GDPR 2018 Dealer a confronto con la direttiva privacy

GDPR 2018 Dealer a confronto con la direttiva (UE) 2016/680 a distanza mesi dall’entrata in vigore

Visto il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016

Meglio conosciuto come trattamento dati persone fisiche in vigore dal 25 maggio 2018, facciamo il punto della situazione.

Nello specifico vedremo cosa stiamo riscontrando nelle concessionarie auto distribuite nel Nord Italia, oltre a fornire spunti per adeguarsi .

Anzitutto occorre fare alcune distinzioni, ovvero:

In qualità di Dealer non devi confondere l’attività di raccolta dati con i rispettivi invii a eventuali case madri e o parnter come agenzie di pratiche auto.

Devi invece considerare che il gdpr 2018 impone delle linee guida in materia di valutazione d’impatto sulla protezione dei dati.

Oltre a considerare la determinazione della possibilità che il trattamento “possa presentare un rischio elevato” per gli utenti.

Le modificate apportate al (UE) 2016/679” adottate il 4 ottobre 2017, hanno individuato i seguenti 9 criteri da tenere in considerazione.

Ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato” troviamo:

  1. valutazione o assegnazione di un punteggio, compresa la profilazione e previsione. (tenendo conto gli aspetti sul rendimento professionale, situazione economica, salute, preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato)
  2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
  3. monitoraggio sistematico degli interessati;
  4. dati sensibili o dati aventi carattere altamente personale;
  5. trattamento di dati su larga scala;
  6. creazione di corrispondenze o combinazione di insiemi di dati;
  7. dati relativi a interessati vulnerabili;
  8. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
  9. quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto;

Valutazione d’impatto trattamento “tutorial”

In pratica

Fatte le considerazioni sui 9 punti, possiamo stabilire che i criteri descritti ai punti 4, 6, 7 e 8 possono coinvolgere la maggior parte dei concessionarie auto

Pertanto il Dealer deve avere prova che gli utenti siano “informati” sulle modalità e i diritti previsti per legge.

Il modulo “informativa interessato” deve essere sprovvisto di “Flag” e deve essere di proprietà del Dealer, non della casa madre o della finanziaria.

Se il Dealer raccoglie l’informativa per conto dei partner, dovrà in ogni caso avere la propria.

L’informativa interessato dovrà dichiarare chi è il “titolare e il responsabile del trattamento dati”.

Esempio Auto Quattro srl titolare del trattamento, Andrea Contiero responsabile del trattamento in conformità al gdpr 2018.

Cosa abbiamo trovato nelle concessionarie auto

La situazione non è delle migliori, considerato che si rischia grosso.

A differenza della precedente normativa, l’attuale gdpr 2018 è molto più impegnativo esponendo il Dealer a controlli e sanzioni.

Ci sono Dealer che raccolgono l’informativa interessato per conto delle case madri o agenzie pratiche auto, restando sprovvisti del proprio consenso.

Tuttavia non mancano casi dove nonostante si raccolga il consenso, non si prosegue con il progetto impatto privacy PIA.

Avere una lettera con la quale si attesti che la società XY stia svolgendo i lavori non servirà a nulla in caso di controlli.

Chi svolge i controlli?

Il garante protezione dati personali privacy e la guardia di finanza

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione.

A chi?

Al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti degli utenti.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare del trattamento

Oltre il termine delle 72 ore le notifiche devono essere accompagnate dai motivi del ritardo. 

Se la violazione comporta un rischio elevato per i diritti delle persone

Il titolare deve comunicare a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro.

Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

Sanzioni previste Testo in vigore dal: 19-9-2018 attuazione della direttiva (UE) 2016/680

Il DECRETO LEGISLATIVO 18 maggio 2018, n. 51 stabilisce che:

Le sanzioni amministrative

1. Salvo che il fatto costituisca reato e ad esclusione dei trattamenti svolti in ambito giudiziario.

Se la violazione delle disposizioni di cui all’articolo 3, comma 1, lettere a), b), d), e) ed f), all’articolo 4, commi 2 e 3, all’articolo 6, commi 3 e 4, all’articolo 7, all’articolo 8.

E’ punita con la sanzione amministrativa del pagamento di una somma da 50.000 euro a 150.000 euro.

La medesima sanzione amministrativa si applica al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale.

La violazione delle disposizioni di cui all’articolo 14, comma 2, e’ punita con la sanzione amministrativa del pagamento di una somma da 20.000 euro a 80.000 euro

Con la medesima sanzione e’ punita la violazione delle disposizioni di cui all’articolo 17, comma 2, all’articolo 18, commi 1, 2, 3 e 4, all’articolo 19, all’articolo 20, all’articolo 21, all’articolo 22, all’articolo 23, all’articolo 24, commi 1 e 4, all’articolo 26, all’articolo 27, all’articolo 28, commi 1 e 4, all’articolo 29, comma 2. 3.

Nella determinazione della sanzione amministrativa da applicare secondo quanto previsto dai commi 1 e 2 si tiene conto dei criteri di cui all’articolo 83, paragrafo 2, lettere a), b), c), d), e), f), g), h), i), k), del regolamento gdpr 2018

Il procedimento per l’applicazione delle sanzioni e’ regolato dall’articolo 166 del Codice.

Per tutte le concessionarie auto o Dealer che desiderano avere chiarimenti in merito possono contattarci CLICCANDO QUI

Lascia un commento