Gdpr al via, per aziende necessario tenere registro e aggiornare informative
27/05/2018
È scattata l'ora X per il nuovo regolamento Ue relativo alla privacy, che sancisce il passaggio da un sistema basato su «un elenco tassativo e completo di misure da realizzare in tema privacy», all'introduzione del principio di responsabilizzazione, vale dire «l'obbligo per titolari e responsabili di realizzare le misure tecniche e organizzative adeguate per garantire - ed eventualmente dimostrare - che il trattamento è conforme al regolamento, anche sulla base di una valutazione dei rischi dei dati trattati». Il Gdpr non necessita di alcun atto di recepimento ma va detto che lo Schema di decreto legislativo sulle disposizioni per l'adeguamento della normativa nazionale al regolamento, non ha concluso il suo iter nel tempo indicato (21 maggio) e la Commissione speciale della Camera ne ha posticipato la scadenza di tre mesi (21 agosto). Nell'incertezza del momento e nell'attesa che si faccia chiarezza sul periodo transitorio, facciamo il punto su quelli che sono i principali contenuti del Regolamento e riprendiamo la circolare che da Federfarma Servizi, già a marzo, era stata diffusa per focalizzare alcuni «elementi utili per la valutazione della questione all'interno delle Aziende associate». Un primo consiglio che emerge è quello di «verificare con il Consulente Privacy di fiducia quale tipologia di trattamento dati personali viene effettuato, così da capire se è necessario designare il Responsabile della protezione dei dati (Dpo - Data protection officer) e se occorre redigere il documento di Valutazione di impatto sulla protezione dei dati (Dpia - Data protection impact assessment)». Occorre ricordare che «come imprese che trattano dati sanitari è obbligatorio detenere, in forma scritta e anche in formato elettronico, un registro delle attività di trattamento dei dati personali svolte sotto la responsabilità della società (art 30, paragrafo 5). Tale registro deve essere messo a disposizione delle autorità di controllo su richiesta e prevede un contenuto minimo obbligatorio».
Tra i punti sottolineati, c'è anche quello della delega dell'effettuazione di un trattamento o parte di esso a «un soggetto esterno per l'esercizio di alcune funzioni, come nel caso del commercialista per le fatture o il consulente del lavoro per le buste paga dei dipendenti: in questo caso, il soggetto in questione andrà designato obbligatoriamente responsabile del trattamento tramite un contratto (o altro atto giuridico conforme al diritto nazionale) che deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell'art. 28. Il Gdpr consente la nomina anche di sub-responsabili del trattamento da parte di un responsabile (art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario».
Per quanto riguarda le misure di sicurezza, «con il nuovo Gdpr non esiste più un elenco tassativo di misure minime di sicurezza in quanto ogni titolare del trattamento dovrà scegliere e adottare misure organizzative e tecniche adeguate per garantire un livello di sicurezza adeguate al rischio». È importante pertanto che «l'Azienda effettui un'idonea valutazione dei rischi così da poter motivare le scelte effettuate per ridurre il rischio di violazione del dato e renderlo accettabile». Infine, va ricordato che «il Gdpr introduce l'obbligo di notificare all'autorità di controllo (Garante privacy) i casi di violazione dei dati personali che presentano un rischio per i diritti e le libertà degli interessati. Tra questi vi sono i dati sanitari o i dati raccolti per effettuare una profilazione, per finalità di marketing». E per quanto riguarda il consenso da parte dell'interessato, da Federfarma Servizi viene segnalato che «le informative esistenti dovranno essere aggiornate in base ai nuovi contenuti previsti dal Gdpr indicando la base giuridica del trattamento, se si trasferiscono i dati verso paesi terzi, il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo (artt. 12,13,14). In caso di profilazione, l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato».
