loader image

Approfondimenti

il reclamo - gdpraosta.it

Strumenti per tutelare i vostri dati: il Reclamo

Tutti, in qualità di Interessati, abbiamo il diritto di sporgere reclamo all’azienda, ente o organizzazione che raccoglie e tratta i nostri dati in maniera illecita. Se fino al 25 maggio 2018 il ricorso era a pagamento, per cui l’Interessato perplesso doveva pagare circa €. 150,00 per chiedere al Garante Privacy o all’autorità competente di verificare il dubbio sull’illegittimo trattamento dei dati raccolti, ora il reclamo è gratuito. Ma come si sporge istanza di reclamo?

il reclamo - gdpraosta.it
Il reclamo – gdpraosta.it

Tutti noi, in qualità di Interessati, possiamo sporgere reclamo all’azienda o all’ente che tratta i nostri dati attraverso i metodi esplicitati sul sito istituzionale dell’azienda alla sezione prevista (solitamente è quella “privacy”). I metodi per esporre il reclamo maggiormente adottati tra gli enti e le organizzazioni sono quelli di inviare una mail o una missiva agli indirizzi specificati, o completare un apposito modulo. Dal momento della ricezione del reclamo, l’azienda ha tempo un mese, prorogabile a due se i dati oggetto di reclamo sono molti o la procedura per estrapolarli e valutare il trattamento risulta complicato, per rispondere e dimostrare che i nostri dati in loro possesso non sono trattati illegittimamente ed illecitamente. Se non si dovesse ricevere riscontro entro il tempo prestabilito e/o non si considerasse la risposta esaustiva, allora ci si può rivolgere al Garante Privacy. È possibile scaricare il modulo del reclamo al link seguente: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524 .

Se il Garante Privacy o l’autorità preposta rileva che il motivo del nostro reclamo è lecito, allora dal reclamo si passa all’istruttoria preliminare. Da questo momento in avanti si intraprende l’iter di un vero e proprio procedimento amministrativo. A seguito degli accertamenti e delle varie verifiche previste dal procedimento, e se nel caso, il Garante o l’autorità preposta procede con la comminazione delle sanzioni contro l’ente che ha utilizzato illecitamente i dati di cui era in possesso, il tutto secondo l’Art. 58 del GDPR.

Logo garante della privacy

Il Garante della Privacy

Nata con la Direttiva Comunitaria 95/46/CE e recepita in Italia con la Legge sulla Privacy L. 675/1996, l’Autorità di controllo italiana trova la sua espressione nel Garante per la protezione dei dati personali, o Garante Privacy. Ad oggi, il Garante Privacy italiano risponde D.Lgs. 196/2003 modificata ed integrata con il D.Lgs. 101/2018 (decreto di recepimento nell’Ordinamento Nazionale del GDPR-nda).

Logo garante della privacy
Logo garante della privacy

Tutti i Paesi dell’Unione Europea hanno un equivalente del nostro Garante Privacy. Tutti rispondono sia alla normativa europea, sia all’ordinamento nazionale e agisce per competenza territoriale.

Per ciò che concerne la nostra Nazione, i compiti del Garante Privacy sono molteplici e vanno da verificare che le aziende, gli enti, le organizzazioni e le pubbliche amministrazioni trattino in maniera corretta, lecita e trasparente i dati da loro raccolti (o forniti da terzi), ad esaminare eventuali reclami e ricorsi avviati dagli interessati vittime di trattamenti illeciti. Dal punto di vista giurisprudenziale, l’Autorità di controllo si occupa di adottare le linee guida emanate dalle Istituzioni Europee e di adeguarle alla legislazione nazionale e di promuovere codici deontologici e di buona condotta. Ancora, le Autorità di controllo sono legittimate dall’Unione Europea a comminare sanzioni in diversi casi, quali per esempio: sospendere il flusso migratorio dei dati da uno Stato all’altro, richiedere al Titolare di rispondere in tempi celeri alle richieste dell’Interessato e a motivare i trattamenti illeciti svolti su dati, piuttosto che di ammonire le aziende per aver assunto dei comportamenti illeciti o essere state poco trasparenti nei confronti dei consumatori, ossia degli Interessati.

Se prima del 25 maggio 2018 l’Autorità di controllo operava ex ante, a priori e per prevenzione, ora è tenuta ad intervenire solo se interpellata e/o se, durante le sue indagini, si accorge di comportamenti illeciti e contrari alla normativa privacy. Si può quindi affermare che essa opera ex post, ossia (quasi) su segnalazione.

Secondo il Regolamento Europeo, le Autorità di controllo dei diversi Stati europei possono incontrarsi e formare il Comitato Europeo per la Protezione dei dati (ex Gruppo Articolo 29): i loro lavori sono incentrati soprattutto sull’interpretazione della normativa privacy e su rispondere ai quesiti di carattere generale provenienti dai Paesi UE. Altro importante principio del GDPR è quello dello sportello unico, per cui un’azienda che ha sedi in diversi Stati europei deve avere un’unica Autorità di controllo in uno degli Stati membri. Tale Autorità deve essere stabilita tra tutte le Autorità in cui l’azienda è presente.

 

Nota sul Registro! (del Trattamento)

8 ottobre 2018.

E’ tempo di chiarimenti interpretativi sull’applicazione del “Codice sulla Privacy” rivisitato nella sua interezza dal D.lgs. 101 (c.d. Decreto attuativo).

A neanche 20 giorni dall’entrata in vigore delle modifiche apportate alla 196/03, nostro riferimento normativo per la materia privacy, ecco che spunta una notizia imponente pronta a rimbombare presso tutte le aziende del nostro territorio. Infatti l’Autorita del Garante per la Protezione dei dati Personali ha pubblicato proprio oggi, 8 ottobre 2018, una news fresca contenente le risposte ufficiali a tutti i quesiti e le incertezze che potevano sorgere sul famoso Registro dei Trattamenti

Il chiarimento non lascia spazio alle interpretazioni e nella seconda FAQ e cioè “Chi è tenuto a redigerlo?” amplia in maniera inequivocabile il raggio di azione dell’adempimento, inglobando, nell’obbligatorietà di produrre e mantenere questo documento, la maggior parte del tessuto aziendale del territorio nazionale. Praticamente la totalità delle attività che svolgono trattamento di dati dovrà adoperarsi per redigere il Registro in questione.

E’ necessario quindi muoversi fin da subito per sfruttare l’ultimo periodo finestra sanzionatorio concesso dal Garante, e adeguare le proprie aziende a ciò che viene richiesto; se pur semplici che siano, gli adempimenti vanno applicati per evitare le sanzioni.

GDPRAOSTA.it vi ricorda che attiveremo a breve i nostri servizi di consulenza online, strumenti volti a semplificare il vostro carico burocratico e ad evitare inutili sanzioni.

Rimani aggiornato sulla privacy e sui servizi di consulenza da noi offerti, iscrivendoti gratuitamente sul nostro portale.

Qui un estratto del testo delle FAQ del Garante:

[…] “Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD). 

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:  

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).” […]

La privacy e gli 8 mesi.

Quattro mesi e il 25 maggio 2018, così tanto atteso e temuto, quasi come se fosse stata la nuova data comunicata dai Maya per la fine del mondo, è passato. Quel momento di terrore, ansia, inquietudine è diventato ormai solo un lontano ricordo. E ora? Nemmeno il tempo necessario per prendere confidenza con il nuovo Regolamento Generale sulla Protezione dei Dati (RGDP-Reg. UE 679/2016 o GDPR, dall’acronimo della definizione inglese) che, quasi dalla sera alla mattina-per modo di dire, abituati come siamo alla “scorrevolezza” e “velocità” della legislatura italiana- ci hanno presentato il D.Lgs. 101/2018. E ora? La confusione. Alcuni hanno tentato di avventurarsi nel labirinto privacy senza filo di Arianna, molti hanno desistito subito. Ecco quindi una piccola “matassa sciolta” utile per orientarsi in questa materia complessa.

Fino ad ora siamo stati abituati a cercare informazioni riguardanti la Privacy all’interno del Testo Unico, ovvero del D.Lgs. 196/2003, Decreto a cui si faceva riferimento anche nella diversa documentazione da produrre per regolarizzare la posizione Privacy dell’azienda. Negli anni, vista la difficoltà di trovare Leggi omogenee tra i diversi Paesi membri e la confusione che si creava nei casi di scambio di dati da aziende che hanno sedi e succursali in Paesi terzi, l’Unione Europea deciso di uniformare e armonizzare le normative privacy di ogni Stato, in modo da agevolare e migliorare lo scambio dei dati, pur mantenendo altissimi i livelli di protezione: è così che nasce il GDPR o Reg. UE 679/2016.

Volgendo lo sguardo verso “casa nostra”, il nostro Testo Unico Privacy presentava delle incongruenze con il GDPR. Dunque, l’Italia si è trovata a dover compiere una scelta: o abrogare completamente il Decreto 196 del 2003, o abrogare e modificare solo alcune parti dello stesso, così da non creare il conflitto normativo tra legge italiana ed europea. Conscia dell’importante lavoro da portare a termine in tempi ristretti, l’Italia ha optato per l’emanazione del D.Lgs. 101/2018. Il nuovo Decreto italiano ha parzialmente modificato la vecchia normativa datata 2003, rendendola più snella e fluida e permettendo così il pieno recepimento del Regolamento Europeo all’interno dell’Ordinamento Italiano. Il 196/2003 ha preso una nuova forma, adeguata quindi al GDPR, rimanendo comunque il c.d. “Codice sulla privacy”, punto di riferimento per tutte le aziende e le imprese italiane che devono interfacciarsi con la materia.

Ora che la confusione normativa pare svanita, è importante comprendere e valutare quali sono i termini temporali che il Legislatore ha concesso a quelle aziende che ancora non si sono mobilitate per rispolverare la privacy, ma anche per quelle che, invece, hanno già intrapreso da tempo il percorso, consci delle difficoltà che emergono applicando il Regolamento Europeo.

L’8 settembre scorso è stato emanato il D.Lgs. 101/2018 ed è entrato in vigore il 19 settembre. Ciò vuol dire che ormai tutte le aziende, nessuna esclusa, devono essere in regola con la documentazione privacy e devono mobilitarsi al fine di rispettare le nuove disposizioni sancite dal Legislatore Italiano. Data la complessità della materia e le modifiche che sono state apportate al vecchio Decreto del 2003, l’Italia ha voluto alleggerire l’imposizione normativa nei primi otto mesi a decorrere dall’entrata in vigore del 101/2018.

L’art. 22, punto 13 del decreto è cosi scritto:

Per i primi otto mesi dalla data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell’applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie.

Sembra quindi evidente la volontà del legislatore italiano di obbligare l’Autorità nazionale del Garante a procedere con cautela, nella prima fase di applicazione delle disposizioni sanzionatorie, valutando a monte, attenuanti applicabili caso per caso.

Secondo le interpretazioni più diffuse, in questo lasso di tempo, le aziende saranno sottoposte a controllo da parte delle autorità preposte, ma le sanzioni dovranno tener conto di eventuali attenuanti giustificate e giustificabili, comprovanti la buona fede nello sforzo aziendale di adeguamento normativo ed il periodo di incertezza interpretativa dovuta al recepimento di nuove normative di riferimento. Da aprile 2019 in poi, però, le aziende non avranno più modo di giustificare ritardi nella corretta applicazione normativa, dato che, comunque, è già dal 2016 che le aziende avrebbero dovuto iniziare a regolarizzare le loro posizioni rispetto al GDPR.

Otto mesi di di alta pressione dunque,  durante i quali anche il Garante Privacy è chiamato a stilare le Linee Guida necessarie per chiarificare alcuni punti della materia. Ma non per questo ci è permesso di dormire sonni tranquilli: le aziende devono comunque impegnarsi e non distogliere l’attenzione dagli obiettivi della nuova privacy, poiché gli adempimenti sono parecchi e alcuni possono richiedere anche dispendiose energie, è meglio approfittare e non farsi cogliere impreparati. D’altronde, chi ha tempo non aspetti tempo.

GDPR: ciò che devi sapere e nessuno dice.

gdpraosta.it

Risposte necessarie a rilassare le coronarie.

  1. il 25 di maggio non finirà il mondo. L’apocalisse amministrativa annunciata è ancora molto lontana, potremo continuare a lavorare serenamente (o più o meno). Qualche accorgimento in più, ma attenzione alla sete di profitti.
  2. Il meteo sarà più favorevole del previsto. La pioggia di onerose sanzioni, che non basterebbe il “6 al Superenalotto”, non si abbatterà sulla tua azienda, a meno che tu non decida di vendere il tuo patrimonio di informazioni al primo che passa senza l ‘autorizzazione degli interessati, oppure spacci informazioni sanitarie al dark web.

Un po di giusti accorgimenti potranno evitarti di incorrere in sanzioni, e la tua buona fede nel cercare di adeguarti verrà premiata.

  1. Il DPO non è un nemico del tuo lavoro. È una figura importante ma non dovrai investire soldoni per arruolarlo a meno che tu non sia una grossa azienda con più di 250 dipendenti, o che tu faccia trattamento sistematico su larga scala di dati particolari. Per le pubbliche amministrazioni è invece un obbligo.
  2. Il Registro dei Trattamenti è cosa buona e giusta. Non devi compilarlo se non hai in campo più di 250 dipendenti oppure se non tratti dati sensibili o ti occupi di marketing, ma averlo in azienda dimostra che di privacy te ne sei preoccupato, ed eviti le sanzioni. Basta qualche riga ben scritta per essere a norma.
  3. Password, antivirus, pc aggiornato e backup sono ormai indispensabili. Non esistono più le misure “minime” di sicurezza per essere adeguati con la privacy, ma ciò che conta è la sicurezza oggettiva dei tuoi dati informatici. Se la tua struttura informatica è a tutti gli effetti considerabile come “rete” allora un buon consulente informatico saprà come prendersi cura degli adempimenti normativi.
  4. Tratti dati sensibili (“particolari” secondo il GDPR)? Se sono necessari per svolgere il tuo lavoro, fallo con serenità. Ricordati però che hai qualche obbligo in più rispetto agli altri.
  5. Se l’informativa è già una buona abitudine nella tua azienda, allora hai già fatto gran parte del tuo dovere. Ricordati solo di aggiornarla con le nuove richieste del Regolamento Europeo
  6. Il codice della privacy tiene duro e non va in pensione. Il Regolamento Europeo (GDPR 2016/679) impone agli Stati membri di adeguare le proprie normative, ma l’Italia è un po’ lenta e non ha ancora dato la sua versione. Tutto va gestito come prima tranne che per ciò che il GDPR esplicita in maniera diversa.
  7. La formazione in materia è importante nonché obbligatoria. Puoi decidere tu come formare il tuo personale, l’importante è comprovare la formazione e soprattutto preparare il personale ad un trattamento di dati corretto e sicuro.
  8. Non serve una cassaforte per custodire i documenti. E’ necessario gestire il cartaceo in maniera responsabile, senza abbandonare informazioni personali alla vista di chiunque. I dati particolari hanno bisogno di maggior tutela, quindi cerchiamo di non lasciarli incustoditi sulle scrivanie.
  9. Eh si, anche la tua azienda è soggetta agli adempimenti della nuova normativa. Chiunque, ad esclusione delle persone fisiche (a patto che non effettuino trattamenti volti alla comunicazione sistematica o alla diffusione) dovrà rispettare le prescrizioni dell’attuale codice della Privacy e del nuovo GDPR.
  10. La DPIA o semplicemente Valutazione di impatto può essere paragonata alla vecchia “Notifica al Garante”. Se avevi quest’incombenza prima è sicuro che dovrai effettuare la DPIA ora.
  11. Se effettui Trattamento di dati dei minori di 16 anni, fai attenzione. Dovrai trovare la giusta procedura per raccogliere il consenso dei genitori.
  12. Nel caso di attacco informatico (virus, Trojan, crypto locker, ecc..) la perdita dei dati comporta l’onore di avvisare autorità ed interessati, ma solo nel caso in cui ci sia un forte rischio per i diritti e le libertà delle persone fisiche.
  13. Nessuno vieta di usare la videosorveglianza per proteggere il tuo patrimonio, anzi. Alcuni semplici accorgimenti sul puntamento, e la trasparente comunicazione ai dipendenti e all’Ispettorato o rappresentanze sindacali, ti garantiscono l’incolumità alle sanzioni.

Privacy e GDPR non ostacolano il tuo lavoro. Puoi fare tutto ciò che necessario al tuo business, l’importante è regolamentare con criterio tutti i processi che utilizzano dati personali.

La RESPONSABILITÀ – ACCOUNTABILITY

Si tratta di una delle novità più importanti del nuovo approccio normativo. È uno dei principi fondamentali del nuovo regolamento. l’accountability che tradotto significa letteralmente

“Responsabilità” mette un punto fermo sulla questione e impone, in capo al titolare del trattamento e di conseguenza al responsabile, il dovere di dimostrare che il trattamento di dati personali effettuato è conforme con l’attuale Regolamento in vigore.

Anche se la traduzione letterale non rispecchia pienamente il significato del termine anglosassone, possiamo affermare con certezza che l’interpretazione corretta, nonché l’obbligo normativo, risulta essere quella per cui il titolare è obbligato a “dover rendere conto del proprio operato”.

Si evidenzia infatti la necessità di applicare misure e procedure volte a garantire la tutela dei dati trattati, con un approccio basato su due concetti fondamentali

Privacy by default e la valutazione del rischio. Approfondiremo i due concetti in sezioni separate, ma è fondamentale sapere che sono i pilastri cardine sui quali basare lo sviluppo di un corretto sistema di gestione dei dati personali adeguato al regolamento.

Accountability è quindi un concetto che coinvolge tutti i processi di un’azienda che effettua trattamento di dati personali, obbligando le figure più importanti dell’organigramma, da un lato a dar conto all’esterno del fatto che tutti i processi di trattamento siano svolti applicando adeguate misure di sicurezza a tutela dei dati dell’interessato, e dall’altra ad implementare all’interno della propria azienda, logiche e procedute volte a progettare, strutturare e mantenere processi che tutelano le informazioni relative ai dati personali trattati.

Il concetto di accountability non si può ridurre alla sola responsabilizzazione del titolare del trattamento, ma evidenzia la capacità di un’azienda di presentarsi come affidabili e competenti in materia di protezione dei dati personali.

LA STORIA della Privacy

La sensibilità a comprendere quanto il dato personale fosse importante risorsa da proteggere è iniziata già da tempo quando…

Esigenza di riservatezza e di protezione, concetto di sfera pubblica e privata
Non prima del 1975 quando il Supremo Collegio affermo il diritto alla riservatezza
Europa con la direttiva 95/46/CE 97/66/CE 2002/58/CE

In Italia recepisce la direttiva con la 675/96, obbligata per poter godere dei benefici dell’accordo di Shengen
Inserendo anche il Garante della Privacy
L’Italia per adeguare la normativa alle evoluzioni ha di sua iniziativa introdotto la 196/03 per arrivare ai giorni nostri. Manca l’ultimo tassello per recepire la 679/2016.