La normativa attualmente in vigore, formata dall’integrazione del Regolamento UE 2016/679 (anche detto GDPR) con il DLgs 196/03 (Codice Privacy, come modificato dal DLgs 101/2018), introduce diversi Adempimenti, alcuni parzialmente già noti mentre altri del tutto nuovi.
Tra questi Adempimenti ve ne sono alcuni che di base sono obbligatori per chiunque svolga una qualsiasi attività, mentre altri sono obbligatori solo al ricorrere di determinate condizioni, sulla base del tipo di trattamenti dati che vengono effettuati.
Ovviamente la nostra Consulenza consente di ricevere un valido supporto per realizzare tutti gli Adempimenti descritti di seguito, con l’Assistenza necessaria nnel tempo per rimanere al passo con l’evoluzione della normativa.
Vediamoli nel dettaglio, suddivisi tra quelli obbligatori per tutti e quelli riservati solo ad alcuni, con il riferimento allo specifico articolo del GDPR che prescrive l’Adempimento.
Adempimenti di base (obbligatori per tutti)
1 – Elaborazione di idonee Informative all’Interessato (artt. 6, 12, 13 e 14)
La corretta (idonea) Informativa all’Interessato è il secondo presupposto di liceità di ogni Trattamento, l’Informativa quindi è un elemento chiave, anche perché spesso è l’unico Documento immediatamente “visibile”, ed è differente per ogni specifica esigenza. Occorre elaborare una Informativa specifica per le varie finalità (Clienti, Dipendenti, Collaboratori, a volte Fornitori, Area web, eventuali APP, ecc).
2 – Elaborazione delle idonee Lettere di Autorizzazione al trattamento (artt. 28 e 29)
Qualsiasi Soggetto che tratta dati, sia all’interno che all’esterno dell’Azienda, deve essere debitamente autorizzato al trattamento, secondo le previsioni del Regolamento Privacy. Occorre quindi formulare le Lettere di Autorizzazione e di Nomina, sia per i Lavoratori interni che verso tutti i Responsabili esterni (Commercialista, Consulente Lavoro, Medico Competente, Consulente Sicurezza Lavoro, Avvocato, Consulenti professionali, Partner esterni, Manutentori web/hardware, ecc).
3 – Elaborazione del Registro dei Trattamenti di dati personali (art. 30)
Occorre elaborare e tenere aggiornato uno specifico Registro contenente la sistematica descrizione dei trattamenti svolti, in relazione alle finalità perseguite, ed ai dati trattati, indispensabile in sede di eventuale Ispezione o richieste da parte dell’Autorità (è la base di partenza per l’Accountability).
4 – Elaborazione del Registro delle Violazioni di dati personali (Data Breach art. 33)
Il Regolamento prevede la predisposizione e la tenuta di un apposito Registro nel quale annotare gli eventuali eventi di Violazione di dati personali, ai fini di documentare tali eventi in occasione di possibili Ispezioni o richieste da parte dell’Autorità.
5 – Elaborazione del Registro delle richieste di esercizio dei diritti degli Interessati (artt da 15 a 22)
Il Regolamento prevede la predisposizione di Procedure aziendali per la corretta gestione delle richieste di esercizio dei diritti degli Interessati, con l’adozione di uno specifico Registro nel quale annotare le richieste pervenute e la relativa gestione, ai fini di documentare tali eventi in occasione di possibili reclami, Ispezioni o richieste da parte dell’Autorità.
6 – Elaborazione ed implementazione delle Procedure necessarie e del MOP (Manuale Organizzativo Privacy)
Il Regolamento prevede, espressamente od in via desuntiva, l’elaborazione di una serie di idonee Procedure tese, da un lato a garantire il rispetto dei diritti degli Interessati, dall’altro a dimostrare l’adozione delle idonee Misure di Sicurezza per i dati ed i trattamenti, infine per garantire la tempestiva effettuazione di una serie di Adempimenti. Tutte le Procedure, l’Organigramma e le Lettere di Nomina vengono raccolte nel Manuale Organizzativo Privacy, necessario per documentare le scelte aziendali e la documentazione predisposta a tal fine.
7 – Formazione dei Soggetti Autorizzati sulle disposizioni e Procedure (artt. 5 e 29)
Adeguate le Procedure organizzative ed elaborata l’idonea documentazione, la fonte di Rischio residuale risiede nel comportamento degli Operatori, per tale motivo la Formazione è tra le Misure di Sicurezza obbligatorie e basilari individuate dal Regolamento. Il Piano Formativo può essere articolato su diversi livelli e/o sessioni, al fine di trasferire adeguatamente le competenze necessarie alle diverse mansioni.
Adempimenti specifici aggiuntivi (obbligatori in alcuni casi)
1 – Elaborazione della Valutazione di Impatto sulla Protezione dei dati personali (artt. 35 e 36)
Prima di cominciare un trattamento di dati personali, il Regolamento prevede in alcuni casi specifici (trattamenti di dati, anche di categoria particolare su larga scala, trattamenti che possono arrecare un danno grave agli Interessati vulnerabili, ecc) l’elaborazione di una Valutazione di Impatto Privacy, uno specifico documento nel quale vanno individuati i Rischi (effettivi e/o potenziali) per i diritti e le libertà degli Interessati, derivanti dal trattamento.
2 – Procedure e documentazione di Conformità per Impianti di Videosorveglianza (ove presenti)
Qualora sia presente un Impianto di Videosorveglianza vanno adottate specifiche Procedure e documentazione per rendere lecito e conforme alla normativa il trattamento di Videosorveglianza, altrimenti le immagini sono acquisite illecitamente, quindi non utilizzabili, inoltre si è soggetti a sanzione.
3 – Procedure e documentazione di Conformità per Impianti di Geolocalizzazione (ove presenti)
Qualora siano presenti Impianti di Geolocalizzazione (ad es. GPS sulle auto) vanno adottate specifiche Procedure e documentazione per rendere lecito e conforme alla normativa il trattamento di localizzazione, altrimenti i dati rilevati sono acquisiti illecitamente, quindi non utilizzabili, inoltre si è soggetti a sanzione.
4 – Richiesta di Autorizzazione dell’Ispettorato del Lavoro (ove necessaria)
Qualora si utilizzi un Impianto di Videosorveglianza o di Geolocalizzazione in presenza di Lavoratori va presentata una richiesta di Autorizzazione specifica all’Ispettorato del Lavoro, corredata di alcuni documenti che rendano lecito e quindi autorizzabile il trattamento dei dati dei Lavoratori, altrimenti i dati sono acquisiti illecitamente, quindi non utilizzabili, inoltre si è soggetti a sanzione.
5 – Nomina come Responsabile della Protezione dei dati personali (RPD/DPO) – (Artt. 37 e 38)
Il Regolamento prevede, in determinate ipotesi da vagliare attentamente, l’obbligo di designare e nominare il Responsabile per la Protezione dei Dati (RPD), figura strettamente tecnico-giuridica che andrà ad assolvere ai compiti ed alle mansioni specificatamente delineati dal Regolamento stesso. Occorre quindi verificare se, per l’attività esercitata o per l’effettuazione di trattamenti a rischio, la Nomina sia obbligatoria. E’ pur vero che l’EDPB (Garanti europei) nelle Linee Guida WP243Rev.01 afferma che “anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria”, per avere quel supporto costante che garantisca la piena conformità nel tempo alla normativa.
6 – Aggiornamento costante (annuale o su necessità) di tutta la documentazione elaborata e delle Procedure adottate.