Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce e di coloro che offrono servizi I.T.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Poi ci sono i giornali on-line; ambito estremamente vario e complesso.

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve (2019) è attesa la relativa attuazione.

Preso atto di questo, consiglio alle aziende svizzere di iniziare il processo di compliance; avranno più tempo per adeguarsi al loro regolamento LDP, che sarà molto simile al GDPR.

In passato ho frequentato la Svizzera per motivi di studio, lavoro e turismo, e ne ho un bellissimo ricordo; magari ritorno per qualche consulenza.

GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”.

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Cookie Law e GDPR

Dopo quasi tre anni dalla applicazione della famosa cookie law, il bilancio non è molto positivo.

Quasi tutti si sono abituati a bypassare il banner senza neanche leggere (facendo scroll della pagina o chiudendo con il pulsante).

Addirittura, in alcuni siti che trattano temi relativi alla privacy, vengono usati cookie di terze parti che non appaiono molto “compliant” al tema trattato.

Per non parlare di quei siti che scrivono nel banner “usiamo cookie per renderti felice e per migliorare la tua vita” e poi piazzano cookies di profilazione ed altri sistemi di tracciamento.

Dal 25 maggio, immagino che molte di queste cosette cambieranno …

Responsabili trattamento dati interni

Ho saputo che, anche recentemente, alcuni ospedali italiani hanno proceduto alla nomina, quali Responsabili Interni del Trattamento di Dati Personali, tutti i dirigenti delle varie U.O. ospedaliere.

La nomina del responsabile interno è una consuetudine prevalentemente italiana; spesso ciò è stato fatto per rafforzare, nelle organizzazioni, la consapevolezza della tutela dei dati personali, anche se nella direttiva 95/46/CE e nel Codice Privacy D.lgs 196/2003 non si riscontrano distinguo tra responsabile esterno ed interno.
In Europa, invece, la figura del responsabile è stata quasi sempre riferita ad una figura esterna.

Nel nuovo GDPR, il Responsabile del Trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Articolo 28 GDPR:
 
 ... omissis
 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
 Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
 a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento,anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; ... omissis
 b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
 c) adotti tutte le misure richieste ai sensi dell’articolo 32 (la sicurezza del trattamento);
 h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese
 le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato ... omissis

Appare chiaro che tutto questo dettato si riferisce ad un soggetto esterno; il dirigente della U.O. ospedaliera ha già un contratto di incarico subordinato, non può decidere durata, natura e finalità dei trattamenti, ne decidere in merito alla adozione delle misure di protezione richieste dal GDPR all’articolo 32 (e successivi).

Alla luce di quanto esposto, non appare più praticabile la nomina indiscriminata di responsabili interni, solo perchè ricoprono incarichi dirigenziali; oltretutto:

 articolo 82 GDPR:
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

UPDATE 25/05/2018: il Prof. Pizzetti, oggi al convegno Federprivacy, ha confermato la mia interpretazione; il responsabile del trattamento è essenzialmente un soggetto esterno.