Buonasera a tutti,
mi presento sono Giovanni e sono un tecnico informatico che su richiesta di alcuni miei clienti mi sono avvicinato al mondo del GDPR per poter offrire la mia consulenza in questo ambito.
Ho seguito già il webinar per le PMI ed i vari video sul canale youtube però ho alcuni dubbi a riguardo:
1)Per quanto riguarda la mia attività, non avendo dipendenti ma volendo redigere il registro di attività, oltre ai trattamenti puramente amministrativi es. gestione anagrafiche fornitori e clienti, gestione preventivi ed ordini, fatturazione ecc ..., nel caso di dover effettuare assistenza su pc o tablet dei miei clienti e mi chiedano di effettuare per loro conto il salvataggio dei dati è necessario che lo indichi come trattamento nel registro con la finalità di effettuare l'assistenza con base giuridica di contratto di servizi? Quindi nell'informativa privacy per i clienti dovrò richiedere il consenso esplicito? Invece per quanto riguarda gli altri trattamenti (gestione anagrafiche, fatturazione ecc...) non serve il consenso essendo su base giuridica per legge e contratto?
2) Nel caso di una redazione di un giornale stampato quali sono i trattamenti interessati? Solo quelli a livello amministrativo standard oppure ce ne sono altri attinenti la pubblicazione degli articoli?
Grazie in anticipo
[color=red]Benvenuto nel gruppo!!![/color]
1)Per quanto riguarda la mia attività, non avendo dipendenti ma volendo redigere il registro di attività, oltre ai trattamenti puramente amministrativi es. gestione anagrafiche fornitori e clienti, gestione preventivi ed ordini, fatturazione ecc ..., nel caso di dover effettuare assistenza su pc o tablet dei miei clienti e mi chiedano di effettuare per loro conto il salvataggio dei dati è necessario che lo indichi come trattamento nel registro con la finalità di effettuare l'assistenza con base giuridica di contratto di servizi?
[color=red]Certamente. L'assistenza su PC implica l'accesso ai dati del dispositivo e quindi ai dati personali sia del cliente che dei soggetti che hanno dati personali su detto PC. Anche se l'accesso non fosse diretto (es. sono protetti da password o sono su cartelle accessibili solo con il profilo del cliente che te non usi) sono comunque potenzialmente accessibili e comunque modificabili ecc... Quindi si tratta di un TRATTAMENTO da censire. E per quel trattamento tu sei responsabile ai sensi del GDPR[/color]
Quindi nell'informativa privacy per i clienti dovrò richiedere il consenso esplicito?
[color=red]No.
Qui non siamo in presenza di una raccolta di dati che tu fai per cui il cliente si configura come INTERESSATO. Il tuo cliente è TITOLARE del trattamento rispetto al quale tu operi per SUO CONTO e quindi sei RESPONSABILE. Il rapporto contrattuale fra voi stabilisce cosa puoi/devi fare.
Non serve informativa nè consenso.
[/color]
Invece per quanto riguarda gli altri trattamenti (gestione anagrafiche, fatturazione ecc...) non serve il consenso essendo su base giuridica per legge e contratto?
[color=red]CONFERMO, serve informativa ma non consenso[/color]
2) Nel caso di una redazione di un giornale stampato quali sono i trattamenti interessati?
[color=red]DIPENDE da che dati trattate.
- Clienti che si abbonano
- Giornalisti che scrivono
- Clienti che comprano inserzioni
ecc....[/color]
Solo quelli a livello amministrativo standard oppure ce ne sono altri attinenti la pubblicazione degli articoli?
[color=red]No, per la pubblicazione, se si tratta di GIORNALE, ci sono le regole deontologiche e civilistiche e penalistiche sul diritto di cronaca ed i doveri conseguenti.
Non è che devi dare informativa o chiedere il consenso al politico di turno su cui fai articolo giornalistico[/color]
Grazie mille per la risposta.
Per quanto riguarda invece sempre le pmi, dovendo ora redigere il mio registro di attività mi sorgeva il dubbio per il trattamento di gestione fornitori: nel caso di resi merci tramite il corriere con cui ho un abbonamento e quindi un contratto, per l'invio di pacchi a società non sono tenuto ad inserirlo nell'informativa e nel registro, ma in caso debba spedire pacchi a clienti privati devo nominare il corriere al pari del commercialista responsabile esterno?
Come responsabile esterno sono tenuto a stampare in duplice copia la lettera di nomina con indicate i trattamenti e le relative finalità che dovranno effettuare per mio conto?
In caso dello studio del mio commercialista sia nell'informativa che nel registro dei trattamenti dovrò inserire tutti i suoi dati di contatto e nominarlo come responsabile esterno. Però a sua volta lo studio professionale inserisce i dati personali che gli fornisco su un suo server che io non uso e dovrà avere quindi logicamente un suo personale registro dei trattamenti essendone titolare? Nel mio registro devo comunque menzionare che lo studio di consulenza adotta all'interno della sua attività un proprio registro che regolamenta tutte le attività incluse quelle effettuate per mio conto?
Siccome lo studio ha più dipendenti nel mio registro parlo dello studio in forma giuridica come responsabile esterno senza scendere nel dettaglio es. nome e cognome del dipendente dello studio?
E' vera la voce secondo cui i controlli iniziali saranno più morbidi rispetto a quelli standard dell'agenzia delle entrate? Ho sentito parlare che dopo 2 o 3 controlli se non ci si è adeguati come pattuito solo allora potranno scattare sanzioni. Mi sembra abbastanza inverosimile...
Grazie mille per la risposta.
Per quanto riguarda invece sempre le pmi, dovendo ora redigere il mio registro di attività mi sorgeva il dubbio per il trattamento di gestione fornitori: nel caso di resi merci tramite il corriere con cui ho un abbonamento e quindi un contratto, per l'invio di pacchi a società non sono tenuto ad inserirlo nell'informativa e nel registro, ma in caso debba spedire pacchi a clienti privati devo nominare il corriere al pari del commercialista responsabile esterno?
[color=red]Come sai se ci segui anche su Facebook (https://www.facebook.com/groups/569951550054710/) e nei video (https://www.youtube.com/playlist?list=PLnc9N-ztTF5dYQ-2HTqTaWPnGy_1YWtl4) riteniamo che NON VI SIA NECESSITA' di alcuna "nomina". Responsabile esterno è chi tratta dati per conto del titolare.
Tu sei il titolare, il corriere lo paghi per consegnare i pacchi ... il corriere è titolare per questo fatto ... direi che è un trattamento talmente semplice e banale che non serve fare altro che scrivere nell'informativa che fai questo trattamento.
Non starei a "nominare" il corriere (o i corrieri) che utilizzi![/color]
Come responsabile esterno sono tenuto a stampare in duplice copia la lettera di nomina con indicate i trattamenti e le relative finalità che dovranno effettuare per mio conto?
[color=red]Vedi sopra .... non serve a niente![/color]
In caso dello studio del mio commercialista sia nell'informativa che nel registro dei trattamenti dovrò inserire tutti i suoi dati di contatto e nominarlo come responsabile esterno.
[color=red]Vedi sopra ... niente nomine ... sono roba "italiana" di maniaci della burocrazia, dei bolli e degli atti "ufficiali" che poi spesso nascondono non cura della sostanza.[/color]
Però a sua volta lo studio professionale inserisce i dati personali che gli fornisco su un suo server che io non uso e dovrà avere quindi logicamente un suo personale registro dei trattamenti essendone titolare?
[color=red]CERTO!!!!!!![/color]
Nel mio registro devo comunque menzionare che lo studio di consulenza adotta all'interno della sua attività un proprio registro che regolamenta tutte le attività incluse quelle effettuate per mio conto?
[color=red]NON SERVE ... tu non sei tenuto a sapere cosa fa dei dati che tratta come titolare, a te interessa quelli che tratta come tuo responsabile[/color]
Siccome lo studio ha più dipendenti nel mio registro parlo dello studio in forma giuridica come responsabile esterno senza scendere nel dettaglio es. nome e cognome del dipendente dello studio?
[color=red]CERTO!!!!!!!![/color]
E' vera la voce secondo cui i controlli iniziali saranno più morbidi rispetto a quelli standard dell'agenzia delle entrate?
[color=red]CHIACCHIERE ... che però nascondono un fondo di ovvia verità.
Se non fai danni ... nessuno ti verrà a controllare spontaneamente (stimando per eccesso in 100 i dipendenti della Guardia di Finanza utilizzati dal Garante per i controlli programmati, hai lo 0,001% di possibilità di essere controllato nei prossimi 5 anni se non sei Facebook o Google)
Se perdi i dati, fai arrabbiare un cliente ecc... allora la percentuale aumenta .... ma non perchè lo dice il Garante ... perchè è nella natura delle cose.
Se hai un ristorante e metti la musica e vai d'accordo con i vicini ... nessuno ti controlla .... se metti rock a mezzanotte arrivano i vigili
[/color]
Ho sentito parlare che dopo 2 o 3 controlli se non ci si è adeguati come pattuito solo allora potranno scattare sanzioni. Mi sembra abbastanza inverosimile...
[color=red]Non è del tutto errato.
Premesso è che è DUBBIO (ho scritto qualche post sull'argomento) che le sanzioni siano oggi applicabili senza il Decreto legislativo di adattamento (personalmente ritengo che non lo siano!) ... in ogni caso la sanzione pecuniaria è l'EXTREMA RATIO, cioè ci si arriva effettivamente dopo diffida, sollecito ecc.... a meno che non si stiano violando i principi.
Cioè se il modellino di informativa è incompleto, il consenso scritto male, il registro non perfettamente aggiornato ... non ci sono sanzioni. Ti verrà detto: torno fra 30 giorni.
Se tratto dati sensibili senza informativa e consenso ... non ci sono diffide che tengano ... si va a sanzione!
[/color]