Consulenza Privacy GDPR e DPO

Redazione di informative, registri dei trattamenti, DPIA, nomine DPO e contratti privacy ai sensi del Reg. UE 2016/679 e del D.lgs. 196/2003.

La protezione dei dati personali è disciplinata dal Regolamento (UE) 2016/679 (GDPR — Regolamento Generale sulla Protezione dei Dati) e, in Italia, dal D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018. Il sistema privacy si fonda sui principi di liceità, accountability, privacy by design e privacy by default, e impone a titolari e responsabili del trattamento adempimenti documentali precisi (informative, registro, DPIA), la nomina del DPO nei casi previsti, la gestione dei data breach e il rispetto dei diritti dell'interessato.

Lo Studio Legale Calzoni assiste aziende, enti pubblici, ordini professionali e studi professionali nell'adeguamento al GDPR e nella gestione documentale del sistema privacy. Il focus dell'attività è la redazione e l'aggiornamento degli atti richiesti dalla normativa: informative agli interessati, registro dei trattamenti, valutazioni d'impatto (DPIA), nomine del DPO e dei responsabili del trattamento, contratti ex art. 28, policy per cookie, audit periodici e gestione dei data breach in coordinamento con il Garante per la protezione dei dati personali.

Cosa facciamo

• Redazione di informative privacy per aziende, enti e siti web (artt. 13-14 GDPR)
• Predisposizione e aggiornamento del registro dei trattamenti (art. 30 GDPR)
• Valutazione di impatto sulla protezione dei dati (DPIA — art. 35 GDPR)
• Nomina del DPO interno o esterno e supporto continuativo
• Contratti di nomina del responsabile del trattamento (art. 28 GDPR)
• Designazione e formazione delle persone autorizzate al trattamento
• Cookie policy, cookie banner e gestione del consenso
• Trasferimenti di dati extra UE: clausole contrattuali tipo (SCC) e valutazioni
• Gestione e notifica di data breach al Garante e agli interessati
• Audit privacy e verifiche di conformità periodiche
• Risposta alle istanze degli interessati (accesso, cancellazione, portabilità, oblio)
• Difesa in procedimenti del Garante e in contenziosi privacy

Casi tipici

• Adeguamento al GDPR di un'azienda o di un ente pubblico
• Predisposizione del registro dei trattamenti e delle informative
• Nomina del DPO interno o esterno e definizione del rapporto
• Redazione della DPIA per trattamenti ad alto rischio
• Gestione di un data breach: notifica al Garante e comunicazione agli interessati
• Verifica di conformità del sito web (cookie banner, privacy policy)
• Trasferimento dati extra UE: predisposizione di SCC e valutazione del paese terzo
• Risposta a un'istanza dell'interessato (accesso, cancellazione, portabilità)

Domande frequenti

Quando è obbligatorio nominare il DPO (Responsabile della Protezione dei Dati)?

L'art. 37 del GDPR prevede l'obbligo di nomina del DPO in tre casi: per tutte le autorità e gli enti pubblici (escluse le autorità giurisdizionali nell'esercizio delle funzioni); per titolari o responsabili la cui attività principale consiste in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; per chi tratta su larga scala categorie particolari di dati (art. 9) o dati relativi a condanne penali (art. 10). Le linee guida WP243 chiariscono i criteri applicativi.

Chi deve tenere il registro dei trattamenti?

L'art. 30 GDPR impone il registro a tutti i titolari e responsabili del trattamento. È previsto un esonero parziale per imprese e organizzazioni con meno di 250 dipendenti, ma solo se il trattamento non è abituale, non riguarda categorie particolari di dati o dati relativi a condanne penali, e non comporta rischio per i diritti e le libertà degli interessati. In pratica, l'esonero opera raramente: la maggior parte delle realtà deve tenere il registro.

Quando è necessaria la valutazione d'impatto (DPIA)?

L'art. 35 GDPR prescrive la DPIA quando un tipo di trattamento, considerati natura, oggetto, contesto e finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Le linee guida WP248 e l'elenco del Garante italiano indicano casi tipici: monitoraggio sistematico su larga scala, trattamento di dati particolari su larga scala, profilazione automatizzata con effetti significativi, uso innovativo di tecnologie (biometria, IA), dati di soggetti vulnerabili.

Cosa fare in caso di data breach?

In caso di violazione dei dati personali occorre: documentare l'evento nel registro interno delle violazioni (art. 33 c.5 GDPR); notificare al Garante entro 72 ore dalla conoscenza, salvo che sia improbabile un rischio per i diritti degli interessati; comunicare la violazione agli interessati senza ingiustificato ritardo se il rischio è elevato (art. 34 GDPR). La valutazione del rischio segue i criteri di ENISA e dell'European Data Protection Board (EDPB).

Qual è la differenza tra titolare e responsabile del trattamento?

Il titolare del trattamento è il soggetto che determina finalità e mezzi del trattamento (es. l'azienda o l'ente che decide di gestire i dati dei propri clienti). Il responsabile del trattamento tratta i dati per conto del titolare sulla base di un contratto scritto ex art. 28 GDPR (es. il fornitore IT che gestisce un gestionale). I due ruoli hanno responsabilità e obblighi documentali distinti: il titolare risponde della scelta del responsabile; il responsabile risponde nei limiti del contratto e degli obblighi diretti del GDPR.

Quanto può sanzionare il Garante per la protezione dei dati personali?

L'art. 83 GDPR prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato annuo globale dell'esercizio precedente (il maggiore dei due) per le violazioni più gravi. Per le violazioni minori il tetto è 10 milioni o 2% del fatturato. Il Garante italiano ha emesso negli ultimi anni provvedimenti significativi nei confronti di pubbliche amministrazioni e imprese private, anche con sanzioni di rilievo, e dispone di poteri istruttori e ispettivi diretti.

Privacy e GDPR per scuole, studi medici e ordini professionali: cosa cambia?

Scuole, studi medici e ordini professionali rientrano pienamente nell'ambito GDPR e trattano spesso categorie particolari di dati (sanitari, di minori, biometrici). Adempimenti specifici: nomina del DPO obbligatoria per scuole pubbliche e ordini professionali (in quanto enti pubblici); DPIA frequente per trattamenti su larga scala di dati particolari; registro dei trattamenti dettagliato; modulistica dedicata per consensi e informative (es. trattamento di immagini e dati di minori a scuola); formazione periodica del personale autorizzato al trattamento.