L’11 gennaio 2024 è stato promulgato il Data Act il quale diventerà pienamente vigente il 12 settembre 2025. Tale regolamento si applica sia ai dati personali sia a quelli non personali, comunque, in merito ai dati personali prevale il GDPR. Il Data Act ha lo scopo di liberare il potenziale dei dati industriali inutilizzati, favorendo l’accesso e la condivisione sicura; pertanto, le tecnologie di protezione della privacy appaiono come soluzioni fondamentali per bilanciare l’innovazione con la sicurezza dei dati utilizzando metodi per elaborare e condividere informazioni che consentano di minimizzare i rischi di violazione della privacy.
La normativa Privacy e di protezione dei dati personali è molto ampia e riguarda principalmente la sicurezza dei dati digitali, la videosorveglianza sul lavoro, il controllo dispositivi dei lavoratori, i dati sanitari.
Buon ascolto.
Podcast GBsoftware a cura del Dott.ssa Barreca
Ascolta “Ep.93 La Privacy 2024 per Studi ed Imprese” su Spreaker.
La privacy per gli Ordini professionali
In merito agli Ordini Professionali è stato pubblicato, dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, il documento: “Linee guida per l’adempimento degli obblighi privacy negli Ordini professionali”, elaborato dalla Commissione “Privacy Ordini professionali” e divulgato dal presidente del Consiglio nazionale con l’informativa 90/2024.
Il suddetto documento ha il fine di controllare gli Ordini territoriali in merito alla conformità alla disciplina in materia di protezione dei dati personali e fornire soluzioni specifiche a problematiche ricorrenti nella gestione degli adempimenti privacy, anche attraverso la modulistica appropriata.
La privacy per gli studi professionali
Con riferimento agli studi professionali, la normativa fondamentale da seguire da parte degli iscritti all’Ordine Dottori Commercialisti e degli Esperti Contabili è il GDPR – Regolamento generale sulla protezione dei dati (General Data Protection Regulation), Regolamento CE, Parlamento Europeo 27/04/2016 n° 679, in particolar modo occorre fornire rilevanza all’Articolo 13:
“Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
- In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
- a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
- c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
- In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
- a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- d) il diritto di proporre reclamo a un’autorità di controllo;
- e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
- Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
- I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.”
La privacy per i soggetti pubblici e per le imprese
Con il Regolamento europeo in materia di protezione dei dati personali (regolamento 2016/679, approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016) sono stati inseriti nuovi adempimenti relativamente alla sicurezza dei sistemi e dei dati a carico delle pubbliche amministrazioni e delle imprese.
In Italia l’obbligo di trasmissione delle violazioni di dati personali era già stato disciplinato con l’art. 32-bis del Codice in materia di protezione dei dati personali (introdotto dall’art. 1, c. 3, d.lgs. 28/05/2012, n. 69) che riguardava i fornitori di servizi di comunicazione elettronica accessibili al pubblico.
Successivamente, tale obbligo è stato esteso ai seguenti settori: sanitario, dati biometrici, con obbligo di comunicare all’Autorità, entro 24 ore dalla rilevazione, il verificarsi di violazioni dei dati o incidenti informatici.
Il regolamento europeo 679 del 2016 ha istituito anche la redazione, l’aggiornamento e la conservazione di un “registro del trattamento” da mantenere a disposizione dell’autorità di controllo. Il registro ha lo scopo di dimostrare la conformità dell’organizzazione alle norme del Regolamento Europeo. Un’ulteriore e importante novità è stata la nomina del DPO, una nuova figura professionale responsabile della protezione dei dati.
In merito ai soggetti pubblici, la disciplina in materia di trattamento dei dati personali stabilisce che i soggetti pubblici possono, in base alla norma, trattare dati personali se il trattamento è indispensabile “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento Generale sulla Protezione dei Dati (UE/2016/679) e art. 2-ter del Codice della privacy (D.lgs. 30 giugno 2003, n. 196).
Con riferimento all’utilizzo di sistemi di videosorveglianza da parte di soggetti pubblici, nel “Provvedimento in materia di videosorveglianza” (provv. dell’8 aprile 2010, doc. web n. 1712680) il Garante chiarisce che tali soggetti, “in qualità di titolari del trattamento […], possono trattare dati personali nel rispetto del principio di finalità, mirando a specifici fini, espliciti e legittimi […] per lo svolgimento delle proprie funzioni istituzionali” (par. 5) (cfr. sez. 3.2 delle “Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video” del Comitato europeo per la protezione dei dati del 29 gennaio 2020).
Pertanto, le telecamere di videosorveglianza sono utilizzate per riprendere anche il personale che transita o sosta nei luoghi di lavoro, il trattamento dei dati personali dei lavoratori può essere effettuato, dal titolare in qualità di datore di lavoro per la gestione del rapporto di lavoro e nell’ambito del quadro giuridico adottabile composto da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi (artt. 6, par. 1, lett. c), e 88 del Regolamento). In tale quadro, il datore di lavoro deve, quindi, rispettare le norme nazionali che “includono misure appropriate e specifiche a salvaguardia della dignità umana […] degli interessati in particolare per quanto riguarda la trasparenza del trattamento […] e i sistemi di monitoraggio sul posto di lavoro” (artt. 6, par. 2, e 88, par. 2, del Regolamento).
L’art. 4, comma 1, della legge 20 maggio 1970, n. 300 delibera, infatti, che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali […]. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro o, in alternativa, […] della sede centrale dell’Ispettorato nazionale del lavoro”.
Il comma terzo del suddetto articolo definisce che “le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal [Codice]”.
Il titolare può adoperare per ulteriori trattamenti solamente dati personali lecitamente raccolti in presenza di un’idonea base giuridica, avendo preventivamente “soddisfatto tutti i requisiti per la liceità del trattamento originario” (cfr. cons. n. 50 del Regolamento), e nei limiti in cui la raccolta originaria sia stata lecitamente realizzata, nel rispetto della finalità principale e dei principi generali di protezione dei dati, soprattutto i principi della “liceità, correttezza e trasparenza”, in esecuzione dei quali il titolare del trattamento deve utilizzare misure appropriate per somministrare all’interessato tutte le informazioni di cui agli artt. 13 e 14 del Regolamento in forma essenziale, trasparente, comprensibile e accessibile, con un linguaggio semplice e chiaro. (cfr. art. 12, par. 1, del Regolamento).
TAG aziendepodcast commercialistiprivacystudi