
Sezione Seconda - FIGURE PRIVACY
Premessa
Titolare del trattamento
- Definizione
- Responsabilità
- Obblighi (misure tecniche ed organizzative)
- Contitolari del trattamento
Responsabile del trattamento
- Competenze del responsabile
- nomina del responsabile
- Compiti e funzioni del responsabile
Responsabile della protezione dei dati (DPO)
Soggetto designato per specifici compiti e funzioni
- Definizione
- Individuazione del soggetto designato
- Caratteristiche del soggetto designato
- Nomina e compiti del soggetto designato
Soggetto autorizzato al trattamento
- Individuazione dei soggetti autorizzati
- Competenze
Interessato
- Definizione
- Diritti dell’interessato
Rappresentante del titolare o responsabile non stabilito nell’UE
- Definizione
- Ubicazione e compiti del rappresentante
- Designazione del rappresentante
Altri soggetti definiti dal Regolamento
- Destinatario
- Soggetto terzo
- Impresa e gruppo imprenditoriale
- Autorità di controllo
- Organizzazione internazionale
Sezione Terza - DATA PROTECTION OFFICER (DPO)
Obbligo o facoltà di nomina del DPO
- Quando la nomina del DPO è obbligatoria
- Soggetti esclusi dalla nomina del DPO (nomina facoltativa)
Requisiti e designazione del DPO
- Qualità professionali richieste al DPO
- individuazione del DPO
- Posizione del DPO e rapporti con il titolare del trattamento
- atto di designazione del DPO
- Pubblicazione e comunicazione al garante dei dati di contatto del DPO
Compiti del DPO
- Consulenza sugli obblighi privacy
- Controllo del rispetto del Regolamento
- Parere sulla valutazione d’impatto sulla protezione dei dati (DPIA)
- Cooperazione con l’autorità di controllo e funzione di punto di contatto
- Analisi dei rischi del trattamento
- Tenuta registro delle attività di trattamento (opzionale)
Comunicazione al garante della nomina/revoca/variazione del DPO
- Compilazione della comunicazione
- Firma e caricamento della comunicazione
- Riscontro di avvenuta comunicazione
- Invio di comunicazioni successive
- Esempi di compilazione
FAQ inerenti la figura del DPO
- FAQ del Garante della privacy (DPO in ambito privato)
- FAQ del Gruppo di Lavoro art. 29
Sezione Quarta - ADEMPIMENTI
Premessa
Informativa per gli interessati
- Modalità di redazione dell’informativa
- Tempi di consegna dell’informativa
- Esonero dal rilascio dell’informativa
- contenuti dell’informativa
- Presa visione dell’informativa e consenso al trattamento
- Esempio di informativa privacy
Consenso dell’interessato
- quando il consenso non è necessario
- Modalità di acquisizione del consenso
- Revoca del consenso
Registri delle attività di trattamento
- Definizione di registro delle attività di trattamento
- Soggetti obbligati alla tenuta del registro delle attività di trattamento
- Esonero dall’obbligo di tenuta del registro delle attività di trattamento
- aggiornamento dei registri dei trattamenti
- Esibizione dei registri alle autorità di controllo
- Contenuti del registro del titolare del trattamento
- Contenuti del registro del responsabile del trattamento
Misure di sicurezza
- La sicurezza dei dati nel GDPR
- possibili misure di sicurezza
Formazione dei soggetti autorizzati al trattamento dei dati
Valutazione d’impatto sulla protezione dei dati e consultazione preventiva
- Valutazione d’impatto sulla protezione dei dati
- Definizione di valutazione d’impatto
- Trattamenti soggetti alla valutazione d’impatto
- elementi da considerare per effettuare una valutazione di impatto
- Software per la valutazione di impatto
- Consultazione preventiva
- Contenuti della richiesta di consultazione preventiva
- Parere dell’Autorità di controllo
Data breach e comunicazione di violazione dei dati personali
- Notifica della violazione dei dati personali all’autorità di controllo
- Comunicazione della violazione dei dati personali all’interessato
- Analisi del “data breach” (documento WP 250 del Gruppo di Lavoro art. 29)
Sezione Quinta - DIRITTI DELL’INTERESSATO
Premessa
Diritto di accesso
- Copia dei dati oggetto di trattamento
- Trasferimento dei dati ad un Paese terzo
Diritto di rettifica
- Presupposti per la rettifica
- Obbligo di notifica
Diritto alla cancellazione (cd. “diritto all’oblio”)
- Presupposti per la cancellazione
- Obbligo di informazione degli altri titolari del trattamento
- Esclusioni
- Obbligo di notifica
Diritto di limitazione di trattamento
- Presupposti per la limitazione del trattamento
- Modalità operative
Diritto alla portabilità dei dati
- Componenti del diritto alla portabilità dei dati
- Applicazione del diritto alla portabilità dei dati
- Aspetti operativi
- Messa a disposizione dei dati portabili
Diritto di opposizione
- presupposti per l’opposizione
- Informazione all’interessato
- Esercizio del diritto di opposizione
Diritto di non essere sottoposto a trattamenti automatizzati
- Presupposti per l’esercizio del diritto
- Esclusioni
- Decisioni basate su “categorie particolari di dati”
Esercizio dei diritti dell’interessato
- gratuità dell’esercizio dei diritti dell’interessato
- esercizio dei diritti per persone decedute
Riscontro del titolare del trattamento alle richieste dell’interessato
- verifica dell’identità del richiedente
- forma del riscontro all’interessato
- termini di risposta alla richiesta dell’interessato
Limitazione degli obblighi e dei diritti
- limitazioni del diritto nazionale
Sezione Sesta - TUTELA DELL’INTERESSATO E SANZIONI
Reclamo, ricorso e segnalazione al Garante
- Reclamo al Garante della privacy
- Ricorso dinanzi all’autorità giudiziaria (alternativo al reclamo)
- ricorso giurisdizionale effettivo
- segnalazione al Garante della privacy
- Diritto al risarcimento del danno subìto
Sanzioni amministrative
- Principi generali
- Misura delle sanzioni amministrative pecuniarie
- Procedimento per l’applicazione delle sanzioni
- Applicabilità delle sanzioni amministrative alle “vecchie” violazioni
Sanzioni penali
- Trattamento illecito di dati
- Comunicazione e diffusione illecita di dati personali su larga scala
- Acquisizione fraudolenta di dati personali su larga scala
- Falsità nelle dichiarazioni al Garante e interruzione di procedimento
- Inosservanza di provvedimenti del Garante
- Violazioni dei controlli a distanza e delle indagini su opinioni dei lavoratori
Sezione Settima - PRIVACY PER SPECIFICHE TEMATICHE (INDICAZIONI DEL GARANTE)
Premessa
Amministratore di sistema (ADS)
- Definizione di “Amministratore di sistema”
- Adempimenti a carico del titolare
- ADS in outsourcing (ora responsabile del trattamento)
- Chiarimenti in merito agli adempimenti relativi alla figura dell’ADS
Videosorveglianza
- Adempimenti
- Conservazione delle immagini
- Diritti degli interessati
- Settori particolari
- Trattamento eseguito da soggetti privati o enti pubblici economici
- Videosorveglianza e linee guida EDPB - La nuova informativa breve
- Videosorveglianza e linee guida EDPB - Esempi di applicazione
Condominio
- Profilo della categoria
- Tipologia di atti e documenti trattati
- adempimenti
- ulteriori adempimenti
- disposizioni privacy specifiche per il condominio
Utilizzo della posta elettronica e Internet nel rapporto di lavoro
- Aspetti generali
- Misure organizzative
- controlli del datore di lavoro
- Conservazione e cancellazione dei dati
- Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro
- Normativa privacy: Provvedimento del Garante 4 ottobre 2011
- aspetti generali
- Principi di necessità, di pertinenza e non eccedenza
- Informativa per i dipendenti che utilizzano veicoli geolocalizzati e vetrofanie
- Responsabili e incaricati del trattamento dei dati di localizzazione
- Localizzazione dei veicoli e controllo a distanza dei lavoratori: Legge n. 300/1970
- Apparecchiature GPS: chiarimenti dell’Ispettorato Nazionale del Lavoro
- Modulo istanza di autorizzazione all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare
Sezione Ottava - PRIVACY NELLO STUDIO PROFESSIONALE
Figure privacy nello studio professionale
- Titolare del trattamento
- Responsabile del trattamento
- Autorizzati al trattamento
- Interessati
- Responsabile della protezione dei dati (DPO)
- Soggetto designato per specifici compiti e funzioni
- Amministratore di sistema
- Struttura dello studio professionale e organigramma privacy
Dati trattati dallo studio professionale
- Trattamento dei dati delle persone giuridiche dotate di autonomia patrimoniale perfetta
- Trattamento dei dati delle persone fisiche
- Dati personali “comuni”
- Categorie particolari di dati personali
- Dati personali relativi a condanne penali e reati
Adempimenti verso il personale interno, i clienti e altri soggetti
- Adempimenti verso dipendenti/collaboratori ed altri soggetti “esterni”
- Personale interno allo studio professionale (dipendenti/collaboratori)
- Società e consulenti esterni allo studio professionale
- Adempimenti verso i clienti (persone fisiche) dello studio professionale
Documenti per la nomina, revoca o variazione del DPO
- Atto di designazione del DPO
- Comunicazione al garante dei dati di contatto del DPO
Possibili misure di sicurezza nello studio professionale
- Trattamento con strumenti elettronici
- Trattamento senza strumenti elettronici
PIA - Privacy Impact Assessment
- Contesto
- Principi fondamentali
- Rischi
- Convalida
- Stampa della PIA
Registri delle attività di trattamento
- Fac simile in forma libera
- Modello semplificato PMI (Garante)
Esempio progressivo: evoluzione dello studio professionale e adempimenti privacy
- Anno (n)
- Anno (n + 1)
- Anno (n + 2)
Sezione Nona - ALTRI ASPETTI DI INTERESSE
Categorie particolari di dati: le prescrizioni del Garante
- Revisione delle autorizzazioni generali
- Autorizzazioni generali incompatibili con il regolamento
- Efficacia delle autorizzazioni
- Autorizzazioni generali relative a trattamenti diversi
- Violazioni delle prescrizioni contenute nelle autorizzazioni generali
Regole deontologiche e meccanismi di certificazione
- Codici di condotta e regole deontologiche
- Meccanismi di certificazione
Trasferimenti di dati verso Paesi terzi o organizzazioni internazionali
- Principi generali per il trasferimento
- Trasferimento sulla base di una decisione di adeguatezza
- Trasferimento soggetto a garanzie adeguate
- Norme vincolanti d’impresa
- Trasferimento o comunicazione non autorizzati dal diritto dell’Unione
- Deroghe in specifiche situazioni
Disposizioni transitorie e di coordinamento
- Dati sensibili e giudiziari
- Validità dei provvedimenti del Garante
- Rinvii a disposizioni del D.Lgs. n. 196/2003 abrogate
- Trattamento di dati genetici, biometrici o relativi alla salute
Sezione Decima - FORMULARIO
- Informativa a clienti - Trattamento dati per esecuzione contratto
- Informativa a clienti - Trattamento dati per esecuzione contratto e finalità di marketing
- Informativa a dipendenti e collaboratori
- Atto di nomina a soggetto autorizzato e mansionario
- Atto di nomina a soggetto designato per specifici compiti e funzioni
- Nomina a responsabile del trattamento
- Atto di designazione del DPO - Modello Garante
- Registro dei trattamenti del titolare - Modello Garante per PMI
- Registro dei trattamenti del responsabile - Modello Garante per PMI
- Esercizio dei diritti dell’interessato - Modello Garante
- Istanza di reclamo - Modello Garante
- Violazione dei dati personali - Modello Garante