Aree di pratica

Data Protection

Lo Studio assiste molte aziende operanti in rete in tutte le tematiche relative alla gestione dei dati personali sulla base della rilevante normativa comunitaria e italiana nonché sulla base dei regolamenti, delle direttive e delle circolari del Garante Privacy nazionale e del Garanti Privacy europeo.

In particolare lo Studio offre consulenza continuativa nella redazione e gestione delle privacy policies aziendali, adeguandole costantemente alle modifiche normative e regolamentari e gestisce i rapporti, le notifiche e i ricorsi nei confronti del Garante Privacy Italiano.

Lo studio offre in particolare assistenza e consulenza in materia di trattamenti di dati personali in ambito sanitario; per scopi statistici e scientifici con particolare riguardo alla ricerca scientifica in campo medico ed alla sperimentazione clinica di medicinali, nonché alla raccolta, conservazione e trattamento di dati genetici e campioni biologici; in ambito bancario, finanziario e assicurativo; nella gestione del rapporto di lavoro; con strumenti elettronici di rilevamento d’immagini (sistemi di videosorveglianza) e della posizione geografica (sistemi di geolocalizzazione); mediante siti web, app e correlate problematiche relative ai “big data”.

Fasi della Consulenza Legale

a) Fase di adeguamento legale, documentale, organizzativo e di gestione dei processi.

Durante tale fase, tra le altre, saranno prestate le seguenti attività:

a) redazione di un mandato privacy infra-gruppo alla luce dell’obbligo del Regolamento UE per individuare con contratto gli ambiti di competenza tra eventuali contitolari del trattamento;

b) individuazione e redazione personalizzata degli atti di nomina a Responsabile interno del trattamento (ivi incluse le eventuali nomine dei sub-responsabili, figura ora prevista dal Regolamento) e strutturazione della procedura interna di conferimento delle nomine; l’attività include altresì la strutturazione del Registro delle attività del trattamento, nuovo adempimento documentale previsto dal Regolamento in capo sia al Titolare del trattamento che in capo a ciascun Responsabile interno o esterno del trattamento; si fa presente che nella presente offerta è incluso il costo della fornitura delle licenze di un software ad hoc per la redazione direttamente in via elettronica del Registro delle attività del trattamento che faciliterà l’adempimento – da parte del Titolare e di ciascun responsabile – di tale onere documentale;

c) individuazione e redazione personalizzata degli atti di nomina a Responsabile esterno del trattamento, in base ai contratti in essere vigenti; l’attività include altresì la strutturazione del Registro delle attività del trattamento per i responsabili esterni del trattamento;

d) individuazione e redazione delle istruzioni alle persone fisiche autorizzate al trattamento (si tratta – ai sensi dell’art. 29 del Regolamento UE – di quelli che la normativa italiana ha fino ad oggi definito “incaricati del trattamento”; il Regolamento non prevede uno specifico obbligo di nomina scritta, ma indirettamente dispone che il Titolare deve dare istruzioni e documentare l’indicazione di chi sono le persone fisiche autorizzate a trattare i dati sotto la responsabilità del Titolare o del responsabile; di conseguenza la soluzione migliore è quella di mantenere le nomine scritte agli – ex – incaricati e di redigerle in base a quanto richiesto dal Regolamento UE);

e) assistenza organizzativa in merito alla definizione e nomina della nuova figura del c.d. Data Protection Officer (DPO), ossia una figura prevista dall’art. 37 del Regolamento, interna o esterna all’azienda, e del tutto diversa dal responsabile del trattamento previsto dal Codice Privacy. Si tratta difatti di una figura estremamente specializzata nel settore della data protection, dotato di completa autonomia (ivi incluso il potere di spesa) che sovrintende, valuta ed organizza la gestione e protezione dei dati nell’ambito del trattamento svolto. L’obbligo di nomina del DPO non è generale ma relativo a titolari del trattamento pubblici e a titolari del trattamento privati le cui attività principali comportino su larga scala trattamenti di dati sensibili, sanitari, genetici o biometrici o trattamenti di dati personali che, in forza della loro natura, ambito di applicazione e/o finalità, richiedano un monitoraggio sistematico su larga scala degli interessati; si segnala che il recente Parere del Gruppo dei Garanti UE del 16 Dicembre 2016 sull’obbligo di nomina del DPO ha dato chiarimenti in merito alle situazioni ed ai trattamenti che si pongono quali presupposto dell’obbligo di nomina del DPO (ad es., il Parere menziona a titolo di esempio l’esistenza di contratti di fornitura attivi con un elevato numero di utenti);

f) revisione e redazione di tutte le informative privacy (clienti, lavoratori, fornitori, etc e qualsiasi altro soggetto) ai sensi degli art. 13 e 14 del Regolamento (ivi inclusi i conseguenti processi e le formule per l’acquisizione dei consensi);

g) adeguamento della documentazione e della contrattualistica in essere, ivi inclusa la revisione e/o la redazione delle clausole contrattuali privacy, anche con riferimento ai trattamenti per finalità di marketing e profilazione, in base alle norme rafforzate del Regolamento a tutela degli interessati;

h) revisione e redazione di tutta la documentazione necessaria per garantire il lecito trasferimento dei dati personali verso Paesi non appartenenti alla Unione Europea, ove necessario);

i) implementazione dei processi volti alla attuazione del nuovo principio c.d. di “Valutazione d’impatto sulla protezione dei dati” (Privacy Impact Assessment o PIA) secondo cui quando il trattamento prevede in particolare l’uso di nuove tecnologie e considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali e la documentazione; va specificato che tale nuova procedura è del tutto interna e obbliga il Titolare a rivolgersi al Garante (che risponde con parere motivato nelle 8 settimane successive) esclusivamente ove all’esito della valutazione il Titolare ritenga che le misure intraprese non eliminino i rischi; solo a quel punto scatta una interlocuzione con il Garante che ricorda l’attuale prior checking (l’interpello preventivo dell’art. 17 del Codice della privacy), che come tale è invece del tutto abrogato come obbligo dal nuovo Regolamento UE; in ogni caso si attenderà il provvedimento del Garante che elenca i casi di PIA obbligatoria (o anche i casi contrari di PIA non obbligatoria);

l) implementazione dei processi volti alla attuazione dei nuovi principi noti come “privacy by design”e“privacy by default” (art. 25 del Regolamento “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”) cioè la previsione di misure organizzative volte alla protezione dei dati personali già al momento della progettazione di un nuovo prodotto o servizio e la previsione a monte di misure organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;

m) implementazione dei processi e della documentazione volti a garantire il nuovo di-ritto alla portabilità dei dati;

n) monitoraggio dei siti web ufficiale del Cliente ai fini della verifica dei contenuti legali privacy (informative, consensi, privacy policies e operatività dei cookies in conformità al relativo Provvedimento Generale del Garante)

o) implementazione dei processi e della documentazione volti a garantire l’esercizio dei nuovi diritti privacy degli interessati previsti dal Regolamento.

b)   Fase di adeguamento tecnico-informatico e infrastrutturale.

Durante tale fase, tra le altre, saranno prestate le seguenti attività, previo specifico audit tecnico-infrastrutturale di concerto con il responsabile Information Technology del Cliente:

a) adeguamenti tecnici, infrastrutturali, informatici, di implementazione delle politiche tecniche di sicurezza come richiesti dall’art. 32 del Regolamento UE (ivi inclusi i nuovi processi di limitazione del trattamento e di pseudonimizzazione dei trattamenti);

b) implementazione di un sistema di c.d. data breach su reti e infrastrutture del Cliente volta a dare attuazione agli obblighi – anche documentali – di notifica al Garante e/o agli interessati, ove sia del caso applicabile l’art. 34 del Regolamento UE – delle violazioni di dati personali ai sensi dell’art. 33 del Regolamento UE;

c) tutte le eventuali attività di certificazione e/o di adesione a codici di condotta che il Cliente vorrà implementare ai sensi di quanto previsto dal nuovo Regolamento UE.