Privacy e Data Protection

Benvenuto nella sezione Privacy e Data protection

Per difendere la tua privacy e i tuoi dati personali o aziendali occorre scegliere la protezione più efficace, attraverso l’aiuto di un esperto.

Qui di seguito trovi elencati gli argomenti principali sulla materia per aiutarti a fare chiarezza.

1. Adeguamento privacy aziendale
2. Verifica adeguamento privacy
3. Adeguamento privacy siti internet
4. Ricorsi garante privacy
5. Azioni giudiziarie in materia di privacy
6. Consulenza privacy e GDPR

La normativa europea ha cambiato profondamente l’organizzazione in materia.

Il Decreto legislativo 30 giugno 2003, n. 196 “Codice Privacy,” prevedeva al suo interno un elenco delle misure che il titolare del trattamento avrebbe dovuto adottare per essere conforme.

Dal 25 maggio 2018 non è più così. Il Regolamento Europeo 679/2016 fonda la tutela dei dati personali sul principio di accountability, c.d. principio di responsabilizzazione, in base al quale spetta al titolare del trattamento scegliere le misure più adeguate per garantire la massima sicurezza possibile dei dati trattati.

Gli accorgimenti da adottare non sono più prescritti ed elencati per legge, ma ogni titolare in base alla propria attività, in base al trattamento che intende porre in essere, considerate le tecnologie del momento, deve adottare le misure tecniche e organizzative adeguate per garantire la migliore protezione possibile.

La corretta progettazione e implementazione di un idoneo modello di gestione privacy consente l’adozione di misure logiche, fisiche e organizzative in grado di ridurre i rischi, con particolare riguardo alla perdita dei dati, comunicazioni illegittime e accessi non autorizzati.

L’adozione di misure efficaci di protezione dei dati personali ha un effetto importante anche per la tutela di tutto il patrimonio dell’impresa.

Impostare un sistema di sicurezza informatica oltre a garantire protezione ai dati dei clienti, dei potenziali cliente, dipendenti e altri interessati,  permette anche di difendersi da possibili fughe o furti di informazione. Va quindi ad inserirsi nel pieno della c.d. “data protection”.

Essere conformi alla normativa europea e dimostrarlo non mette sono al riparo dalle sanzioni amministrative del garante ma risulta sempre di più un vantaggio in termini di fiducia e di competitività sul mercato.

Per un efficace adeguamento privacy è necessario uno studio dell’organizzazione aziendale che richiede tempo ed attenzione, per poi concordare insieme all’azienda il modello di protezione dei dati personali da implementare sulla struttura aziendale.

I modelli no sono unici e devono essere adeguati alle varie realtà.

I nostri professionisti sono pronti a consigliarvi al meglio in base alle vostre specifiche realtà.

La gestione della privacy è molto cambiata con il GDPR, Regolamento Europeo 679/2016, ed è diventata un vero e proprio processo aziendale.

Non è più sufficiente aver adottato le “misure tecniche e organizzative” una volta per tutte,ma ciò che è stato implementato inizialmente deve essere sopposto a continue verifiche, controlli ed aggiornamenti.

Infatti tra i doveri del titolare del trattamento rientra anche quello di definire e tenere aggiornate le misure tecniche e organizzative per il trattamento dei dati.

La verifica garantisce il livello di conformità alla normativa in materia di protezione dei dati personali e l’efficienza del modello di gestione adottato.

È bene quindi programmare sistematicamente degli “audit”, allo scopo di poter verificare e dimostrare all’Autorità di controllo che la struttura organizzativa segue un processo di controllo costante delle procedure adottate e si adegua costantemente ai cambiamenti interno ed all’evoluzione tecnologica.

La programmazione degli audit, oltre a rilevare nella gestione dei dati personali, rileva anche ai fini dalla legge sulla responsabilità amministrativa degli enti.

L’attività di revisione, comprese le ispezioni, può essere effettuata dallo stesso titolare ma molto più spesso è opportuno affidarla ad un professionista esterno che conosca bene la normativa in materia di trattamento dei dati personali.

La verifica delle misure adottate investe sia l’organizzazione interna dell’azienda (audit interno)sia quella dei professionisti esteri che svolgono il ruolo di Responsabili del trattamento(audit esterni).

L’Audit interno è svolto all’interno dell’organizzazione e  fa parte del sistema dei suoi controlli interni. È uno degli strumentiutili per controllare il corretto svolgimento delle attività e verificare che la procedure siano seguite e si dimostrino adeguate.

Gli Audit esterni vengono invece effettuati presso i terzi ai quali è stata delegata una parte del trattamento, ovvero i Responsabili del trattamento, e possono essere di due tipi.

Un primo tipo sono quelli antecedenti alla sottoscrizione del contratto di fornitura e sono i più rigidi.

Prima di scegliere un fornitore che dovrà trattare per nostro conto dati personali è infatti necessario valutare che soddisfi i requisiti e le garanzie necessariepreviste dal GDPR, sia per tutelare i propri dati e quelli dei soggetti che si rivolgono a noi, sia per non incorrere in sanzioni.

Un secondo tipo di audit sono quelli successivi che hanno lo scopo di verificare il corretto adempimento delle istruzioni poste dal contratto di disciplina nonché il rispetto della normativa in materia, anche successivamente all’incarico conferito.

A seguito degli audit si stabilisce la “conformità” o “non conformità” del trattamento concreto rispetto al modello organizzativo impostato e possono essere fornite indicazioni per ristabilire il migliore livello di adeguamento possibile.

L’adeguamento privacy coinvolge tutta l’organizzazione del titolare e tutti gli strumenti da questi utilizzati.

Il sito Internet è la vetrina dell’attività d’impresa del titolare, il biglietto da vista per antonomasia, ma anche un importante veicolo di informazioni e di dati personali.

Il Garante per la Protezione dei Dati Personali negli anni si è espresso diverse volte sul trattamento dei dati personali in Internet. Importantissimo il provvedimento in materia di cookie dell’8 Maggio 2014 che ha ridefinito gli obblighi per l’uso di cookie collegati a siti web.

Il sito aziendale deve quindi essere sottoposto a un’attenta analisi in base alla sua funzione.

Anche un semplice sito Internet informativo deve essere conforme alla normativa in materia di protezione dei dati personali se in qualche forma raccoglie o tratta dati personali.

Ogni scelta intrapresa dal titolare deve quindi essere valutata dal punto di vista tecnico, commerciale e in conformità con la normativa europea sulla privacy.

Basti pensare ad un semplice form di contatto o alla sezione “lavora con noi” tramite la quale i candidati possono inviare il proprio curriculum vitae.Si tratta di strumenti di raccolta dei dati che necessitano di un’adeguata informativa che può essere resa solo dopo avere esaminato il flusso delle informazioni, dove vengono conservate e quale uso ne viene fatto.

Purtroppo i siti Internet sono spesso un susseguirsi di copia/incolla ma se si vogliono evitare contestazioni o sanzioni è necessario rivolgersi ad un legale esperto della materia che sappia indicare le soluzioni adeguate al vostro caso.

Il Regolamento UE 679/2016 prevede la possibilità di presentare Reclamo all’Autorità di controllo, ovvero al Garante Privacy, quando si ritiene di avere subito un trattamento illecito dei propri dati personali.

In caso di violazione, in prima battuta, si può e si deve scrivere direttamente al titolare del trattamento chiedendo chiarimenti o chiedendo un intervento per cancellare i propri dati o per rimuovere pubblicazioni non gradite.

Se il titolare non risponde ci si può rivolgere direttamente al Garante, ai sensi dell’art. 77 del Regolamento, presentando un reclamo e specificando i fatti ed i motivi per cui si ritiene di avere subito una lesione.

L’ufficio del Garante esamina il caso ed emette i provvedimenti che ritiene opportuni, può comminare sanzioni ed ordinare al titolare di attivarsi per porre fine alla violazione in corso.

Se ritieni di avere subito una violazione in materia di dati personali, rivolgiti ad un professionista per fare valere i tuoi diritti, facendoti consigliare la soluzione più rapida ed efficace e, se necessario, può rappresentarti di fronte al Garante in sede di Reclamo.

Se invece hai subito un reclamo e sei stato contattato dal Garante, devi rivolgerti subito al tuo DPO (Data ProtectionOfficer), ma qualora tu non lo avessi nominato devi contattare subito un avvocato esperto in materia che sappia assisterti efficacemente.

Il Regolamento UE 679/2016 prevede anche la possibilità di agire difronte al Giudice ordinario, sia per richiedere la cessazione di un illecito trattamento dei dati sia contro una decisione dell’Autorità garante della privacy.

Ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale sia contro una decisione giuridicamente vincolante dell’Autorità garante sia qualora l’Autorità di controllo non tratti un reclamo o rimanga inerte per tre mesi dopo la proposizione del reclamo stesso.

L’art. 82 del Regolamento UE 679/2016 prevede, inoltre, che chiunque subisce un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.

Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno devono essere promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro.

Il risarcimento del danno può essere richiesto esclusivamente attraverso ricorso giurisdizionale presentato davanti al Giudice onorario. Non è possibile quindi richiederlo attraverso in via amministrativa con reclamo.

L’Avv. Laura Turni può assistervi in queste azioni sia che dobbiate promuoverle sia che dobbiate difendervi.

La consulenza in materia di privacy è essenziale per ogni azienda.

Essa è indispensabile ogni qualvolta l’azienda si trovi a dovere affrontare una contestazione, la verifica del Garante della Privacy o, peggio ancora, un’azione legale promossa da un soggetto che ritiene di avere subito una violazione.

In tal caso, prima di commettere errori, è necessario rivolgersi ad un avvocato esperto in materia di trattamento dei dati personali per ottenere le giuste indicazioni.

La consulenza però è ancora più importante in via preventiva per evitare di dovere subire azioni o contestazioni che possono costare molto care.

Ogni scelta che ha ad oggetto il trattamento dei dati personali di soggetti deve essere ben ponderata e valutata alla luce dei principi fondamentali del Regolamento UE 679/2016 di pertinenza, limitazione, necessità.

Anche dopo l’adeguamento di tutta l’organizzazione, l’utilizzo di nuove tecnologie, o l’individuazione di un nuovo trattamento possono portare a dover affrontare una nuova analisi delle misure adottate o da adottare.