Il regolamento UE 2016/679 (25/05/2018) stabilisce precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea.
Il consenso ad un certo trattamento, che fino ad oggi poteva essere tacito, diventa obbligatoriamente esplicito ed il cittadino potrà verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.
Per le aziende e i professionisti cambia la visione generale che passa da una mera raccolta dei dati privacy ad una vera e propria verifica continua sull’adeguata applicazione del Regolamento.
La SCF dovrà garantire il trattamento dei dati in base ai principi fissati dal Regolamento Europeo.
L’oggetto della norma è qualsiasi attività di gestione del dato su qualsiasi supporto, anche con processi automatizzati (la sua raccolta, conservazione, modifica, consultazione, comunicazione, cancellazione).
La SCF dovrà decidere le modalità del trattamento dei dati dei propri clienti attraverso una valutazione d’impatto che tenga conto dei rischi noti e delle misure necessarie per mitigare tali rischi.
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento:
– Liceità, correttezza e trasparenza nei confronti dell’interessato;
– Limitazione della finalità del trattamento, anche per eventuali trattamenti successivi;
– Minimizzazione dei dati: i dati devono essere adeguati pertinenti e limitati a quanto necessario;
– Esattezza (con eventuale aggiornamento) dei dati, e cancellazione dei dati inesatti;
– Limitazione della conservazione: è necessario provvedere alla conservazione per un tempo necessario;
– Integrità e riservatezza: garantire la sicurezza adeguata dei dati personali.
La SCF deve essere sempre in grado di dimostrare che l’interessato ha prestato il proprio consenso.
La richiesta di consenso è prestata con apposita informativa fornita alla firma del contratto e dovrà contenere i dati del titolare, le finalità, il periodo di conservazione, se i dati vengono comunicati a terzi, se vengono trattati dati sensibili, le modalità di trattamento e i diritti dell’interessato.
Il rischio è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati che saranno analizzati con un processo di valutazione (Analisi dei rischi) che il consulente dovrà fare, tenendo conto dei rischi noti e delle misure che si ritiene di adottare per mitigare tali rischi. La SCF dovrà consegnare ai clienti un’informativa trasparente e comprensibile. Per quanto riguarda il minore con meno di 16 anni, tale trattamento è lecito se è prestato o autorizzato dai genitori. I clienti possono presentare un reclamo all’autorità di controllo.
La SCF dovrà designare i propri fornitori come responsabili esterni del trattamento dei dati; dovranno, dunque, sottoscrivere un accordo dove il fornitore si impegna a trattare i dati esclusivamente nell’ambito del contratto di fornitura.
La SCF dovrà redigere il registro il cui contenuto è previsto dal Garante per la Privacy e inserire nel proprio sito web la Privacy Policy.
Viene previsto per la prima volta il diritto alla portabilità dei dati. I titolari del trattamento dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore, ma la notifica dell’avvenuta violazione è subordinata alla valutazione del rischio per gli interessati che spetta al titolare (quindi non obbligatoria).
Le sanzioni sono fino al 4% del fatturato o a 20 ml di euro.
È consigliabile, non obbligatorio, che consulenti e SCF più strutturati nominino un DPO (Responsabile Protezione dati personali) che dovrà verificare l’applicazione del Regolamento.