GDPR e TVCC
Pochi giorni dopo l'entrata in vigore del GDPR alcuni produttori hanno dichiarato di aver ottenuto l'attestato "certificazione di conformità".
Ma, in realtà, il GDPR non prevede alcun tipo di certificazione dei prodotti.
É importante fare chiarezza su questo punto perchè molti acquirenti possono lasciarsi trarre in inganno.
Il GDPR NON indica nè prevede direttamente alcuni standard o schema di certificazione di conformità.
Inoltre, come indicato sempre all'articolo 42, la certificazione, anche quando c'è, non riduce la responsabilità del titolare o del responsabile del trattamento rispetto all'adeguamento al regolamento.
In pratica, il GDPR esplicita che la certificazione, pur rappresentando una garanzia e per valutare l'adeguatezza dei dispositivi utilizzati, non diminuisce l'obbligo di disporre di misure di sicurezza adeguate.
Il GDPR è un continuo adattamento
Da tener presente anche che, a differenza della precedente legge sulla privacy, il GDPR è un processo, non un atto.
Generalmente siamo abituati ad adempiere ad una norma in una unica soluzione. Quello che chiede il GDPR, invece, è un continuo adattamento delle procedure di raccolta dati e della relativa finalità.
Il tema della certificazione può fornire un senso di sicurezza, tuttavia va tenuto a mente che la certificazione potrebbe non essere più valida nel momento in cui la procedura di raccolta dei dati subisce un cambiamento.
Il General Data Protection Regulation introduce importanti cambiamenti per quanto riguarda le modalità con cui le aziende e amministrazioni pubbliche raccolgono, gestiscono e trattano i dati personali. Nel caso di mancata conformità sono previste sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale.
I nuovi provvedimenti in materia di trattamento dei dati personali coinvolgono anche i sistemi di videosorveglianza.
All'articolo 4 n.1 si definisce «dato personale» qualsiasi informazione riguardante una persona fisica identificata o identificabile
INFORMATIVA SINTETICA E INFORMATIVA ESTESA
Come riportato nel GDPR « le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto». Nel caso in cui le icone siano presentate elettronicamente, esse devono essere leggibili da dispositivo automatico.
Il GDPR richiede però che l’informativa sintetica sia comunque combinata con informativa estesa. L’informativa estesa è necessaria anche per poter usare le registrazioni «a tutti i fini connessi al rapporto di lavoro» (comma 3, art. 4 Statuto Lavoratori, post Jobs Act)
COSA FARE QUINDI DOPO IL GDPR?
Prima del 25 maggio, per adeguarsi al nuovo Regolamento, è fondamentale:
- Sostituire le «vecchie» informative sintetiche prive di idoneo rimando (es. link al sito) all'informativa estesa
- Predisporre e rendere disponibili le nuove informative estese, ovvero:
- dati di contatto RPD-DPO
- base giuridica del trattamento
- interesse legittimo alla base giuridica del trattamento
- periodo di conservazione dei dati
- diritto di opposizione
- cancellazione
- reclamo (GDPR art. 14),
- dati autorizzativi
- caratteristiche impianto,
- riserva uso immagini a scopo disciplinare (art.4 Stat. Lav).
- Per i nuovi impianti: vale il criterio privacy by design (art. 25 GDPR) fin dalla progettazione con le relative applicazioni informatiche di supporto, creando team multidisciplinari (progettisti, installatori, legali, informatici).
