Istituti di Vigilanza e GDPR

Avevo già accennato, in un articolo recente, che anche gli istituti di vigilanza dovranno nominare il Data Protection Officer.

Ulteriore conferma proviene da un recente workshop organizzato dalle maggiori associazioni di operatori di sicurezza e vigilanza a Roma.

Nel convegno, al quale ha partecipato anche il Garante Italiano, si è evidenziata la grande quantità di dati personali “particolari” trattati dalle aziende di vigilanza privata e si è ribadito l’obbligo di nominare il D.P.O. e di definire il percorso di adeguamento al GDPR.

Vorrei inoltre precisare che anche le aziende di installazione di impianti di sicurezza, qualora abbiano sistemi informatici di controllo e gestione remoti dei sistemi di allarme o videoregistrazione di terzi, sono soggetti alle stesse norme delle agenzie di vigilanza.

GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Costi GDPR

Domanda ricorrente: quanto costa l’adeguamento al GDPR?

Ovviamente è impossibile rispondere in modo serio a questa domanda; vorrei però fare alcune considerazioni.

Successivamente al mese di aprile 2012 (leggere qui) moltissimi hanno ritenuto che tutto il decreto legislativo 196/03 fosse stato abrogato; in molte aziende gli adempimenti sono stati abbandonati. Adesso, in pratica, occorre ripartire da zero.

Abbiamo quindi disponibili prevalentemente indicazioni che provengono da oltre confine; in Austria e Germania si valuta in livello di compliance delle organizzazioni di oltre il 70%, ma non è corretto paragonare il loro tessuto economico al nostro.

Dai vari convegni nazionali, emerge che, per una media organizzazione, un investimento corretto potrebbe essere quantificabile nel 2% del fatturato, ovviamente nel primo periodo. Successivamente tale onere calerebbe.

Per le organizzazioni più piccole, che non devono nominare il DPO, con pochi trattamenti e strumenti, ritengo che gli adeguamenti si possano realizzare con budget inferiori, anche significativamente inferiori all’1% del fatturato.

Ovviamente rimane sempre funzione della tipologia del business, della quantità e tipologia dei dati personali, oltre che dalla stuttura aziendale.

Si consideri che gli adeguamenti correlati all’adeguamento GDPR non sono un costo fine a se stesso; quando si governano i processi di trattamento e si proteggono i dati, si va a migliorare la resilienza della intera organizzazione ai rischi aziendali.