È ormai scaduto a maggio 2019 il termine di tolleranza previsto dal Decreto Legislativo n.101/2018 che ha adeguato il Codice in materia di Protezione dei Dati Personali – D.Lgs n.196/2003 – alle nuove disposizioni del Regolamento UE 679/2016.
In pratica a partire da giugno 2019 il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR per l’inosservanza al corretto trattamento dei dati. Non esistono eccezioni per le imprese e le possibili sanzioni per gli inadempienti risultano assai pesanti sia sotto il profilo amministrativo sia da un punto di vista penale.
Dall’entrata in vigore a livello nazionale della nuova normativa in materia di trattamento dati personali sono due le domande preliminari a cui occorre dare risposte precise:
- Chi è tenuto ad adeguarsi alla nuova normativa GDPR?
- Quali sono i dati e le informazioni considerate come “personali” dalla Legge?
Vediamo, dunque, di fornire risposte ai due interrogativi.
Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link
Mettiti in regola
SCADENZA GDPR/PRIVACY 2019: CHI E’ TENUTO AD ADEGUARSI?
La nuova normativa Privacy/GDPR è rivolta a tutti quei soggetti che, in relazione all’attività esercitata (professionale o imprenditoriale che sia), trattano dati personali di clienti, fornitori, cittadini privati, dipendenti, utenti online, pazienti, soci, associati.
In particolare, gli adempimenti privacy riguardano
- Tutte le aziende indistintamente (società di capitali, società di persone, ditte individuali);
- Tutti i liberi professionisti
- Tutti gli enti statali/pubbliche amministrazioni
- Tutte le associazioni
- Tutte le cooperative
In buona sostanza tutti i titolari di partita iva devono adeguarsi agli obblighi imposti dalla nuova normativa in materia di dati personali.
SCADENZA GDPR/PRIVACY 2019: QUALI DATI SONO “PERSONALI”?
Affinché uno dei soggetti di cui sopra – azienda, libero professionista, ente pubblico, associazione o cooperativa – sia obbligato ad adeguarsi alla nuova normativa privacy deve trattare dati personali.
L’art. 4 del Regolamento UE 679/2016 definisce chiaramente sia il termine “dato personale” sia l’espressione “trattamento dati”. In particolare,
- «DATO PERSONALE»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
- «TRATTAMENTO»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
A titolo puramente esemplificativo, si considerano dati personali:
- Il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita IVA, dati bancari e assicurativi,
- Dati inerenti il nucleo familiare,
- Dati relativi alla professione esercitata,
- Fotografie, video, registrazioni audio;
- Dati relativi al reddito, al profilo creditizio;
- Dati inerenti lo stato di salute del soggetto, la vita sessuale, l’opinione politica.
Quando di parla di trattamento dati, senza voler effettuare in questa sede un elenco infinito di attività e categorie rientranti, basti pensare, ad esempio, al soggetto che emette la propria fattura di vendita al proprio cliente (per vendita di beni o prestazioni di servizi non fa differenza): questa operazione già di per sé configura da un punto di vista giuridico un esempio di trattamento dati personali che impone al titolare di partita IVA di adeguarsi agli obblighi previsti dalla normativa privacy/GDPR.
| TUTTE le imprese, professionisti, enti PA, associazioni e cooperative |
emettono o ricevono almeno una fattura all’anno |
TUTTI questi SOGGETTI sono OBBLIGATI ad adeguarsi alla nuova normativa PRIVACY/GDPR |
|---|
È importante sottolineare che l’applicazione del regolamento UE 679/2016 prevede una serie di adempimenti la cui complessità varia in funzione
- della struttura organizzativa dell’azienda (dipendenti, collaboratori, compagine societaria, professionisti esterni, ecc.);
- della tipologia di dati personali trattati (dati comuni, dati anagrafici, dati sensibili o particolari);
- del numero di figure privacy coinvolte nel trattamento (numero responsabili del trattamento dati interni, numero responsabili del trattamento dati esterni, numero soggetti incaricati al trattamento, ecc.);
- del numero di asset coinvolti nel trattamento dati (beni materiali, immateriali, tecnologici o informatici).
Se non sei ancora in regola con la normativa GDPR puoi consultare le informazioni contenute al seguente link
Mettiti in regola
