Passa ai contenuti principali

Privacy: professionisti e piccole imprese individuali


- Privacy: obbligo DPO in azienda
- Professionista senza obbligo di nomina di un RPD e di valutazione d’impatto



Privacy: obbligo DPO in azienda
La nuova figura del Data Protection Officer (DPO): ruolo, responsabilità ed obblighi per le aziende connessi alla nomina del Responsabile del Trattamento Dati.

Con il nuovo regolamento UE n. 2016/679 sulla protezione dei dati nell’Unione Europea, che dal 25 maggio 2018 potrà essere applicabile in tutti gli Stati Membri, è stato introdotta la figura del responsabile per la protezione dei dati, o Data Protection Officer (DPO). Il gruppo di lavoro europeo dei Garanti Privacy ha approvato le linee guida del regolamento e la disciplina applicabile al DPO, chiarendone obblighi di nomina, caratteristiche, requisiti, ruolo e responsabilità.

La figura del DPO
Il suo scopo è osservare, valutare e organizzare la gestione del trattamento di dati personali, nonché vigilare sulla loro protezione vigilare e sulla corretta applicazione del regolamento UE sulla privacy, ma anche delle norme nazionali sulla privacy, all’interno dell’azienda (pubblica o privata). Il DPO:

-          può essere contattato dal Garante Privacy e dai cittadini in merito al trattamento dei dati personali;
-          deve godere di indipendenza e inamovibilità nello svolgimento delle proprie attività di indirizzo e controllo;
-          ha conoscenza della normativa nazionale ed europea e della legislazione in materia di protezione dati;
-          in caso di trattamenti non conformi al regolamento europeo, non è personalmente responsabile, diversamente dal titolare e dal responsabile del trattamento (questi ultimi potranno però rifarsi sul DPO per inadempimento del contratto di servizio e chiedere i danni in caso di cattiva consulenza);
-          la sua funzione può essere svolta anche da un consulente od organizzazione esterni sulla base di un contratto di servizi.

Nomina DPO
La nomina del DPO è obbligatoria per gli enti pubblici e i soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Tra gli esempi forniti dalle linee guida, saranno obbligati a nominare un DPO i Ministeri, le Università, i Comuni, le Regioni, gli ospedali, i sistemi di trasporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca che trattano dati a scopi pubblicitari.

Diversamente, non sono obbligati a nominare il responsabile per la protezione dei dati, a titolo di esempio: gli avvocati, il singolo studio medico, le public companies nel settore dei servizi pubblici (energia, ambiente ecc.).

Ulteriori precisazioni arriveranno a breve da parte del Garante italiano per la Privacy, che renderà noto un documento utile a comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento europeo, ad esempio quantificando e rendendo più chiaro il concetto di “larga scala”.

Trattamento dati
Di grande rilevanza è anche la nuova definizione di consenso che viene identificato in qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Questi cambiamenti nelle definizioni andranno a influenzare tanti aspetti del business (da quelli commerciali a quelli più strettamente connessi ai rapporti datore-dipendenti). A titolo di esempio si potrebbe ipotizzare che un semplice flag potrebbe non essere più sufficiente a considerare inequivocabile una manifestazione di consenso. Tanto più che il Regolamento ha innalzato maniera sensibile le sanzioni applicabili, sia in termini economici (multa massima. 20 milioni di euro o 4% del fatturato annuo) che penali e civili. Senza contare che sono stati attribuiti alle Autorità di Sorveglianza nuovi e più pervasivi poteri.

Informative
Già da quanto accennato appare evidente come anche la redazione delle informative dovrà essere in parte ripensata: concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (laddove tal tipo di precisa obbligo non è presente nell’attuale normativa). È probabile che le Autorità metteranno a disposizione anche modelli di riferimento.

Compliance
Le imprese dovranno riesaminare la conformità del proprio business alle nuova normativa; garantire con maggiore attenzione il tracciamento (documenti interni, policy, ecc.) delle attività di trattamento; quando necessario, identificare una persona idonea al ruolo di DPO garantendone risorse e indipendenza. Nell’ottica della rivisitazione dei processi e dei progetti aziendali, le imprese dovranno quindi tener conto dei principi di privacy by design e default, ragionando in termini di compliance privacy fin dall’inizio e per tutto il cicloi. Un aspetto così rilevante che, in determinati casi, sarà necessario procedere a una valutazione di impatto sui dati personali (DPIA) sviluppata in maniera più o meno approfondita a secondo del contesto aziendale di riferimento. Allo stesso modo si giustifica il favore che il Regolamento presta alle imprese che procederanno alla redazione di un Codice di condotta.

Profilazione
Un’altra innovazione che inciderà in maniera trasversale sulle scelte delle imprese sarà la disciplina dettata in materia di profilazione. Marketing, sicurezza, monitoraggio dei clienti, analisi, controllo: presuppongono spesso un’attività di profilazione. Le imprese che se ne occupano, come core business o per processi aziendali, avranno l’obbligo di fornire comunicazioni particolarmente precise e chiare agli interessati.

Sicurezza
Il Regolamento innalza anche il livello della sicurezza, introducendo un generale obbligo di segnalare eventuali violazioni. Le imprese dovranno prevedere precisi processi, di difesa e di pronta comunicazione. Andranno per esempio individuati: ruoli specifici e responsabilità, formazione dipendenti e modelli di preparazione. Anche per i responsabili del trattamento, il Regolamento impone nuovi e rilevanti obblighi di conformità, doveri e responsabilità. La nuova disciplina coinvolgerà direttamente quelle aziende che lavorano come responsabili (i.e. gli outsorcers), ma può anche interessare qualsiasi attività commerciale che impegna un responsabile interno. Responsabili e titolari dovranno quindi rivedere gli esistenti contratti affinché risultino conformi ai dettami del Regolamento.

Trasferimento dati
Per le PMI che hanno sviluppato il proprio business anche al di fuori dei confini italiani va tenuta in debito conto la disciplina sul trasferimento dei dati. Per le imprese che rimangono in Europa varrà il principio del One Stop Shop: tutte le questioni relative al trattamento dei dati personali potranno far riferimento ad un’unica Autorità di Sorveglianza e cioè quella dove hanno il proprio stabilimento. Il trasferimento verso Stati fuori dell’UE, come anche previsto dalla normativa previgente, è permesso soltanto nel caso in cui lo Stato terzo garantisca un’adeguata protezione, ovvero nel caso in cui venga sottoscritto un accordo internazionale (quale il Privacy Shield con gli USA). Diversamente le aziende dovranno tenere in debito conto i modelli di clausole predisposte dalla Commissione. Per i trasferimenti infragruppo, poi, trova maggior riscontro la necessità di predisporre opportune norme vincolanti d’impresa (BCR).

Va infine ricordato che, sebbene la normativa appena approvata intenda regolamentare tutti gli aspetti del trattamento dei dati personali, rimarranno comunque molti settori da armonizzare, anche in considerazione dei molteplici provvedimenti specifici emessi dall’Autorità Garante in questi anni.




Professionista senza obbligo di nomina di un RPD e di valutazione d’impatto
http://www.lalentesulfisco.it/abc-news/professionista-senza-obbligo-di-nomina-di-un-rpd-e-di-valutazione-d-impatto,3,35415

Per il professionista che esercita in forma individuale non è in linea generale obbligatoria la nomina di un Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO) (artt. 37-39 del Regolamento).

La designazione di tale nuova figura, infatti, con funzioni principalmente di ausilio per l’osservanza della normativa (ad esempio, supportando audit in materia di protezione dei dati) e di contatto con l’autorità di controllo e con gli stessi interessati, è limitata, per i soggetti privati, ai seguenti casi: le attività principali del titolare o del responsabile del trattamento consistono in trattamenti che, tenuto conto di natura, ambito di applicazione e/o finalità, richiedono il monitoraggio “regolare e sistematico” degli interessati su larga scala e in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati (artt. 9 e 10 del Regolamento).

Il Regolamento non precisa, però, cosa si intenda né per trattamento su “larga scala”, né per monitoraggio “regolare e sistematico” degli interessati; mentre le “attività principali” riguardano, così come evidenziato nel considerando n. 97, le “attività primarie” del titolare.


Con riguardo al primo punto, le Linee guida del Gruppo di lavoro ex art. 29 sul RPD indicano, fra i fattori determinanti, numero di soggetti interessati dal trattamento, volume dei dati e/o diverse tipologie di dati oggetto di trattamento, durata, ovvero persistenza, dell’attività di trattamento e portata geografica dell’attività di trattamento. A titolo esemplificativo, vengono esclusi i trattamenti di dati relativi a pazienti svolti da un singolo professionista sanitario e a condanne penali e reati svolti da un singolo avvocato.

In egual modo, si è espresso il Garante per la protezione dei dati personali, nelle FAQ 26 marzo 2018, con riguardo ai trattamenti effettuati, più genericamente, da “liberi professionisti operanti in forma individuale”.

Con riferimento al secondo punto, il Gruppo di lavoro ex art. 29 ha precisato che si intende per:
- “regolare”, fra l’altro, il trattamento che avviene in modo continuo;
- “sistematico”, fra l’altro, il trattamento predeterminato, organizzato o metodico.

Nella definizione vi rientrano, ad esempio, tutte le forme di tracciamento e profilazione su internet anche per finalità di pubblicità comportamentale, non esclusivamente riferibili all’ambiente on line.

Pertanto, alla luce delle indicazioni sopra illustrate, non scatterebbe l’obbligo di nomina del RPD per il professionista (ad esempio, il commercialista) che proceda al trattamento dei dati dei suoi clienti al fine dell’esecuzione della prestazione professionale, essendo – così come sottolineato dal CNDCEC e dalla FNC – di difficile integrazione sia il trattamento su larga scala di dati sensibili sia l’attività di monitoraggio regolare e sistematico (salvo, ad esempio, nel caso di utilizzo di telecamere a circuito chiuso, di tracciamento dell’ubicazione attraverso app su dispositivi mobili o di uso programmi di fidelizzazione o di pubblicità comportamentale).

In tali ipotesi, potrebbe essere comunque utile l’indicazione di un Referente GDPR, quale “punto di contatto” per eventuali verifiche e controlli.

Sulla base dei medesimi criteri, sembra potersi anche escludere l’effettuazione della valutazione di impatto sulla protezione dei dati (DPIA – art. 35 del Regolamento), prevista, in generale, come obbligatoria per i casi di trattamento che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, nell’ambito del quale, fra l’altro, vengono espressamente inclusi la profilazione e il trattamento, su larga scala, di categorie particolari di dati personali o dei dati relativi a condanne penali e a reati.

In merito, infatti, il Gruppo di lavoro ex art. 29, nelle Linee guida sulla DPIA, esclude, considerati i possibili criteri pertinenti, la “probabilità” della richiesta di una DPIA per il trattamento di dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato (cfr. considerando n. 91).

Si evidenzia che, anche qualora si reputi non necessario procedere né alla nomina di un RPD, né a una DPIA, nelle Linee guida sopra citate il Gruppo di lavoro ex art. 29 – così come il Garante per la protezione dei dati personali – rileva l’opportunità comunque della rispettiva adozione, riflettendo entrambi gli adempimenti l’approccio di responsabilizzazione in capo al titolare del trattamento (o del responsabile, se nominato) (artt. 5 par. 2 e 24 par. 1).

Per quanto riguarda il RPD, perché si tratta di una figura di ausilio per il titolare all’osservanza stessa del Regolamento, monitorando la sua applicazione e informando e sensibilizzando il titolare (o il responsabile), oltre che i dipendenti, circa gli obblighi in materia di protezione dei dati personali. In caso di designazione su base volontaria, troveranno applicazione le disposizioni concernenti la nomina, lo status e i compiti del RPD obbligatorio.

Quanto alla DPIA, perché consente di attestare di aver adottato le misure idonee a garantire il rispetto delle prescrizioni del Regolamento.

Commenti

Posta un commento

Post popolari in questo blog

Elenco codice destinatario univoco per la Fatturazione elettronica SDI

  Provider Codice Destinatario Aruba KRRH6B9 Wolters Kluwer  Fattura Smart WKI W7YVJK9 Fattura PA  by  Passepartout 5RUO82D Fatture in Cloud  by  TeamSystem M5UXCR1 Zucchetti SUBM70N Register PZIJH2V Agyo KUPCRMI ARXivar A4707H7 WebClient T04ZHR3 Sistemi USAL8PV Buffetti BA6ET11 CGN  by  RDV Network SU9YNJA Bluenext X2PH38J SEAC P62QHVQ FatturaOnClick.it WY7PJ6K ARCHIVIA.ONLINE WP7SE2Q Datev Koinos T9K4ZHO Var Group M5ITOJA Credemtel  (gruppo Banca Credem) MZO2A0U Infocert XL13LG4 SataNet SA0PL6Q Fattura24 SZLUBAI FattureGB QULXG4S FtPA 6EWHWLT Digithera URSWIEX Ksg TRS3OH9 DocEasy J6URRTW Metodo W4KYJ8V QuickMastro KJSRCTG Fattura Elettronica APP N92GLON Archivium srl 3ZJY534 IDOCTORS NKNH5UQ Extreme software E2VWRNU Arthur   Informatica G4AI1U8 Danisoft G1XGCBG MySond H348Q01 OLSA Informatica XIT6IP5 Unimatica E06UCUD Mustweb Srl P4IUPYH Mustweb srl 2LCMINU Coldiretti 5W4A8J1 Tech Edge 0G6TBBX Cia 6RB0OU9 Consorzio CIAT AU7YEU4 Alto Trevigiano Servizi C1QQYZR EdiSoftware Srl EH1R83N
Posta un commento
Continua a leggere

SCHEDA CARBURANTE E MODELLO PDF

SCHEDA CARBURANTI MODELLO DA UTILIZZARE PER I RIFORNIMENTI DEGLI AUTOMEZZI AZIENDALI E PROFESSIONALI Modello in PDF Come si sa, la scheda carburante , regolamentata dall’art. 1 del D.P.R. 444/1977,  è nata quale documento fiscale sostitutivo della fattura e deve essere completa di alcuni dati obbligatori per legge, necessari per usufruire della detraibilità dell’IVA e della deducibilità del costo. La scheda carburante deve essere utilizzata per gli acquisti di carburanti per autotrazione, effettuati in impianti stradali di distribuzione da parte dei soggetti IVA nell’esercizio di imprese, arti e professioni. Non può essere utilizzata in caso di acquisti  effettuati al di fuori degli impianti stradali di distribuzione o in caso di acquisto di carburante non destinato all’autotrazione e per le vendite di carburante effettuate dagli esercenti degli impianti stradali a Stato, Enti pubblici, Enti ospedalieri, Enti di assistenza, Università: in questi casi è obbligato
Posta un commento
Continua a leggere

Aprire un'attività di RISTORAZIONE AMBULANTE

Somministrazione in forma itinerante Chi decide di aprire un ristorante mobile il vantaggio è quello di poter soddisfare al momento l'appetito del cliente, posizionandosi nelle zone di grande passaggio agli orari giusti : vicino a uffici, scuole, centri sportivi, luoghi di attrazione turistica e in occasione di manifestazioni. Il mercato della ristorazione veloce è in piena espansione e scegliendo di acquistare un autonegozio usato si può ridurre l'investimento iniziale . La somministrazione in forma itinerante è esercitata con autorizzazione comunale per il commercio su aree pubbliche di alimentari. INDICAZIONI NORMATIVA R.E.A. NAZIONALE: Documentazione che dimostra l'esercizio dell'attività ai fini della denuncia/domanda REA/Registro imprese:  Ente competente per l'istruttoria:  Autorizzazione all'esercizio di vendita sulle aree pubb
Posta un commento
Continua a leggere