Iniziamo la pubblicazione di una serie di articoli di inquadramento generale del tema privacy: attendiamo alcuni provvedimenti per entrare nel dettaglio, verificare gli eventuali adattamenti previsti dal legislatore nazionale ed elaborare quindi la modulistica necessaria ad espletare gli adempimenti.
Alcune premesse.
Trattare dati personali implica dei rischi rispetto ai diritti e alle libertà delle persone: per questo motivo si rende necessario effettuare una valutazione che riguarda tutto il processo di trattamento dei dati, in ogni suo aspetto e da parte di qualsiasi soggetto, anche associativo, salvo che per il trattamento effettuato dalle persone fisiche nella loro sfera privata.
La valutazione del rischio riguarda prima di tutto gli aspetti organizzativi e poi gli aspetti tecnologici e deve garantire il rispetto dei principi di minimizzazione, adeguatezza e necessità dei trattamenti.
Queste esigenze erano anche alla base della precedente normativa: oggi cambiamo riferimento normativo ma gli adempimenti sono solo in parte nuovi mentre di sicuro impatto sono le disposizioni relative ai diritti di cui sono portatori gli interessati – ossia le persone i cui dati vengono trattati - e al nuovo regime sanzionatorio.
Si rende però necessario verificare se gli adempimenti già previsti in passato dal Codice della privacy (D. Lgs. 196/2003) e quindi, auspicabilmente, espletati – si pensi all’informativa, all’acquisizione del consenso al trattamento dei dati, al conferimento degli incarichi nel sistema privacy, alla formazione degli incaricati al trattamento dei dati – rispettino i requisiti previsti dalla nuova normativa o se sia necessario aggiornarli.
La normativa in materia di privacy tutela le persone fisiche e non i soggetti giuridici, a meno che questi non siano connessi ad informazioni di persone fisiche. Ne consegue che il trattamento dei dati di una associazione affiliata saranno in ogni caso da tutelare in quanto nell’atto di affiliazione sono contenuti i dati del relativo legale rappresentante.
La nuova disciplina comunitaria ed il Decreto legislativo italiano.
Il 25 maggio 2018 entra in vigore il Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (in seguito GDPR), adottato dal Parlamento europeo e dal Consiglio il 27 aprile 2016.
Si tratta di un sistema normativo flessibile e suscettibile di continui aggiornamenti: attendiamo un Decreto legislativo attuativo (da adottare entro il 21 maggio ed il cui testo è stato approvato in fase preliminare dal Consiglio dei Ministri il 21 marzo ma non ancora sottoposto al Parlamento ed al Garante), anche se il GDPR entrerà in vigore a prescindere dalla relativa adozione.
È prevista inoltre la definizione di linee guida[i], codici di condotta, certificazione del sistema privacy adottato oltre alle indicazioni che vorrà offrire il Garante della privacy nazionale.
Rispetto alla normativa previgente, il Regolamento non richiede la procedura di Notifica del trattamento all’Autorità garante (per le associazioni si tratta di un adempimento richiesto solo alle associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale quando trattano dati idonei a rivelare la vita sessuale o la sfera psichica) né l’Autorizzazione al trattamento da parte del Garante privacy (le associazioni non hanno necessariamente consapevolezza di questo adempimento in quanto il Garante approvava delle Autorizzazioni di carattere generale per le associazioni che pertanto non dovevano effettuare alcuna comunicazione). Il Legislatore italiano potrebbe però mantenere questi vincoli.
Si evidenzia inoltre che il Regolamento non entra in materia di privacy nelle comunicazioni elettroniche, tra cui la disciplina del marketing digitale e la gestione dei cookie: su questi aspetti interverrà un diverso Regolamento.
Arsea comunica n.36 del 2/5/2018
[i] per esempio, sul sito internet della Commissione europea, alla pagina
http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360, è possibile consultare gli ultimi documenti adottati tra cui le linee guida sulla prestazione del consenso al trattamento dei dati e di trasparenza nel trattamento dei dati
Lo staff di Arsea
Siete interessati ad avere maggiori informazioni sui nostri servizi?
Non esitate a contattarci.
I nostri uffici sono presenti a:
Bologna - Sede legale ed operativa
Via S. Maria Maggiore n.1
40121 Bologna
Tel. 051/238958
Fax 051/225203
Si accede anche da Via Riva di Reno n.75/3, terzo piano, ingresso UISP Comitato Regionale Emilia Romagna
Reggio Emilia - Sede decentrata
c/o UISP Comitato Reggio Emilia
Via Tamburini n.5
42100 Reggio Emilia (RE)
Tel. 0522/267207
Fax: 0522/332782
Si riceve su appuntamento.
Resta aggiornato sulle nostre novità
© 2016 Arsea s.r.l - via S.Maria Maggiore, 1 - 40121 Bologna - P.IVA 02223121209
