SPECIALE PRIVACY – Terza parte: RISCHIO e MISURE DI SICUREZZA, tenuta del REGISTRO DEI TRATTAMENTI, RESPONSABILITA’ e SANZIONI

Il Regolamento UE 2016/679 in tema di Privacy dal prossimo 25 maggio porta con sè nuovi adempimenti per le AGENZIE VIAGGI che dovranno porre misure idonee e adeguate per il corretto trattamento dei dati personali dei propri clienti.ù

Trattiamo questo argomento con 3 corpose circolari, nelle quali daremo tutti i riferimenti utili per chi vuole comprendere le novità introdotte nella normativa e gli obblighi da rispettare.

Nel precedente primo intervento abbiamo trattato le NOVITA, i PRINCIPI APPLICABILI al trattamento dei dati personali e il TRATTAMENTO DI DATI PARTICOLARI, a questo link.

Nel precedente secondo articolo abbiamo trattato di CONSENSO E INFORMATIVA, del TITOLARE, RESPONSABILE ESTERNO e INCARICATI AL TRATTAMENTO DEI DATI.

In questo terzo e ultimo articolo tratteremo di RISCHIO e MISURE DI SICUREZZA, del REGISTRO DEI TRATTAMENTI e DELLE MODALITA’ DI TENUTA, RESPONSABILITA’ e SANZIONI.

L’accountability, il rischio e le misure di sicurezza

Tra le novità introdotte dal Regolamento vi è il principio di “responsabilizzazione” (c.d. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali. In altri termini, titolari e responsabili dovranno adottare comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento, decidendo in via autonoma le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Come evidenziato dal Garante uno dei criteri è sintetizzato dall’espressione inglese “data protection by default and by design“, ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Si tratta in altri termini di valutare il rischio inerente al trattamento e di adottare le misure idonee a mitigare sufficientemente il rischio.

Fra le varie attività fondamentali vi sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. Al riguardo è l’articolo 35 del Regolamento a introdurre il concetto di valutazione d’impatto sulla protezione dei dati; in concreto la valutazione d’impatto sulla protezione dei dati è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.

In tale prospettiva si osserva come non sia obbligatorio svolgere una valutazione d’impatto sulla protezione dei dati per ciascun trattamento. Al contrario, è necessario realizzare una valutazione d’impatto sulla protezione dei dati soltanto quando la tipologia di trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, § 1). Il semplice fatto che le condizioni che comportano l’obbligo di realizzare una valutazione d’impatto sulla protezione dei dati non siano soddisfatte non diminuisce tuttavia l’obbligo generale, cui i titolari del trattamento sono soggetti, di attuare misure volte a gestire adeguatamente i rischi per i diritti e le libertà degli interessati. In pratica, ciò significa che i titolari del trattamento devono continuamente valutare i rischi creati dalle loro attività al fine di stabilire quando una tipologia di trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.

In questo ambito, le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento; peraltro, la lista di cui al § 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex articolo 33, codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Sul punto si dovrà comprovare di aver posto in essere le misure idonee a tal fine: in concreto all’entrata in vigore del Regolamento, il titolare/responsabile del trattamento dovrà aver posto in essere tutte le misure di sicurezza fisiche, organizzative e tecnologiche adeguate, ovvero finalizzate a preservare sostanzialmente la sicurezza dei dati personali trattati. A titolo esemplificativo e non esaustivo si richiamano, quali misure di sicurezza, i dispositivi anti intrusione, gli allarmi , le porte blindate, gli armadi chiusi a chiave per gli archivi cartacei, adeguati software di protezione quali antivirus e firewall, adeguata politica di utilizzo delle strumentazioni elettroniche e di tutti i dispositivi utilizzati, il cambiamento periodico delle credenziali di accesso alla rete, il monitoraggio degli accessi, i salvataggi periodici e programmati dei dati trattati elettronicamente, la valutazione dell’adozione di tecniche di pseudonimizzazione, con costante verifica e aggiornamento delle misure di sicurezza adottate. Il tutto è finalizzato a prevenire violazioni, anche accidentali, dei dati trattati.

Le principali prescrizioni del GDPR

La nuova disciplina impone ai destinatari un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

Con riguardo ai singoli adempimenti si sintetizzano alcune indicazioni metodologiche utili per la valutazione sulle misure organizzative necessarie per adeguarsi alle prescrizioni del GDPR.

In primo luogo andrà valutata la designazione di un “responsabile della protezione dati” (Data protection officer – DPO) per l’attività esercitata. Il Regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali ex articoli 38 e 39). Il DPO coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Il Garante ha precisato che il DPO, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve inoltre poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Del pari deve agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, etc.) necessarie per l’espletamento dei propri compiti.

Il ruolo di DPO può poi essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il DPO scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

Nell’esecuzione dei propri compiti, il DPO (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (articolo 5, § 2 del Regolamento).

I dati di contatto del responsabile designato dovranno poi essere pubblicati dal titolare o responsabile del trattamento. Per il Garante non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo.

Secondo le indicazioni del Regolamento, la nomina del DPO è obbligatoria:

• se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
• se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
• se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Sul punto il Garante, nelle faq recentemente pubblicate sul sito istituzionale, ha chiarito che, ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti, istituti di vigilanza, partiti e movimenti politici, sindacati, caf e patronati, società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione, società di call center, società che forniscono servizi informatici e società che erogano servizi televisivi a pagamento.

Sempre il Garante ha precisato che nei casi diversi da quelli previsti dall’articolo 37, § 1, lettera b) e c), del Regolamento (UE) 2016/679, la designazione del DPO non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: si veda anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”).

In quest’ottica resta comunque raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati. Al riguardo il Cndcec consiglia in ogni caso di indicare per ciascuno studio professionale almeno un “Referente GDPR” al quale fare riferimento (c.d. “punto di contatto”) sia ai fini di eventuali verifiche e controlli sia al fine di consentire un migliore e agevole esercizio dei diritti degli interessati.

Sotto un ulteriore profilo tutti i titolari, a partire dal 25 maggio 2018, dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovranno informare delle violazione anche gli interessati, sempre senza ingiustificato ritardo. Sarà necessario predisporre protocolli organizzativi che consentano di intervenire tempestivamente e procedere senza ritardo alla comunicazione al Garante.

Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.

Il registro dei trattamenti e le relative modalità di tenuta

Ulteriore obbligo del nuovo Regolamento è l’adozione di un registro dei trattamenti. In particolare i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda articolo 30, § 5), devono tenere un “registro delle operazioni di trattamento” i cui contenuti sono indicati all’articolo 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Ogni titolare del trattamento dovrà tenere un registro delle attività di trattamento svolte che contenga le seguenti informazioni:

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
• le finalità del trattamento;
• una descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
• ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, § 1.

Ogni responsabile del trattamento dovrà tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

• il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
• ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, § 1.

Come osservato dal Garante la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali e quindi vengono invitati tutti i destinatari, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

Lo stesso Cndcec osserva come ai fini del corretto adempimento degli obblighi derivanti dal GDPR, ogni misura adottata dovrà essere documentabile in ossequio al principio di “responsabilizzazione”: pertanto, nonostante il registro dei trattamenti previsto dal GDPR non sia obbligatorio per gli studi professionali, il Cndcec ne consiglia l’adozione.

Responsabilità e sanzioni

Il Regolamento, all’articolo 82, prevede il diritto per l’interessato che sia oggetto di un danno (materiale o immateriale) di ricevere un risarcimento per il danno, in base al soggetto che ha commesso la violazione, ovvero il titolare e/o il responsabile.

Più precisamente il titolare risponde per il danno cagionato dal suo trattamento che violi le norme del Regolamento, mentre il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare. Di contro il titolare e/o il responsabile sono esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.

Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi, titolare e il responsabile, siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

Il Regolamento aggrava poi le sanzioni amministrative pecuniarie fissando limiti massimi più elevati di quelli fino ad oggi previsti.

Ebbene, la violazione delle seguenti disposizioni/obblighi del titolare e del responsabile, in particolare degli articoli 25 privacy by design/by default e 32 sicurezza) è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

• gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
• gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
• gli obblighi dell’organismo di controllo a norma dell’articolo 41, § 4;

La violazione delle seguenti disposizioni (tra cui i principi fondamentali in materia di protezione) è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

• i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
• i diritti degli interessati a norma degli articoli da 12 a 22;
• i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
• qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
• l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, § 2, o il negato accesso in violazione dell’articolo 58, § 1.

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa, in ogni singolo caso si tiene debito conto dei seguenti elementi:

• la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
• il carattere doloso o colposo della violazione;
• le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
• il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
• eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
• il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
• le categorie di dati personali interessate dalla violazione;
• la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
• qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, § 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
• l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
• eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Deve osservarsi altresì come il mancato adeguamento al Regolamento potrebbe comportare anche l’applicazione di sanzioni penali, che il GDPR ha lasciato a una regolamentazione autonoma di ogni singolo Stato. Infatti, il considerando 149 del testo GDPR, recita “Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente Regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente Regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente Regolamento. Tuttavia, l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia”.

Al riguardo, nella bozza del decreto di adeguamento della normativa nazionale alle disposizioni contenute nel GDPR, sono presenti le sanzioni già esistenti e afferenti al trattamento illecito dei dati personali (pena della reclusione da 6 a 18 mesi) e alla falsità nelle dichiarazioni e notificazioni al Garante (pena della reclusione da 6 mesi a 3 anni).

Accanto a tali sanzioni vengono previste nuove fattispecie incriminatrici e più precisamente:

• la comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone sanzionata con la reclusione da 1 a 6 anni;
• l’acquisizione fraudolenta di dati personali sanzionata con la reclusione da 1 a 4 anni.

Le check list del Cndcec

Il Cndcec, con il documento di aprile 2018, ha fornito alcune indicazioni di formazione e di informazione che possano costituire una efficace forma di auto-valutazione preventiva degli studi alla luce della disciplina introdotta dal GDPR e ha ritenuto utile proporre delle “check list di base per gli studi professionali” da utilizzare al fine di valutare il livello di adeguamento alle nuove disposizioni del GDPR.

Secondo il Cndcec nell’informativa il professionista dovrà evidenziare in modo chiaro, trasparente e con linguaggio semplice:

• l’identità e i dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante);
• i dati di contatto del responsabile della protezione dei dati (se nominato);
• le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
• i legittimi interessi perseguiti dal titolare del trattamento o da terzi, se fungono da base giuridica del trattamento;
• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate od opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso anteriormente prestato, nei casi di trattamento basato sul consenso, anche di categorie particolari di dati;
• il diritto di proporre reclamo a un’autorità di controllo;
• se la comunicazione di dati personali è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali, oltre alle possibili conseguenze circa la mancata comunicazione di tali dati;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tali casi, le informazioni significative sulla logica utilizzata, oltre all’importanza e alle conseguenze previste di tale trattamento per l’interessato.

Secondo il Cndcec il titolare del trattamento (dominus di studio o associazione o società professionale) dovrà autorizzare i propri collaboratori e tirocinanti a effettuare il trattamento dei dati personali degli interessati definendo specifiche deleghe per i soggetti incaricati. Il titolare del trattamento dovrà poi impostare tutte le proprie attività e l’organizzazione di studio rispettando i principi della “privacy by design” e “privacy by default”, adottando conseguentemente, adeguate misure tecniche e organizzative, prima che il trattamento dei dati personali abbia inizio, idonee a consentire il rispetto dei principi di minimizzazione dei dati, limitazione della conservazione e a evitare la comunicazione dei dati a persone non autorizzate.

Per l’organo di autoregolamentazione, qualora lo studio effettui, inoltre, profilazioni, trattamenti automatizzati, trattamenti trasfrontalieri di dati personali, videosorveglianza, monitoraggio sistematico o trattamenti su larga scala, dovrà prevedere informative, consensi e misure adeguate al maggiore livello di rischiosità concretizzato per la protezione dei dati personali.

A fattor comune comunque viene consigliato di prevedere, sempre, una procedura per i c.d. “data breaches” (violazione dei dati personali) nonché appositi meccanismi per consentire l’esercizio dei diritti dell’interessato secondo le modalità descritte dal GDPR.