Monthly Archives: Aprile 2018

  • -

funzioni del data protection officer

Tags : 

 


funzioni del data protection officer 

 

codice-atecoAncora alcune pillole sulla nuova controversa figura del  “data Protection Officer” (detto anche DPO) introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDP, .

Il Responsabile della Protezione dei Dati (RPD) in ambito privato
(in aggiunta a quelle adottate dal Gruppo Art. 29 in Allegato alle Linee guida sul RPD)

 

  1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
  2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
  3. Chi sono i soggetti privati obbligati alla sua designazione?
  4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
  5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?
  6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
  7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?
  8. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

 

  1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?
    Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicatoal Garante;  faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).
  2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
    Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici. Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti.
  3. Chi sono i soggetti privati obbligati alla sua designazione?
    Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. le “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile della protezione dei dati (art. 37, par. 4).

    Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
  4. Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
    Nei casi diversi da quelli previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile della protezione dei dati non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria”). In ogni caso, resta comunque  raccomandata, anche alla luce del principio di “accountability” che permea il Regolamento, la designazione di tale figura (v., in proposito, le menzionate linee guida), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
  5. È possibile nominare un unico responsabile della protezione dei dati personali nell’ambito di un gruppo imprenditoriale?
    Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.
  6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno? Quali sono le modalità per la sua designazione?
    Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all’interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all’esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

    Nell’esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento; v. anche i punti 3.2 e 3.3. delle linee guida sopra richiamate).
    I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario – anche se potrebbe rappresentare una buona prassi – pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un’informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo.
  7. Il  ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi?

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

  1. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.

Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

 

 


  • -

dpo data protection officer master

Tags : 

 


dpo data protection officer master

 

codice-atecoScopriamo insieme qualcosa su questa nuova figura ancora molto misteriosa. Stiamo parlando del “data Protection Officer” (detto anche DPO) introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDP, .
In effetti il DPO, tanto misterioso non è poiché storicamente già presente in alcune legislazioni europee, è un professionista che h un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Questo soggetto è già conosciuto nel mondo anglosassone con il termine di Chief Privacy Officer (CPO); Privacy Officer, Data Protection Officer o Data Security Officer.

Chi può nominare il DPO ?
Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Cosa farà il DPO ?
L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo; e

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Quali sono i compiti del DPO? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato? È responsabile nei confronti dei terzi e/o degli interessati in caso di violazione del GDPR? E soprattutto, quando è obbligatorio?

Il Regolamento (UE) 2016/679 del 27 aprile 2016, più noto con l’acronimo inglese GDPR, oltre a prevedere un nuovo quadro giuridico in materia di data protection, fondato sul concetto anglosassone di accountability del Titolare, nonché un approccio basato sul rischio, ha introdotto una nuova figura, finora sconosciuta nel nostro ordinamento giuridico, il Data protection officer (DPO) o, all’italiana, Responsabile della protezione dei dati (RPD).
Ma quando è obbligatorio nominare un Data Protection Officer?

Quali sono i suoi compiti? Che qualità ed esperienze deve possedere? Deve essere un dipendente o può essere nominato anche un soggetto esterno? Quali sono le conseguenze se non è nominato? È responsabile nei confronti dei terzi e/o degli interessati in caso di violazione del GDPR?

Queste sono solo alcune delle tante domande che si pongono le aziende.

Quando è obbligatorio il Data protection officer
La designazione del DPO, ai sensi dell’art. 37, primo paragrafo, del GDPR, è obbligatoria in tre ipotesi:

se il trattamento di dati personali è effettuato da un’autorità pubblica o da un organismo pubblico,
quando le attività principali dell’organizzazione consistono in trattamenti che, richiedono il “monitoraggio regolare e sistematico” degli interessati “su larga scala”;
quando le attività principali dell’organizzazione consistono nel trattamento “su larga scala” di dati “sensibili” (rectius, “categorie particolari di dati”) o “giudiziari” (rectius, “dati personali relativi a condanne penali e reati”).
In pratica, laddove sia volta a soddisfare bisogni pubblici, anche una società per azioni (quindi dotata di personalità giuridica) interamente controllata da un ente pubblico territoriale , deve ricondursi nel novero degli organismi di diritto pubblico. E ciò in quanto può avere sostanza di diritto pubblico anche un organismo che rivesta forma di diritto privato: ciò che rileva, infatti, non è la veste giuridica, bensì “l’effettiva realtà interna dell’ente e la sua preordinazione al soddisfacimento di un certo tipo di bisogni, cui anche le imprese a struttura societaria sono in grado di provvedere”.

Nel settore privato, le “attività principali” di un’impresa riguardano le sue “attività primarie” e non comprendono i casi in cui il “trattamento dei dati personali” è solo un’“attività accessoria”. Con “attività principali” si possono, quindi, intendere le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dall’azienda.

Il Wp29 precisa che, tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati, pur non costituendo attività principale, costituisce comunque una componente inscindibile dalle attività svolte. Ad esempio, l’attività principale di un ospedale è quella di prestare di assistenza sanitaria, ma non sarebbe possibile svolgerla nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come quelli contenuti nella cartella sanitaria di un paziente. Ne deriva che il trattamento di tali informazioni deve essere annoverato fra le attività principali di qualsiasi ospedale. Lo stesso dicasi per un’impresa di sicurezza privata incaricata della sorveglianza di più centri commerciali e aree pubbliche. L’attività principale dell’impresa consiste nella sorveglianza, ma questa, a sua volta, è legata in modo inscindibile al trattamento di dati personali. Ciò comporta che gli ospedali e le imprese di sorveglianza come quella prima descritta, secondo il WP29, sono tenuti a nominare un Data protection officer.

Attività quali il pagamento delle retribuzioni al personale o la predisposizione di strutture standard di supporto informatico, invece, pur essendo necessarie o essenziali, sono considerate solitamente accessorie e non “core activities”.

Monitoraggio regolare e sistematico

Il concetto di ‘monitoraggio regolare e sistematico’ degli interessati non è definito all’interno del GDPR. Tuttavia, il considerando 24 menziona il “monitoraggio del comportamento degli interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche se, precisa il WP29, il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati.

Sempre secondo il WP29, l’aggettivo “regolare” ha almeno uno dei seguenti significati:

che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;
ricorrente o ripetuto a intervalli costanti;
che avviene in modo costante o a intervalli periodici.
L’aggettivo “sistematico” ha almeno uno dei seguenti significati:

che avviene per sistema;
predeterminato, organizzato o metodico;
che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
svolto nell’ambito di una strategia.
Alcuni esempi di attività che possono configurare un monitoraggio regolare e sistematico di interessati secondo il WP29, fra gli altri, sono:

la gestione di una rete di telecomunicazioni,
la prestazione di servizi di telecomunicazioni;
il reindirizzamento di messaggi di posta elettronica (email retargeting);
attività di marketing basate sull’analisi dei dati raccolti;
profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio);
tracciamento dell’ubicazione, ad esempio da parte di app su dispositivi mobili
programmi di fidelizzazione;
pubblicità comportamentale;
monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili;
utilizzo di telecamere a circuito chiuso;
dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, etc.
Larga scala

Nel Regolamento non si rinviene nemmeno una definizione di trattamento “su larga scala”. Il considerando 91 fornisce alcune indicazioni, ritenendo su larga scala trattamenti “di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato” e precisando che, d’altra parte, “non dovrebbe essere considerato un trattamento su larga scala” il trattamento di “dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato” [3].

Lo stesso WP29 mette in rilievo che si tratta comunque di esemplificazioni ai due estremi della scala (trattamento svolto dal singolo medico/trattamento di dati relativi a un’intera nazione o a livello europeo) e che fra tali estremi si colloca un’ampia zona grigia. Non esistendo, al momento, standard utili a specificare il concetto e le relative soglie applicabili, il WP29 raccomanda di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:

il numero di soggetti interessati, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
la durata, ovvero la persistenza, dell’attività di trattamento;
la portata geografica dell’attività di trattamento.
Esemplificazioni di trattamento su larga scala, sono, a titolo non esaustivo, secondo il WP29:

trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle sue ordinarie attività;
trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
In virtù di quanto sopra, per verificare se sono o meno soggette all’obbligo di nominare un Data protection officer ai sensi dell’art. 37, par. 1, lett. b), le imprese dovranno valutare:

se le attività di trattamento dalle stesse effettuate, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati;
in caso affermativo, se tale monitoraggio è effettuato “su larga scala”;
se tale monitoraggio si può considerare “attività principale”.
Vediamo come applicare questi criteri (vaghi e indeterminati, come abbiamo detto) in concreto con un esempio pratico: una multiutility nei settori idrico, energetico e gas con diversi milioni di utenti in svariati comuni di alcune regioni italiane, monitora in maniera costante e regolare i consumi dei propri utenti, consente loro di effettuare l’autolettura a distanza, in automatico, dei consumi di acqua, luce, gas e fornisce servizi web di analisi dei consumi. A prescindere dall’applicabilità del criterio di cui all’art. 37, primo paragrafo, lett. a), è sostenibile che tale società effettui un’attività di monitoraggio degli interessati in maniera regolare e sistematica in base all’interpretazione di tali aggettivi fornita dal WP29 e che il trattamento di dati dalla stessa effettuato, dato il numero di soggetti coinvolti, la quantità di dati trattati, la durata e l’estensione geografica delle attività di trattamento, si possa anche considerare, ai sensi del considerando 91, un trattamento di “una notevole quantità di dati personali a livello regionale” e, quindi, su “larga scala”. Per quanto concerne l’ultima caratteristica, l’“attività principale” svolta da tale società non è il trattamento dei dati personali dei propri utenti, ma la fornitura di servizi pubblici. Bisogna quindi valutare se sia possibile erogare efficacemente tale servizi senza trattare dati personali. Fra gli esempi riportati dal WP29 non è ricompresa espressamente l’ipotesi di società che forniscono un tale tipo di servizi, ma non si può escludere che la rilevazione costante dei consumi possa essere ritenuta necessaria per erogare tali servizi o legata in modo inscindibile all’attività principale della società. Appare opportuno, pertanto, che tale società nomini un DPO.

Trattamento “su larga scala” di categorie particolari di dati o di dati relativi a condanne penali e a reati
La nomina del Data protection officer è obbligatoria anche nel caso in cui le attività principali di un organizzazione consistono nel trattamento, su larga scala, di “categorie particolari di dati” ai sensi dell’art. 9 del GDPR (e cioè dati personali idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o di “dati relativi a condanne penali e a reati” ai sensi dell’art. 10 del GDPR, considerati dall’ordinamento meritevoli di maggior tutela.

La nomina volontaria del Data Protection Officer
Il WP29 incoraggia comunque la nomina del Data protection officer, anche quando il GDPR non la richiede espressamente.

Bisogna tener conto che, in caso di designazione di un DPO su base volontaria, si applicheranno comunque gli stessi requisiti previsti dal GDPR sulla sua designazione, ruolo e compiti (che descriveremo nel prossimo articolo), come se la nomina fosse stata obbligatoria.

Il WP29 precisa in ogni caso che un ente che non è obbligato a nominare il Data protection officer e non desidera nemmeno farlo su basi volontarie, può comunque utilizzare staff o consulenti esterni con compiti relativi al trattamento dei dati personali che però, per evitare confusione, non devono essere qualificati come DPO.

 

 


  • -

privacy e gdpr 2018 trattamento dei dati personali regolamento europeo

Tags : 

 


privacy e gdpr 2018 trattamento dei dati personali regolamento europeo

Ci siamo quasi! Il Regolamento Generale europeo sulla Protezione dei Dati  entrerà in vigore il 25 Maggio 2018 per codificare le nuove regole con le quali si dovranno trattare i dati Personali nell’ambito della Comunità Europea e disciplinare l’esportazione dei Dati Personali al di fuori dei confini UE. Attenzione: il Regolamento UE 2016/679 (General Data Protection Regulation) si applicherà non solo ai cittadini dell’Unione Europea ma anche agli Enti che risiedono al di fuori dei Paesi membri. Nel nuovo Regolamento viene definito quale dato personale “qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica come ad esempio nomi, foto, indirizzi email, dati bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer”. 

Appare evidente come questo vada a impattare sulla gran mole di informazioni che normalmente le aziende acquisiscano dai propri  potenziali clienti , sia attraverso i siti web sia con i social media quali facebook, instagram etc ma anche con la raccolta di schede, cartelle, email numeri di telefono, questionari di gradimento etc. 

 Il testo del Nuovo Regolamento sul Trattamento dei Dati è contenuto nel Regolamento Europeo Privacy UE 2017/679, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea e definisce i requisiti per il rispetto del Codice della Privacy: nuovi organi di controllo applicheranno le misure necessarie per far sì che il trattamento e la protezione dei Dati Personali siano conformi a quanto scritto nel documento del GDPR 2018. Il nuovo Regolamento descrive in che maniera i dati personali vadano protetti (“data protection”) e trattati in conformità con le Normative vigenti. La sicurezza informatica (ICT-SEC) nel nuovo Regolamento Europeo per la Protezione dei Dati verrà presa in considerazione per il Trattamento e la Protezione dei Dati Personali. Nuovi principi vengono introdotti dal General Data Protection Regulation in vigore dal 25 Maggio 2018: i dati vanno trattati seguendo nuovi principi di applicazione, e il trattamento deve seguire un ciclo progettato, riconosciuto come “trattamento by design”. I diritti degli interessati devono essere gestibili in qualunque fase del ciclo di trattamento dei Dati Personali su Internet e nei sistemi informatici: il Diritto alla Cancellazione del Dato Personale, il Diritto all’Oblio del Dato Personale sui motori di ricerca su Internet, e il Diretto al Blocco del Trattamento del Dato Personale. Vengono introdotti nuovi obblighi, come il DPIA – Data Protection Impact Assesment, che prevede il monitoraggio sistematico del Trattamento dei Dati Personali sensibili e ad alto rischio. Pertanto è indispensabile mettersi in Regola con il Nuovo GDPR 2018 ed evitare sanzioni dal Comitato Europeo per la Protezione dei Dati Personali attraverso processi agevolati di certificazioni GDPR 2018, e l’acquisizione di “bollini” che garantiscono la correttezza del Trattamento dei Dati, i Garanti Europei riconosceranno l’azienda o l’ente pubblico come conformi al nuovo Regolamento GDPR 2018. 

Soprattutto le aziende che operano su piattaforme operanti in rete come siti web, Facebook, Google, Youtube  dovranno applicare le Normative scritte nel testo del GDPR 2018 e mettere i consumatori nelle condizioni di navigare su Internet sapendo che i propri dati personali sono Trattati e Protetti in maniera corretta e sicura.
Dal maggio 2018 saranno istituiti il Data Protection Officer e un Registro delle attività, ma arriveranno anche regolamenti più restrittivi per le aziende.

Secondo la ricerca condotta da ESET e IDCI le aziende private, in particolare le PMI, sono in forte ritardo sul GDPR: quasi il 78% dei responsabili IT delle aziende coinvolte non ha compreso chiaramente l’impatto della nuova normativa o non ne è a conoscenza. Tra quelle che conoscono il GDPR, solo il 20% afferma di essere già conforme, mentre il 59% si sta adeguando e il 21% ammette di non essere a norma.

IL DIRITTO ALL’OBLIO: 

In questi giorni a tutti gli utenti del web ( e email) arriveranno centinaia di e-mail con la richiesta della presa visione e dell’accettazione del nuovo regolamento attuativo anche sul diritto all’oblio: ovvero la regolamentazione del diritto dell’utente di essere dimenticato dal gestore dell’informativa sui servizi/prodotti commercializzati.

Ma cosa è e come funziona il diritto all’oblio?

Questa definizione è stata creata dalla Corte di Cassazione e si definisce come “il giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata”.  In parole povere grazie a questo diritto, tutti possono chiedere che non vengano divulgate notizie lesive della propria reputazione, dopo che dai fatti è trascorso un determinato lasso di tempo e che tali episodi non sono stati richiamati alla cronaca.

Con l’introduzione del GDPR il diritto all’oblio, concepito per proteggere reputazione e privacy delle persone, permette all’utente di  richiedere che tutte le informazioni su di lui che vengono detenute a qualsiasi titolo ( anche precedentemente autorizzate dallo stesso) vengano cancellate o dimenticate. Inoltre sarà possibile richiedere la cancellazione dei dati e delle informazioni presenti online quando queste non sono più necessarie o quando l’interessato revoca l’autorizzazione. Ad esempio se ho dato le mie informazioni, necessarie al compimento di un viaggio che ho effettuato nel 2017; queste informazioni erano strutturali alla partecipazione a quel viaggio. Oggi, se vengo ricontattato dall’Agenzia di Viaggi che mi ha fatto partire nel 2017 per propormi nuovi viaggi nel 2018 posso richiedere che vengano cancellati i miei dati a suo tempo correttamente dati e detenuti perché non sono più interessato a proposte di viaggio da quell’Agenzia. il diritto all’oblio non viene applicato solo nei casi in cui ci sia undiritto di cronaca ( prevalente sul diritto all’oblio) oppure un obbligo legale da adempiere o motivi di ricerca scientifica, storica o legata al mondo della sanità.

I CONSIGLI DEL GARANTE

Il GDPR avrà un impatto su enti e imprese, non solo dal punto di vista tecnologico, ma anche e soprattutto dal punto di vista organizzativo e legale. Cosa si deve fare, dunque, per arrivare pronti al 25 maggio 2018, data in cui il GDPR diventerà operativo in tutti i paesi dell’Unione europea? Le prime linee guida arrivano dal Garante, che ha suggerito alle Pubbliche Amministrazioni tre priorità: la designazione in tempi stretti del Responsabile della protezione dei dati (o DPO – Data Protection Officer); l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate, e la notifica delle violazioni dei dati personali, i cosiddetti Data Breach.

Quest’ultimo punto appare particolarmente delicato: a oggi trascorrono circa 205 giorni tra la violazione dei dati e il momento in cui l’ente o l’azienda ne viene a conoscenza. Il GDPR stabilisce che i titolari dei trattamenti saranno obbligati ad avvisare l’Autorità di Controllo entro 72 ore.

L’adeguamento, dunque, deve essere tecnologico, ma anche nell’approccio al problema e nella struttura organizzativa. A partire dalla nuova figura del DPO, che ha un ruolo dalle molte sfaccettature: deve infatti avere competenze normative, tecniche, comunicative e una profonda conoscenza dell’organizzazione del settore in cui si trova ad operare. Si tratta di una figura nuova, ancora poco diffusa e a breve molto richiesta.

LIBERTÀ DEGLI STATI E PAESI EXTRA UE
Esistono dei campi d’azione in cui il regolamento cede il passo alla normativa nazionale, laddove manca un’armonia a livello sovranazionale. Ad esempio i concetti di “giornalismo” e “libertà di espressione” continueranno a variare da uno Stato membro all’altro, così come la gestione dei dati elaborati ai fini della sicurezza nazionale di uno Stato. Guardando nello specifico all’Italia, in ambito trasparenza, la nuova disciplina del FOIA sembrerebbe doversi conciliare con il Regolamento, ma non si dice come.

Per avere maggiore chiarezza si dovrà attendere l’entrata in vigore del GDPR: la successiva istituzione del Gruppo dei Garanti porterà i diversi Garanti nazionali a dialogare e cooperare per stabilire le linee guida da seguire per l’applicazione corretta delle prescrizioni del Regolamento.

 

codice-ateco

Infine, un’importante novità riguarda i Paesi situati al di fuori dell’Ue, verso i quali è vietato il trasferimento dei dati, se non a determinate condizioni (consenso esplicito del diretto interessato o sussistenza di standard di sicurezza adeguati). Inoltre, anche le imprese straniere dovranno adeguare la propria privacy policy al Regolamento Europeo, se vorranno continuare a operare all’interno dell’Ue.

Discorso a parte invece per i rapporti tra Unione Europea e Stati Uniti, tra cui è entrato in vigore il Privacy Shield, un accordo che si propone di tutelare i diritti alla privacy di ogni persona residente in EU, i cui dati vengano conservati o trasferiti negli USA. In parallelo, l’accordo offre un quadro legislativo più chiaro alle aziende che si occupano della conservazione dei dati di cittadini europei negli Stati Uniti.
L’applicazione operativa del GDPR si presenta come una grande opportunità di sviluppo e di miglioramento organizzativo per tutti coloro che gestiscono dati personali.
Il GDPR è composto da undici capitoli per un totale di centottantasette pagine ma in una ventina di pagine del GDPR, nell’omologo Capo III composto da 5 sezioni, dall’articolo 12 all’articolo 23, sono trattati i diritti dell’interessato non molto diversamente da quanto già sappiamo dal DLvo 196/2003: da notare che, per quanto riguarda l’informativa, i contenuti, più ampi, sono elencati in modo tassativo così come i diritti all’accesso dei propri dati personali.
Le innovazioni più rilevanti nei diritti riguardano invece:
• il diritto alla cancellazione, ormai più noto come “diritto all’oblio”,
• il diritto alla portabilità dei dati,
• il diritto all’opposizione a processi decisionali automatizzati compresa la cosiddetta “profilazione”: quando con immediatezza, non appena chiediamo una qualche semplice informazione sul WEB, il nostro schermo è invaso da concrete offerte commerciali intese a soddisfare la nostra curiosità, inviti da cogliere al volo che sembravano lì ad aspettare solo noi.
Altra cosa riguarda i doveri delle imprese in special modo per quanto riguarda le responsabilità. Per efficace analogia è importante fare riferimento al diritto alla sicurezza e salute sui luoghi di lavoro, ben più noto in Italia con la abrogata 626/94 oggi sostituita dal 81/08, in cui la responsabilità principale ricade sul Datore di Lavoro che, con la propria organizzazione, attenua se non riesce ad eliminarlo del tutto il rischio di infortunio o di malattia professionale di lavoratori. La vera e dirimente differenza tra il Responsabile della Protezione dei Dati (DPO) richiamato nel GDPR e il RSPP del 81/08 è che il primo non fornisce solo consulenza, ma assume responsabilità operative del sistema di tutele, dovendo infatti verificarne anche la corretta attuazione (art. 39).
Inoltre, il  nuovo Regolamento introduce in modo del tutto analogo il concetto di rischio, attribuendo al Titolare del Trattamento la responsabilità di tutelare i dati personali a lui affidati, valutando appunto il rischio di perdita dei dati (data leak) in ogni fase del trattamento affidatogli, progettando ed implementando la propria struttura organizzativa secondo le best practice e i migliori standard di gestione del rischio, come già ampiamenti trattati dalle norme tecniche di riferimento, tra tutte le ISO 9000 per i sistemi qualità, le ISO 31000 per la gestione del rischio, IEC/ISO 27000 per la ICT.
Appare superfluo ricordare che, come in ogni sistema di gestione del rischio, dopo la fase di assessment sarà necessario attivare le fasi di prevenzione (Data Loss Prevention) e di protezione in caso violazioni e divulgazione dei dati personali (Data Breach Protection). L’approccio proattivo del GDPR si fonda sulla responsabilizzazione (accountability) dei titolari che, tenuto conto della natura, del settore di applicazione, del contesto e delle finalità del trattamento dei dati, nonché dei rischi per i diritti e le libertà delle persone fisiche, rende operative le misure tecniche e organizzative più adeguate– non solo – per garantirne la compliance ma anche di renderla documentata per eventuali audit esterni.

Infine, ricordiamo che l’informativa è sempre preventiva del trattamento e deve essere aggiornata al cambiare delle regole e/o delle finalità e, in caso di marketing, occorre anche esplicito consenso.