La nomina del Responsabile del Trattamento, ancora oggi, è oggetto di discussione e di diffusa confusione. A tutto ciò hanno contribuito prese di posizione e dichiarazioni, anche pubbliche, di associazioni, ordini e operatori del settore che hanno solo contribuito a generare incertezza e dubbi.
https://www.privacyedatisicuri.it/gdpr-e-il-ruolo-del-consulente-del-lavoro
Allora proverò a darvi un po' di elementi su cui riflettere.
Iniziamo col dire che il GDPR indica in modo preciso vincoli e modalità di gestione dei dati quando questi vengono trasferiti a terzi ed, in particolare, la tipologia di aziende alle quali il Titolare del Trattamento può trasferire o far gestire tali dati e la tipologia di contrattualizzazione che deve legare un Titolare (l'azienda/professionista) quando si avvale di un Responsabile (fornitore) per trattare i dati personali.
Aggiungiamo una nota molto importante di carattere giuridico: la condizione del Responsabile del Trattamento è, tecnicamente, uno Status e come tale non deriva esclusivamente dall'accettazione della nomina, ma è nello stato delle cose. Significa semplicemente che una azienda o ente o professionista si definisce Responsabile del Trattamento quando ricorrono determinate condizioni che lo qualificano come tale.
Ma io non trasferisco dati a nessuno. Questa è una obiezione che, onestamente con molta superficialità, mi sento proporre molto spesso.
Il GDPR definisce "Trattamento" ogni operazione che venga fatta sui dati personali: ad esempio se spedite della merce all'attenzione di qualcuno (persona fisica) state trattando i suoi dati, se inviate delle email state trattando dati personali, se avete nella rubrica del telefono, o in una rubrica cartacea, i numeri di persone fisiche, state trattando i suoi dati personali, e così per tutte le attività che svolgete quotidianamente in azienda.
A questo punto siete così sicuri di non trasferire quei dati a nessuno?
Se la vostra rubrica è sul vostro telefonino Android o iPhone, con ogni probabilità la rubrica sarà sincronizzata nel cloud, sui server di Apple o di Google: sapete dove tengono copia di questi dati queste due aziende e come li trattano? Con tutta probabilità anche al di fuori della comunità europea! Stessa cosa per il vostro gestore della posta elettronica, ad esempio gmail o yahoo. Il vostro consulente del lavoro tratta i dati dei vostri dipendenti e siete voi che trasferite questi dati e che ne avete responsabilità. Il vostro commercialista, per la natura del suo lavoro, verrà in contatto non solo con i vostri dati, dei quali lui diventa Titolare, ma anche con quelli, che gli trasferite voi, dei vostri clienti e dei quali diventa Responsabile.
Ogni volta che affidate dati personali di cui siete titolari ad un fornitore di servizi (ad esempio il gestore della posta elettronica) o a un professionista (ad esempio il consulente del lavoro o commercialista), dovete verificare preventivamente e controllore nel corso del tempo che questi rispettino determinati requisiti e che il contratto, obbligatorio, che vi lega tuteli i dati come previsto dalla normativa GDPR.
Vale la pena di sottolineare che la resposabilità è sempre del titolare del trattamento, che dovrà dimostrare di aver scelto un responsabile adeguato e che contrattualmente il responsabile aveva garantito certi livelli di protezione o di effettuare solamente determinati trattamenti e secondo le modalità e per le finalità definite dal titolare del trattamento.
Quindi se il responsabile del trattamento farà degli errori, e se non saprete dimostrare quanto sopra, le sanzioni le pagate voi!!!
Se, ad esempio, utilizzate un software di fatturazione on line, un software per inviare newsletter, un CRM, o qualsiasi altro servizio tramite internet, la responsabilità di assicurarvi che il fornitore del servizio sia adeguato a diventare Responsabile del trattamento dei dati è sempre la vostra; inoltre dovrete sempre dimostrare che esista un contratto che vi lega e che fornisce le clausole previste.
Potete quindi almeno fare delle verifiche:
1) Che l'azienda sia in Europa e che tenga i dati sul territorio europeo (i server dove risiedono i data base e dove vengono conservati i dati)
2) Se il fornitore non risiede nel territorio europeo, o avete dei dubbi, assicuratevi che fornisca garanzie adeguate e compatibili con il GDPR, ad esempio aderendo al Privacy Shield. Dovrete trovare nelle clausole contrattuali le indicazioni di rispetto degli obblighi che il GDPR impone. Quindi se il servizio è straniero (fuori dall'UE) cercatelo innanzitutto sul privacy shield: se non c'è contattate il fornitore e chiedete perchè.
2) Che esista un contratto che vi lega al vostro fornitore. Nel contratto voi nominate il fornitore "responsabile del trattamento dei dati" ed all'interno specificate:
a) quali dati sono oggetto del trattamento
b) che tipo di trattamento il fornitore farà su quei dati
c) quali garanzie di protezione il fornitore vi da relativamente al trattamento di quei dati.
In alcuni casi tali clausole sono riportate in un documento chiamato "DPA" (Data Protection Addendum o Data Processing Addendum), in altri casi sono esplicitate direttamente nelle condizioni di servizio, in altri ancora sarà necessario fare un contratto aggiuntivo per la nomina.
Relativamente alla nomina del Responsabile riporto, in parte, il testo del GDPR.
Articolo 28 - Responsabile del trattamento
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento...
6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico ... può basarsi, in tutto o in parte, su clausole contrattuali ...
9. Il contratto o altro atto giuridico ... è stipulato in forma scritta, anche in formato elettronico.
In sostanza deve essere messo sotto contratto che il responsabile del trattamento tratterà i dati esclusivamente su vostra indicazione, che non è autorizzato a trasferire i dati verso un paese estero senza autorizzazione, che non possa avvalersi di altri responsabili per il trattamento dei dati senza il vostro consenso, che le persone che tratteranno i dati (autorizzati) siano adeguatamente formate e vincolate alla riservatezza, che siano adottate adeguate misure di protezione dei dati stessi, che vi fornisca gli strumenti per permettervi di adempiere agli obblighi derivanti dall'esercizio dei diritti degli interessati, cioà delle persone fisiche delle quali trattate i dati (accesso, cancellazione, etc).
E' vero che il GDPR è operativo ormai da oltre un anno ma sarà necessario un tempo molto più lungo per adeguare completamente e correttamente le modalità operative della gestione dei dati e della loro protezione.
Quello che vi consiglio è di tenere bene a mente che i dati personali sono importanti almeno quanto i vostri soldi e che sono il vero valore di una azienda. Allo stesso modo per cui non affidereste mai i vostri soldi a qualcuno senza avere delle garanzie contrattuali, non fatelo nemmeno con i dati personali, e non perchè lo impone una norma o perchè sono previste delle sanzioni.
Un recentissimo studio sulle imprese lombarde ha evidenziato come l’emergenza sanitaria abbia reso evidente l’esigenza di migliorare il grado di digitalizzazione * Lo studio ha anche evidenziato che la digitalizzazione delle imprese genera un risparmio Una impresa su tre ha avuto un risparmio immediato che si è attestato nel 40,4% dei casi in una somma tra i 10.000 euro e i 50.000 euro, e addirittura il 2,1% delle imprese ha dichiarato risparmi per più di mezzo miliardo di euro. E il 79% di questi...
Scritto da: Luigi DuraccioLa nuova legge di Bilancio 2021 prevede una lunga serie di bonus ed agevolazioni. Anche in questo caso districarsi in questa giungla non è facile. Ancora una volta ci affidiamo all’avv. Stefano Nardini, in un breve video, per capire quanti e quali sono i bonus previsti, chi può richiederli, come accedervi. Buona visione!
Scritto da: Luigi DuraccioIl furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Il furto di identità come mezzo per realizzare le frodi creditizie. Le vittime? Uomini, soprattutto. Nei primi 6 mesi del 2020 sono state scoperte oltre 11.200 frodi creditizie tramite furto d’identità (Fonte Osservatorio Crif – Mister Credit). Il danno stimato supera i 65 milioni di Euro, mentre l‘importo medio della singola frode si è attestato a 5.792 €, in aumento del +24,2% rispetto a quello rilevato nei primi...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili, e tutte le protezioni possono essere superate. Ma esistono soluzioni per recuperare i file criptati? Scopriamo insieme una soluzione semplice, potente, veloce. Ripetiamo ormai da molto tempo che la protezione al 100% non esiste e le strategie degli hacker, per superare le difese si evolvono e traggono continuamente nuova linfa dall’aumento degli strumenti utilizzati. Se a questo aggiungiamo l’evoluzione del contesto, il lavoro remoto ad esempio, la scarsa alfabetizzazione degli utenti e la quasi totale mancanza di...
Scritto da: Luigi DuraccioL'Agenzie delle Entrate e la Polizia Postale mettono in guardia su l'utilizzo del Bonus 110% per campagne di phishing. L'argomento è, in questo periodo, di grande attualità e molto sensibile. E' quindi molto facile cadere nella trappola e, nonostante gli avvertimenti delle autorità, in molti sono già caduti vittime di questa massiccia campagna di phishing. Il phishing è una particolare tipologia di frode online. Lo scopo dei malintenzionati è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Più...
Scritto da: Luigi DuraccioDalla incapacità di proteggere in maniera adeguata le informazioni, i dati, deriva la estrema insicurezza dei sistemi informatici. E tutti coloro che hanno un qualche potere decisionale in merito fanno finta di non vedere, o forse non vedono proprio. Con i continui allarmi sui pericoli che comporta l’adozione indiscriminata delle tecnologie digitali grazie all’eco suscitato da alcuni attacchi particolarmente significativi dell'ultimo anno, che hanno attirato l’attenzione dei media anche non specialistici attorno al tema della cybersecurity si è creato un certo...
Scritto da: Luigi DuraccioIl marketing diretto può essere fatto senza il tuo consenso ma con alcuni limiti non troppo chiari e spesso oltrepassati da molti con offerte commerciali molto invasive. C’è ancora grande confusione e poca consapevolezza, quasi sempre una scarsa conoscenza della normativa in materia, sia negli operatori che, ancor di più, negli interessati, che subiscono, a volte azioni molto invasive, rinunciando, di fatto, ai propri diritti in materia. Ancora una volta, con l’aiuto del nostro esperto in materia di protezione di dati personali,...
Scritto da: Luigi DuraccioDopo l’invalidazione del Privacy Shield, decisa dalla Corte di Giustizia dell’UE il 16 luglio 2020 il Comitato Europeo per la Protezione dei Dati arriva in aiuto delle imprese con la pubblicazione delle linee guida. Dopo quattro mesi di attesa, l’11 novembre 2020 l’European Data Protection Board apre finalmente uno spiraglio per chi trasferisce dati fuori UE, con la pubblicazione delle Raccomandazioni 01/2020. L’obiettivo è quello di dare delle linee guida per ricorrere lecitamente alle clausole contrattuali standard (SCC) ed individuare, caso per...
Scritto da: Luigi DuraccioQuanto è facile conoscere la positività di un soggetto: la privacy dei cittadini è a rischio? I controlli del Garante Durante questa emergenza sanitaria, quello che sta succedendo, in maniera sempre più frequente, è la possibilità, per un numero elevatissimo di soggetti, di doversi sottoporre a trattamenti sanitari quali tamponi, test sierologici e altre analisi, oppure di trovarsi nella situazione che venga rilevata la possibile positività al virus, ad esempio all'ingresso in azienda se venga rilevata una temperatura superiore ai 37,5° oppure per la...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.