Nuovi obblighi ed adempimenti privacy a carico di studi professionali. Come districarsi?

L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali, ha creato non pochi dubbi e perplessità nel professionista/tecnico che si accinge a mettere in regola il proprio studio professionale. 

Se inizialmente le prime notizie trapelate facevano temere la necessità di ripristinare vecchi documenti quali il DPS e l’analisi dei rischi, una più attenta lettura della normativa europea ha portato a conclusioni ben diverse. 

Due sono le tipologie di adempimento che chi tratta dati personali di terzi deve rispettare: la corretta informazione dell’interessato al trattamento e la protezione dei dati personali da quest’ultimo forniti.

Quanto alle norme che regolano la corretta informazione dell’interessato, il Regolamento Europeo ha chiarito che, seppur il consenso finalizzato all’esecuzione dell’incarico conferito/contratto stipulato sia intrinseco al conferimento /stipula dello stesso, resta comunque necessario fornire una completa ed esauriente informativa al soggetto interessato, chiarendogli, ex art.13 e 14 del Regolamento, tutti i suoi diritti, potenziati dalla nuova normativa, e le sue facoltà, nonché le finalità per cui il trattamento è necessario. 

Nuovi obblighi di Informativa nonché di consenso per operazioni di Marketing

Il professionista/tecnico dunque, all’atto del conferimento dell’incarico professionale dovrà mettere a disposizione del cliente una informativa completa ed aggiornata secondo le specifiche imposte dal Regolamento europeo. 

Discorso diverso qualora il titolare del trattamento volesse utilizzare i dati raccolti per finalità ulteriori rispetto all’esecuzione del contratto stipulato tra le parti o l’adempimento di specifici obblighi di legge: in tal caso dovrà premurarsi non solo di fornire al cliente una informativa esauriente e completa, bensì di acquisirne anche il consenso espresso e informato. Ciò è particolarmente importante per le operazioni di marketing sulla clientela acquisita (così detto “soft spam”) ed è indispensabile per il marketing presso clienti potenziali (così detti “leads”) sia tramite email che ogni altro mezzo di comunicazione.

Gli adempimenti però non finiscono qui: il professionista infatti dovrà porre in essere, all’interno del suo studio, tutti gli accorgimenti necessari per proteggere i dati personali di tutte le persone fisiche gestite, clienti e non.  E su questo secondo tipo di obbligo si è sentito dire di tutto: da chi paventa un obbligo esteso a tutti di predisposizione dei registri del trattamento a chi sostiene un obbligo di nomina del DPO (Data Protection Officer) a chi, infine, riesuma vecchi documenti come il DPS, creando ulteriore ed inutile confusione.

Il principio di  “Accountability”

In realtà, per districarsi nelle specifiche della nuova normativa è essenziale partire dal presupposto che la nuova normativa ha, di fatto, modificato radicalmente l’approccio adottato finora per la regolamentazione della materia, introducendo in modo espresso nel sistema legislativo di settore principi prima estranei al nostro ordinamento di chiara matrice anglosassone attribuendo, tra questi, un ruolo prioritario a quello così detto di “accountability” del titolare e del responsabile del trattamento, ovverosia la loro responsabilizzazione.

In sostanza, invece di imporre adempimenti specifici al titolare/responsabile del trattamento la normativa preferisce dare un obiettivo, quello di proteggere i dati personali del cliente, lasciando al titolare/responsabile la responsabilità di porre in essere tutte le misure necessarie, misure che verranno verificate dall’autorità competente in caso di “data breach” (ad es. perdite, manomissione dei dati ed altre violazioni) o specifiche denunce da parte del cliente. 

I registri del trattamento sono sempre necessari?

In quest’ottica dunque, pur non essendovi per il professionista l’obbligo di porre in essere i registri del trattamento, la loro tenuta, integrati anche con una analisi dei rischi a cui i dati del singolo trattamento sono soggetti, può essere prova del corretto adempimento alle norme da parte del Titolare e la sua miglior difesa in caso di controlli da parte del Garante. Anzi, proprio in questa ottica di responsabilizzazione il Garante ha espressamente consigliato l’adozione di un apposito “registro del trattamento” da parte di ogni Titolare nel caso di trattamento dei dati personali relativi ai dipendenti con contratti di lavoro subordinati. 

I registri del trattamento, corredati dall’analisi dei rischi (non obbligatori per il tecnico ma senza dubbio consigliati), insieme con la nomina a responsabile del trattamento dei soggetti terzi che, per svolgere specifici adempimenti richiesti dalla legge, vengono in contatto con i dati personali dei propri clienti e la corretta informazione e acquisizione del consenso, se necessario, da parte dei propri clienti, sono i capisaldi per dimostrare la propria responsabilizzazione e quindi il corretto adempimento degli obblighi del Regolamento.

Assistenza e supporto 

Per assistere il professionista, proprio per la sua “responsabilizzazione” sia quando agisce come titolare del trattamento che quando invece viene nominato “responsabile del trattamento” da altro soggetto economico, la software house Geo Network srl, già nota per la sua expertise ventennale in materia, ha realizzato la nuova versione del suo software per la gestione della privacy, Expert Privacy che, in maniera lineare, guidata e veloce permette, sia al professionista che alla piccola media impresa, di mettersi pienamente in regola con gli adempimenti previsti dal Regolamento EU n. 679/2016, potendo quindi dimostrare, a chi di dovere, di essersi adoperato per proteggere i dati personali trattati, in conformità all’altro principio cardine del Regolamento EU, così detto “privacy by design”.

Il software è in offerta a soli € 99,00 più IVA (ivi compresa assistenza tecnica gratuita) fino al 30 Giugno 2018. 

Geo Network organizza inoltre corsi di formazione “ad hoc” presso ordini professionali ed aziende con docenti esperti, certificati nel settore privacy. Il prossimo corso pratico di 4 ore (accreditato 4 CFP dal Consiglio Nazionale Geometri,) e svolto in diretta su internet (webinar) è previsto per Lunedì 18 e Martedì 19 Giugno p.v. dalle ore 14:00 alle ore 16:00 rispettivamente, al prezzo di € 40,00 + IVA per partecipante. Per informazioni: tel. 0187. 622198 oppure clicca sul seguente link  https://www.geonetwork.it/formazione/corso_di_formazione_pratico_sulla_privacy

Per maggiori informazioni: www.geonetwork.it.