È ormai pienamente in vigore il nuovo Regolamento UE 2016/679 che ha introdotto nuove regole, adempimenti e sanzioni relativamente alla Data Protection.
La nuova gestione privacy interessa anche i liberi professionisti?
Certo! Anche chi esercita attività di natura libero-professionale è tenuto ad adeguarsi pur operando singolarmente o in piccoli studi.
Quali sono gli adeguamenti per essere compliance al GDPR?
Acquisizione dei dati personali dei propri clienti
Il primo step è quello di verificare che l’acquisizione dei dati personali dei propri clienti rispetti i principi di liceità, correttezza e trasparenza sanciti dall’art. 6 dal GDPR.
Per essere in regola i professionisti devono acquisire solo i dati strettamente necessari e pertinenti in funzione del servizio richiesto dal cliente.
I dati personali degli interessati potranno essere conservati solo per il periodo strettamente necessario al loro utilizzo o eventualmente per ulteriore tempo previsto dalle normative specifiche in materia. Per gli avvocati, ad esempio, l’obbligo di conservazione è di 5 anni.
Individuazione delle figure da nominare
Un caso piuttosto comune è quello relativo ad uno studio professionale composto dal singolo professionista e dai suoi collaboratori.
Oltre alla figura del titolare, in questo caso occorre procedere esclusivamente alla nomina delle persone autorizzate al trattamento dei dati.
Se il titolare ha contratti di servizio con figure esterne quali commercialista o consulente del lavoro, occorre procedere con le nomine dei responsabili esterni del trattamento dati.
Aggiornamento dell’informativa privacy
L’aspetto che maggiormente preoccupa i professionisti è la redazione dell’informativa privacy secondo i nuovi principi.
La maggior parte delle informative precedentemente consegnate a clienti, dipendenti e fornitori non sono conformi a quanto stabilito dagli artt. 13 e 14 del Regolamento, in particolare per quanto concerne la richiesta del consenso esplicito degli interessati.
In funzione delle specifiche finalità (proposte commerciali, invio newsletter, attività di profilazioneSi definisce profilazione qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.) possono essere svolte solo mediante consenso esplicito dell’interessato.
La richiesta del consenso non è, però, il solo aspetto da prendere in considerazione.
Una informativa corretta deve contenere:
- Dati del titolare e del DPOData Protection Officer Figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679, è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. Viene designato obbligatoriamente quando: • un trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni); • i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; • quando il trattamento riguarda, su larga scala, dati... (se nominato)
- Basi giuridiche del trattamento
- Finalità
- Categorie di interessati
- Categorie di dati trattati
- Categorie di destinatari
- Eventuale trasferimento presso Paesi terzi
- Termini di cancellazione
- Diritti dell’interessato
Nomina e comunicazione al garante del responsabile protezione dati
Un altro aspetto problematico è rappresentato dalla obbligatorietà o meno della nomina di un Responsabile della protezione dati.
Il Garante ha fornito un elenco di soggetti espressamente esonerati da tale obbligo tra cui i professionisti che esercitano l’attività in proprio, le imprese individuali e familiari, gli agenti nonché i rappresentanti e mediatori.
Quali gli strumenti informatici a disposizione?
Blumatica, grazie all’esperienza ventennale in materia, ha sviluppato un’applicazione completamente web che consente di gestire la Data Protection per qualunque tipologia di organizzazione. Blumatica GDPR è il software certificato* che permette di:
- individuare i dati della tua organizzazione ed i soggetti da nominare
- ottenere il registro dei trattamenti conforme alla tua attività
- effettuare l’analisi dei rischi e l’eventuale valutazione di impatto sulla protezione dati (DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.)
- generare in automatico le informative ed i consensi in base ai trattamenti che effettui
* Il software è risultato conforme ai requisiti del Regolamento UE 2016/679 mediante processo di certificazione da parte di Ente terzo.
Responsabile Ricerca e Sviluppo Area Sicurezza
silvio puccioni
23 Gennaio 2020 at 17:46
Buonasera , possiedo uno studio e cedo in coworking stanze ad altri professionisti , ma poichè emetto
solamente fatture a nome del professionista che utilizza la stanza (con copia di cortesia ) sono tenuto al registro dati per la privacy ed a nominare un responsabile dati ??
Grazie per la collaborazione
Rag. Silvio Puccioni
Ufficio Stampa Blumatica
24 Gennaio 2020 at 10:52
Salve,
gestendo uno studio professionale, con un’attività che presuppone il trattamento di dati personali dei propri clienti, sarà necessario analizzare le proprie attività di trattamento dati e censirle in apposito registro dei trattamenti, individuando anche quali sono le strutture di archiviazione utilizzate (elettroniche e/o cartacee).
Per i servizi che offre ai suoi clienti, sarà necessario consegnare l’informativa ed eventualmente richiedere i consensi (se vi è presenza di attività di profilazione o comunque di altri trattamenti per cui è necessario il consenso).
La nomina di responsabili del trattamento, per gli altri professionisti presenti nel suo studio, sarà necessaria solo se gli stessi intervengono nel trattamento dei dati dei suoi clienti.
Nel caso, invece, utilizzano solo le stanze in coworking senza aver direttamente accesso ai dati dei suoi clienti, non è necessario procedere alla nomina specifica, ma occorre prevedere delle misure di sicurezza adeguate per la protezione dei dati da lei archiviati (ad esempio chiusura a chiave della stanza, degli armadi, password ai pc, ecc).