Dal 25 maggio 2018 in tutti gli Stati membri dell’Unione Europea è entrato in vigore il GDPR – General Data Protection Regulation, il Regolamento UE 2016/679 sul trattamento e la protezione dei dati personali.
Trattandosi di un Regolamento e non di una Direttiva, la normativa sarà applicabile senza dover attendere l’emanazione dei decreti legislativi nazionali di raccordo. Nell’attesa che questi vengano pubblicati, completando così il quadro normativo a livello nazionale, ricordiamo che anche i professionisti hanno l’obbligo di uniformarsi al GDPR, il quale prevede sanzioni anche pecuniarie per i contravventori.
Senza alcuna pretesa di esaustività, qui di seguito si riepilogano gli adempimenti più immediati:
– aggiornamento dell’informativa privacy del sito web e della modulistica consegnata ai committenti, ai fornitori, ecc… (artt. 13 e ss.);
– nomina del Responsabile della Protezione dei Dati (RPD) ove necessario: dal punto di vista soggettivo il singolo professionista non è tenuto a nominare un RPD, salvo che non tratti i “dati particolari” su larga scala rientrando nelle previsioni dell’art. 37, co. 1, lett. c) del GDPR: “Le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (ex dati c.d. “sensibili” ora “dati particolari”) o di dati relativi a condanne penali e a reati di cui all’articolo 10”;
– istituzione del registro delle attività in cui vanno descritti i trattamenti effettuati e le procedure per la sicurezza adottate. Anche in questo caso l’art. 30, co. 5 del GDPR chiarisce che “gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. Per completezza di informazione si rende noto che il Garante della Privacy consiglia, comunque, l’istituzione e l’aggiornamento del Registro in quanto strumento assai utile per la diagnosi e valutazione dei dati trattati dall’organizzazione;
– notifica entro 72 ore alle autorità in caso di violazione dei dati personali, predisponendo quanto necessario per le notifiche al Garante (art. 33 del GDPR);
– verifica affinché:
1. le modalità di gestione interna del trattamento dei dati siano in armonia con la nuova normativa, anche per quanto riguarda i ruoli e la formazione del personale in materia di privacy;
2. si accerti che i sistemi informatici in uso rispettino i principi di protezione dei dati e in caso contrario provvedere all’adeguamento;
3. siano formalizzati e/o rinnovati rapporti contrattuali con eventuali responsabili del trattamento dati (sia interni che esterni);
4. siano previste nuove e specifiche autorizzazioni per i soggetti che trattano i dati;
5. sia correttamente valutata la necessità di procedere con la Valutazione di Impatto Privacy (DPIA) ai sensi dell’art. 35 del GDPR.
