Introduzione
Con il nuovo anno inauguriamo una rubrica, intitolata “L’avvocato risponde”. Grazie alla collaborazione con l’avvocato Stefania Perillo approfondiremo, da un punto di vista più strettamente giuridico, una serie di argomenti di interesse per chi opera in ambito manutenzione, dai tecnici fino al management, e non solo.
I protagonisti sarete voi lettori: se avete infatti dei particolari dubbi sul tema trattato o voleste approfondire un particolare argomento (dal recupero credito alla contrattualistica, dai contratti di manutenzione al risk management, dallo Smart Working alle normative di sicurezza), non esitate a contattarci inviandoci una mail a: manutenzione@manutenzione-online.com. L’avvocato Perillo risponderà alle vostre domande sui prossimi numeri della rubrica. Buona lettura!
Alessandro Ariu
In questi ultimi tempi si sente parlare sempre più spesso di GDPR e della relativa entrata in vigore già dallo scorso mese di Maggio.
Nonostante si sia tanto parlato - ed ancor oggi si parli - del GDPR, ho potuto constatare come ancora molti Titolari di società, quali soggetti direttamente interessati dalla normativa, non abbiano recepito in modo compiuto la reale portata e le dirette conseguenze in capo al Titolare, derivanti dal mancato adeguamento al GDPR.
Di seguito pertanto, proviamo a rispondere alle domande più frequenti che vengono poste allo Studio Legale.
Che cos’è il GDPR?
GDPR è acronimo di General Data Protection Regulation e indica il Regolamento (EU) 679/16, al quale tutti i Paesi Europei si sarebbero dovuti adeguare entro il 25 maggio 2018.
Il regolamento è un atto legislativo dell’Unione Europea, che si caratterizza per la sua diretta applicabilità in tutti i paesi membri, senza la necessità dell’intervento di un atto legislativo interno di ciascun Paese membro che lo recepisca.
Il regolamento diventa subito legge.
In Italia, se parliamo di GDPR non possiamo tralasciare l’esistenza del già noto Codice Privacy (D.Lgs. 196/2003) il quale è oggi ancora in vigore, seppur con qualche modifica apportata di recente dal Legislatore Italiano per renderlo ancora più in linea con le disposizioni del GDPR.
Il GDPR e il Codice Privacy hanno come obiettivo quello di: tutelare i dati personali e particolari delle persone fisiche, regolandone le modalità di trattamento e di circolazione.
Cosa comporta il GDPR?
Le maggiori novità introdotte dal regolamento sono le seguenti:
- Il diritto dell’interessato alla «portabilità» dei dati: la persona fisica (c.d Interessato) ha diritto di poter scaricare e trasferire i propri dati, precedentemente comunicati a terzi, ogni qualvolta lo ritenga opportuno e senza vincoli.
I dati devono essere forniti all’Interessato senza ingiustificato ritardo.
Art. 20 GDPR: «L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti».
Questa norma sancisce il diritto delle persone fisiche, di poter trasferire i dati da una piattaforma digitale all’altra e quindi cambiare fornitore più facilmente e senza vincoli, con ciò permettendo la libera circolazione dei dati e stimolando l’economia digitale.
Viene pertanto promossa la concorrenza tra le aziende perché l’interessato può facilmente spostare un contratto di servizi ad altro gestore senza dover fornire nuovamente tutti i suoi dati, ma semplicemente chiedendo al vecchio gestore di traghettarli al nuovo fornitore.
- Il diritto dell’interessato all’oblio: gli interessati possono chiedere in qualsiasi momento la rimozione dei dati che li riguardano e delle informazioni prestate.
- In materia di Consenso e Informativa: viene enfatizzato maggiormente il concetto e la necessità di Formare chi gestisce i dati personali e informare l’interessato su quali siano i Suoi diritti.
In particolare il Titolare del Trattamento deve informare l’interessato su quali siano le modalità e tempistiche di gestione del dato personale comunicato. Il Titolare, laddove necessario, dovrà pertanto acquisire il consenso dall’interessato, esplicitando quali siano le finalità per le quali vengono raccolti i dati personali.
- Vengono definiti i limiti e le cautele in caso di trattamento automatizzato dei dati personali e profilazione degli stessi.
- Vengono fissate a carico del Titolare del Trattamento dei Dati Personali (spesso il Titolare o il Legale Rappresentante dell’azienda), specifiche procedure da rispettare in caso di violazione dei dati personali (data breach).
In particolare il Titolare - qualora il dato personale venisse distrutto, perso, o anche solo modificato o divulgato senza il consenso dell’Interessato - dovrà darne comunicazione all’Autorità Garante della Privacy entro 72 ore dalla notizia del data breach.
Quali sono i vantaggi e gli obblighi della sua applicazione?
Ringrazio per la domanda così formulata, in quanto spesso il GDPR viene percepito come un ostacolo alla propria attività lavorativa, ma personalmente ritengo che si tratti di un vero e proprio vantaggio per le aziende, di un’opportunità.
Infatti, tutte le aziende inevitabilmente trattano dati personali, spesso mediante profilazione o comunque modalità di controllo, a volte, sottovalutate.
La compliance al GDPR permette al Titolare di ripercorrere l’intera organizzazione della propria azienda, sia dal lato della contrattualistica sia dal lato informatico, con ciò permettendo di rivedere e aggiornare come attualmente l’azienda regoli i rapporti non solo con i Clienti, ma anche con i Fornitori e i Dipendenti.
I principali obblighi sono:
- adeguare la parte documentale in termini di “consenso informato”, modificando o creando ex novo - dove necessario – le informative e i consensi da far leggere, comprendere e sottoscrivere all’ interessato (cliente / fornitore / dipendente) sempre in relazione alla comunicazione delle modalità di trattamento del dato.
In base alla mia esperienza nel campo, sono fermamente convinta che si tratti di una buona opportunità per rivedere e aggiornare tutta la parte contrattuale.
- Nominare ove necessario i Responsabili del Trattamento dei dati personali o gli Incaricati, che sono coloro (persone giuridiche o fisiche) che trattano i dati personali per conto del Titolare del trattamento (che ricordo essere il Titolare o il Legale Rappresentante dell’azienda).
- Istituire di un registro delle attività del Trattamento dei dati personali.
- Avviare la formazione dei propri Dipendenti e Collaboratori in tema di GDPR e Privacy.
Quali sono le sanzioni per il Titolare in caso di mancato adeguamento dell’azienda?
Le sanzioni amministrative, a seconda della gravità dell’infrazione, variano con multe fino a 100 milioni di euro o fino al 4% del fatturato mondiale annuo del titolare del trattamento.
Quali sono le principali linee guida da seguire e mettere in pratica per adeguarsi?
Il GDPR insiste molto sul principio dell’Accountability di ciascun Titolare del Trattamento. Accountability intesa come l’affidabilità e la competenza aziendale nella gestione dei dati personali.
In virtù del detto principio il GDPR dispone che il titolare del trattamento debba porre in atto tutte quelle misure necessarie per garantire e poter dimostrare di aver attivato tutte le misure necessarie a tutelare i diritti delle persone fisiche e il corretto trattamento dei dati conosciuti.
Avv. Stefania Perillo, Business Lawyer, Studio Legale Volpicelli-Perillo
