Data breach, è cambiata la notifica.

Cambia la notifica di data breach: il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per notificare una violazione di dati personali. Ecco tutte le novità e i consigli per effettuarla al meglio

Cambia la notifica di data breach: con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha infatti introdotto un nuovo modello ufficiale contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

In precedenza, il Garante aveva già introdotto modalità e requisiti specifici di notifica dei data breach in diversi settori e con il provvedimento in questione il Garante ha provveduto a razionalizzare ed uniformare i termini, i contenuti e le modalità della notifica.

Come cambia la notifica di data breach

Il GDPR prevede che in caso di violazione dei dati personali, il titolare del trattamento è tenuto a notificare tale evento al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Allo stesso modo il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi (artt. 33 e 55 del GDPR, art. 2-bis del Codice Privacy).

A seguito del citato provvedimento 157 l’onerosità di tale notifica è decisamente aumentata, probabilmente anche al fine di permettere al titolare di assumere reale contezza della violazione e, conseguentemente, di valutare in maniera ponderata l’effettiva necessità di comunicare, o meno, la violazione stessa anche alle persone fisiche interessate, nel rispetto di quanto previsto dall’art. 34 del GDPR.

Vediamo quindi come cambia la notifica di data breach.

Per effettuare la notifica il titolare dovrà scaricare il modello disponibile sul sito del Garante e compilare le seguenti sezioni:

  1. Dati del soggetto che effettua la notifica, inserendo i dati anagrafici e di contatto del soggetto che materialmente effettua la notifica (ove nominato, si tratta del DPO del titolare);
  2. Dati relativi al titolare del trattamento, in cui andranno inseriti i dati identificativi del titolare (denominazione, C.F./P.IVA, indirizzo ecc.), i dati di contatto del soggetto da contattare per informazioni (ove nominato il DPO andrà indicato il relativo numero di protocollo assegnato dal Garante alla comunicazione dei dati di contatto tramite la procedura online disponibile sul sito) e i riferimenti di ulteriori soggetti coinvolti con indicazione del ruolo svolto (contitolare o responsabile del trattamento , rappresentante del titolare non stabilito nell’UE);
  3. Informazioni di sintesi sulla violazione, questa è una delle sezioni più critiche in quanto andranno indicate una serie di informazioni di dettaglio relative alla violazione, ivi incluse: la data esatta in cui si è verificata, il momento e le modalità in cui il titolare ne è venuto a conoscenza, i motivi del ritardo in caso di notifica oltre le 72 ore, la natura e la causa del data breach e le categorie di dati personali e soggetti interessati coinvolti, con indicazione dei relativi volumi;
  4. Informazioni di dettaglio sulla violazione, a completamento della sezione precedente, in questa andranno indicati i dettagli relativi alla violazione descrivendo nello specifico l’incidente alla base del breach, le categorie di dati violate, i sistemi e le infrastrutture informatiche coinvolte nell’incidente, con indicazione della loro ubicazione e le misure di sicurezza tecniche e organizzative adottate;
  5. Possibili conseguenze e gravità della violazione, si tratta di una sezione che richiede uno sforzo prognostico da parte del titolare il quale sarà tenuto a identificare i possibili impatti della violazione in base alla sua natura ed i potenziali effetti negativi per gli interessati; occorrerà inoltre effettuare una stima motivata della probabile gravità del data breach;
  6. Misure adottate a seguito della violazione, in cui andranno segnalate tutte le contromisure sia tecniche che organizzative adottate per limitare gli impatti del breach e di futura attuazione onde prevenire incidenti futuri;
  7. Comunicazione agli interessati, in questa sezione occorrerà specificare se la violazione è stata comunicata o meno agli interessati ai sensi dell’art. 34 del GDPR, ed in caso di mancata comunicazione sarà necessario motivare la ragione che ha spinto il titolare prendere una tale decisione;
  8. Altre informazioni, si tratta di una sezione di chiusura in cui inserire i dettagli circa l’impatto transfrontaliero del data breach e le eventuali segnalazioni già effettuate ad altre autorità.

Laddove il titolare del trattamento non sia in possesso di tutte le informazioni richieste dal modulo, potrà avviare il processo di notifica pur in assenza di un quadro completo della violazione con riserva di effettuare una successiva notifica integrativa.

Come inviare la notifica di data breach

Il modulo di notifica, una volta completato con le informazioni richieste, deve essere inviato al Garante tramite posta elettronica all’indirizzo protocollo@pec.gpdp.it e deve essere sottoscritto digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

È opportuno ricordare che la notifica non deve includere i dati personali oggetto di violazione (ad esempio, non fornire i nomi dei soggetti interessati dalla violazione).

In ogni caso l’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

I prossimi passi

Il nuovo modulo di notifica richiede al titolare di raccogliere una folta serie di informazioni relative alla violazione. Per essere in grado di effettuare la notifica il titolare dovrà pertanto assicurarsi di aver implementato le adeguate procedure organizzative – sia interne che esterne nei confronti dei responsabili – che gli consentano di ottenere in maniere tempestiva tutte le notizie necessarie per compilare effettuare la notifica.

Il procedimento di notifica deve essere supportato dalla tenuta, da parte dei titolari del trattamento, del cosiddetto “registro delle violazioni”: un documento che ha la duplice funzione di consentire, al titolare, un agevole monitoraggio e controllo di tutte le violazioni di dati personali avvenute nel corso delle proprie attività di trattamento e, al Garante Privacy, di verificare il rispetto dell’obbligo di notifica tempestiva.

Questo registro andrà predisposto in linea con i requisiti del modulo di notifica per raccogliere tutte le informazioni necessarie al fine di documentare adeguatamente qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Lo scenario dei data breach in Europa e in Italia

Il provvedimento con cui il Garante privacy ha introdotto il nuovo modello di notifica di data breach è l’occasione giusta anche per ricordare quanto il fenomeno dei data breach sia in costante aumento in Europa.

Il Comitato Europeo per la protezione dei dati ha pubblicato un report sullo stato di implementazione del GDPR a 9 mesi dalla sua piena applicabilità, in cui si rileva che le autorità Garanti in Europa hanno registrato circa 64.684 notifiche di data breach, ed è ragionevole ritenere che dalla pubblicazione del report ad oggi tale cifra sia cresciuta ulteriormente.

In tal senso è significativo quanto espresso dal World Economic Forum, secondo cui gli attacchi informatici sono la maggiore minaccia per le imprese che operano in Europa.

Durante gli ultimi anni il nostro continente è stato difatti teatro di una lunga serie di grandi attacchi cyber, il cui numero è aumentato di circa un terzo nel primo trimestre 2018, rispetto allo stesso periodo dell’anno scorso.

Tali stime trovano conferma nel rapporto presentato dalla Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) secondo cui, a fronte di un aumento moderatamente significativo del numero di attacchi, si è registrato un incremento esponenziale della efficacia e pericolosità degli stessi.

Nella prima metà del 2018 sono stati compromessi, infatti, circa 4.500 milioni di record a causa delle violazioni di dati, in forte crescita rispetto al 2017 in cui, nello stesso periodo, erano stati registrati «solo» 2,7 milioni di record violati.

Autorizzazione videosorveglianza

L’istanza di autorizzazione per la videosorveglianza permette di installare le telecamere di sicurezza rispettando le norme di legge previste.

Sempre più spesso privati e aziende sentono il bisogno di dotarsi di sistemi di videosorveglianza per aumentare il grado di sicurezza dell’ambiente domestico o di quello lavorativo, ma devono fare i conti con alcune attenzioni necessarie per il rispetto della privacy.

Così come molte altre informazioni (nome e cognome, residenza, codice fiscale, numero di telefono, ecc), anche le immagini sono a tutti gli effetti dei dati personali e, come tali, sono soggette alla normativa della privacy: in questo articolo ecco alcuni aspetti da tenere in considerazione.

Autorizzazione per videosorveglianza privata

Chi vuole installare telecamere di sorveglianza nella propria casa è soggetto a molte meno restrizioni rispetto all’ambiente lavorativo, a patto di rispettare alcune indicazioni.

Secondo quanto stabilito dal Garante della Privacy, con il parere n. drep/ac/113990 del 7 marzo 2017, per la videosorveglianza privata non è previsto l’obbligo di autorizzazioni (né da parte della Polizia, né da parte, eventualmente, del condominio).

Ci sono, tuttavia, alcune condizioni da rispettare, che valgono indistintamente per le telecamere con o senza registrazione delle immagini:

 – evitare di riprendere zone di pubblico passaggio (strada o spazi comuni)
 – qualora ciò non fosse possibile, evitare il riconoscimento dei soggetti (limitando il raggio di ripresa alle sole scarpe)

In sostanza, è possibile fare a meno dell’autorizzazione per videosorveglianza quando le telecamere non sono rivolte su zone pubbliche (compresi gli spazi comuni di un condominio, dove passano i vicini). Fondamentale, inoltre, che le immagini riprese non vengano diffuse a terzi.

Nel caso in cui queste condizioni non dovessero essere rispettate, la videosorveglianza non avrebbe più i caratteri di finalità esclusivamente personali: scatterebbero, dunque, tutti gli obblighi previsti dal codice della privacy, con tanto di richiesta di autorizzazione obbligatoria.

Autorizzazione per videosorveglianza sul luogo di lavoro

L’autorizzazione per videosorveglianza sul luogo di lavoro è sempre obbligatoria per aziende e attività commerciali e, secondo quanto stabilito all’art. 4 della Legge 300 del 1970 (Statuto dei Lavoratori), impianti audiovisivi e altri strumenti, dai quali deriva la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere impiegati esclusivamente per:

 – esigenze organizzative e produttive
 – la sicurezza del lavoro
 – tutela del patrimonio aziendale.

Recentemente l’art. 4 dello Statuto dei Lavoratori ha subìto rilevanti modifiche, ad opera del Jobs Act (art. 23 del D.Lgs. n. 151/2015) prima e del D.Lgs. n. 185/2016 (art. 5, comma 2) dopo, adeguando così l’impianto normativo e le procedure preesistenti alle più recenti innovazioni tecnologiche.

A tal proposito, l’Ispettorato Nazionale del Lavoro, con la circolare n.5 del 19 febbraio 2018, ha fornito alcune indicazioni operative sull’installazione e utilizzo degli impianti di videosorveglianza e degli altri strumenti di controllo. Tra le novità principali, il fatto che il focus delle istruttorie debba riguardare più le finalità e le motivazioni per cui si richiede l’autorizzazione che non una descrizione tecnica della strumentazione.

Anche sul luogo di lavoro, in ogni caso, andrà posta particolare attenzione al posizionamento delle telecamere: la legge prevede che non possano essere inquadrate postazioni di lavoro fisse o aree dedicate all’attività lavorativa.

In sostanza, le immagini non devono focalizzarsi sui dipendenti, che possono però essere ripresi con criteri di occasionalità. Per il resto, le telecamere possono essere orientate anche su ingressi o zone di passaggio di pertinenza dell’azienda (ad esempio i corridoi, parcheggi, ecc).

Prima di poter installare un impianto di videosorveglianza sul luogo di lavoro, dunque, è necessario avere uno specifico accordo con le organizzazioni sindacali (se presenti in azienda) o, appunto, l’autorizzazione rilasciata dall’Ispettorato Territoriale del Lavoro, previa apposita istanza, in marca da bollo.

Videosorveglianza senza autorizzazione: sanzioni

Installare sistemi di videosorveglianza senza autorizzazione può costare alle imprese un esborso economico considerevole e/o, nei casi più gravi, anche dei provvedimenti di tipo penale (come da sentenza della Cassazione n. 4331 del 30 gennaio 2014).

Le sanzioni prevedono come minimo multe da 154,00 a 1.549,00 euro o l’arresto da 15 giorni a un anno (salvo che il fatto non costituisca reato), ma in alcuni casi possono essere anche superiori a tali importi.

Possono scattare le sanzioni, inoltre, anche qualora vengano installate telecamere finte non autorizzate, al solo scopo dissuasivo.

Vuoi sapere cosa fare per ottenere l’autorizzazione per la videosorveglianza della tua azienda? Scopri il nostro servizio di consulenza sulla privacy e richiedi oggi stesso il nostro supporto!

Online navigare sicuri

Online navigare in sicurezza? Ecco come fare con i browser più sicuri.

La Techwarn, per i nostri lettori ha messo a disposizione questo interessante articolo.

Tutti noi accediamo ad internet almeno una volta al giorno. E non ci rendiamo nemmeno conto di quanti dati lasciamo in giro sul web, non solo attraverso messaggi, mail e social, ma anche semplicemente con la navigazione e l’apertura di siti web.

Lo strumento conosciuto a tutti e che usiamo maggiormente per navigare online è il browser, un software che ci permette di impostare un motore di ricerca, cercare direttamente siti web e salvare i preferiti, tra le varie cose.

Come ben sappiamo però non tutti i browser sono uguali e non tutti ci garantiscono gli stessi servizi e le stesse caratteristiche. Se i più usati sono sicuramente Chrome di Google, Safari per i sistemi iOS e Mozilla Firefox, esistono altri browser che ci permettono di navigare online in completa sicurezza e migliorando di molto la nostra privacy.

Certo, da una parte abbiamo la certezza che tutto sia compatibile, di poter avere le migliori estensioni e di poter sincronizzare diversi dispositivi, dall’altra abbiamo la possibilità di migliorare la nostra sicurezza online.

Nonostante i continui miglioramenti da parte dei browser più famosi, c’è ancora molto da fare in questo ambito, ecco perché esistono delle alternative valide e a costo zero. Andiamo dunque a vedere quali sono browser alternativi e più sicuri.

TOR

Sicuramente uno dei browser più attenti alla privacy e alla sicurezza dell’utente. Questo software infatti garantisce una crittografia totale della rete mentre navighiamo, inoltre protegge i nostri dati personali e ci rende anonimi anche mentre comunichiamo.

È disponibile in download gratuito per Windows, Mac e anche Linux e si tratta di un’applicazione open source.

OPERA
Opera è sicuramente più conosciuto di Tor e in molti casi si trova anche già preinstallato su alcuni dispositivi, soprattutto PC (mentre nei dispositivi mobili è presente la versione mini). Con questo browser, oltre ad essere molto veloce, avrete a disposizione un blocco annunci, il blocco del tracciamento della posizione, l’anonimato e una VPN integrata. Che cos’è una VPN? È un tunnel virtuale ultra sicuro in cui connettervi e tenere lontano possibili infiltrazioni di virus e malware vari.

EPIC BROWSER

Invece questo browser, al contrario di Opera, è dedicato interamente ai sistemi iOS, dunque ai Mac. Anche in questo caso, il browser non salva i dati della cronologia, non ha perdite DNS; non consente i coolie di terze parti e tutti i dati vengono eliminati immediatamente al momento della chiusura del browser.

Questi browser sono tutti completamente gratuiti e – come molti altri browser non famosi quanto la triade Chrome, Safari e Firefox – consentono all’utente di proteggersi da alcune insidie del web a cui siamo esposti molto facilmente ogni volta che ci colleghiamo ad internet.

Articolo di Stefania Grosso di Techwarn

Compilance, ottemperare al G.D.P.R.

La nostra suluzione per la compilance G.D.P.R.

Ottemperare correttamente alle disposizioni ed essere compliant al GDPR, le aziende devono definire un percorso di adeguamento e poter dimostrare le azioni implementate e quelle ancora da fare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento consigliato è articolato in 7 step, vediamoli nel dettaglio.

Il regolamento generale sulla protezione dei dati personali UE 2016/679 (GDPR), già in vigore ma pienamente applicabile dal 25 maggio 2018, ha introdotto un vero e proprio cambio di filosofia attraverso il superamento di un approccio marcatamente formalistico, basato su regole e adempimenti analiticamente definiti (per esempio elenco delle misure minime di sicurezza da adottare) e la definizione di un sistema articolato di governance dei dati personali.

Il “nuovo” sistema si basa su un’alta responsabilizzazione sostanziale (accountability) del Data Controller (Titolare del Trattamento), che deve garantire ed essere in grado di dimostrare la compliance al GDPR dei trattamenti di dati personali effettuati, e richiede la definizione di un vero e proprio modello di funzionamento della Data Protection.

In questo contesto, è fondamentale per ciascuna delle organizzazioni che deve adeguarsi definire un percorso strutturato e sostenibile per essere GDPR compliant entro maggio 2018 e, allo stesso tempo, essere in grado di dimostrare sia le azioni implementate, e le relative motivazioni, sia le azioni ancora da implementare, opportunamente inserite all’interno di un piano d’azione. Il percorso di adeguamento al regolamento europeo sulla privacy consigliato è articolato in 7 step:

  1. identificazione, comprensione e classificazione dei requisiti del GDPR in funzione degli assi del modello di funzionamento, mettendo in evidenza eventuali legami con normative settoriali (es. settore bancario – circolare n.285 del 17 dicembre 2013) e tenendo costantemente monitorata l’emanazione di nuove disposizioni e linee guida delle competenti Autorità nazionali ed europee;
  2. individuazione e ingaggio di tutti gli attori, sia interni sia esterni, chiamati a ricoprire un ruolo «attivo» in fase di pianificazione, esecuzione e monitoraggio di tale percorso, ma anche nella gestione del modello di funzionamento a regime (potrebbe essere importante coinvolgere, per esempio, le funzioni Legale, Organizzazione e Risorse Umane, Sistemi Informativi, Sicurezza e Compliance);
  3. analisi delle attuali modalità di gestione della Data Protection in relazione ai requisiti del GDPR e individuazione del livello di maturità dell’organizzazione in materia di protezione dei dati personali, evidenziando gli assi del modello per i quali sono già state implementate delle azioni GDPR compliant, almeno in parte (per esempio nomina di responsabili esterni del trattamento, adozione di procedure per la gestione dei diritti degli interessati);
  4. mappatura preliminare dei trattamenti e creazione del registro dei trattamenti (vedi articolo 30 del GDPR), con riferimento al duplice ruolo di titolare e responsabile del trattamento potenzialmente ricopribile dall’organizzazione, e identificazione del livello di rischio associato al singolo trattamento, da legare a variabili quali le categorie di dati trattati e di interessati coinvolti, l’utilizzo di sistemi automatizzati e il trasferimento di dati extra UE;
  5. identificazione e classificazione dei gap da colmare per essere GDPR compliance, sia a livello di modello di funzionamento della Data Protection sia a livello di singoli trattamenti censiti all’interno dei registri dei trattamenti, per i quali è necessario valutare attentamente i rischi di non conformità (sanzioni, perdite finanziarie rilevanti o danni reputazionali);
  6. definizione del piano di adeguamento complessivo (Action Plan), comprensivo di un elenco di azioni finalizzate a colmare i gap evidenziati da chi deve adeguarsi, organizzate in funzione di cantieri e sotto-cantieri di lavoro facilmente riconducibili ai requisiti del regolamento (es. cantiere “Legale” e sotto-cantieri “Diritti degli interessati”, “Informative e consensi”, “Fornitori e contratti”), ai quali è necessario attribuire un accountability univoca e condivisa tra i vari attori coinvolti nel percorso;
  7. implementazione del piano di adeguamento al GDPR precedentemente definito che, a titolo esemplificativo e non esaustivo, includerà: introduzione della figura del Data Protection Officer; stesura o aggiornamento di informative, consensi e lettere di nomina; predisposizione o aggiornamento di procedure (es. gestione dei diritti degli interessati), progettazione ed erogazione di iniziative volte sensibilizzare e formare dipendenti e collaboratori; revisione delle misure di sicurezza per la protezione dei dati personali

Per la buona riuscita del percorso, inoltre, occorre non sottovalutare la necessità di assicurare il coordinamento complessivo dello stesso attraverso: l’introduzione di un PMO (Program Management Officer); la realizzazione di allineamenti periodici, sia di natura operativa sia di natura strategica (Steering Committee); la raccolta, condivisione e archiviazione della documentazione prodotta all’interno di un unico repository.

Per concludere, è importante sottolineare che nell’ottica dell’accountability il percorso progettuale di adeguamento al GDPR costituisce già un elemento importante per la valutazione della compliance. È importante che tutte le decisioni rilevanti siano opportunamente documentate e consentano di ricostruire l’iter seguito. Andranno documentate, a titolo puramente esemplificativo, le decisioni di dotarsi o meno di un Data Protection Officer, le valutazioni circa l’adeguatezza delle misure di sicurezza adottate, le scelte di effettuare o meno una valutazione di impatto su un trattamento di dati personali.

Articolo preso da zerounoweb

Obbligo formazione, col Gdpr.

Obbligo della formazione per il nuovo regolamento privacy, il GDPR introduce l’obbligo della formazione a tutti i livelli, all’interno di società e P.A. Chi non si adegua rischia grosse sanzioni. Vediamo impatti, soluzioni e opportunità.

Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).

La base normativa

Si tratta di una novità rilevante in quanto il decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. aveva abrogato nel 2012 l’obbligo di formazione previsto al punto 19.6 del Disciplinare tecnico in materia di misure minime (allegato B al D.Lgs, 196 del 2004 “Codice della privacy) che prevedeva: “interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

La formazione privacy restava e resta obbligatoria nel settore sanitario v. art. 83 del Codice della Privacy che prevede l’obbligo delle strutture di attivare “ la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di estranei un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute” e di prevedere “la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di condotta analoghe al segreto professionale.

L’art. 29 del sopra citato regolamento prevede, infatti, che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare ”.

Il Gruppo di lavoro ex 29 nel parere n. 3/2010 aveva individuato tra le misure comuni concernenti la responsabilità “un’adeguata formazione ed istruzione del personale in materia di protezione dei dati. Il personale in questione dovrebbe includere gli incaricati (o responsabili) del trattamento dei dati personali, ma anche dirigenti e sviluppatori in campo informatico e direttori di unità commerciali”.

La centralità della formazione è confermata anche dall’art. 32 “Sicurezza del trattamento” paragrafo 4 che prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Come sarà la formazione

La formazione costituisce, pertanto, un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.  Essa dovrebbe, alla luce dell’impianto del Regolamento, presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pragmatico (come si evince dal termine “istruito” previsto all’art 29 e 32 del Regolamento) e riguardare tutti i soggetti.

La formazione dovrebbe essere finalizzata ad illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: nel caso di mancata erogazione della formazione scatta, infatti, ai sensi dell’art. 83 par 4 del Regolamento privacy europeo, la rilevante sanzione amministrativa pecuniaria fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore.

L’adempimento degli obblighi formativi è sovente oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy e da parte della Guardia di Finanza che ha rinnovato nel 2016 il protocollo di intesa con l’Autorità.

Il Garante, in diversi casi, in sede ispettiva ha richiesto, infatti, di acquisire il programma ed il piano di formazione, le dispense, i materiali erogati, il test finale ed ha analizzato il profilo delle istruzioni agli incaricati al trattamento connesse all’accesso, alla consultazione delle banche dati, i livelli di autorizzazione e policy aziendali (ad esempio in materia di password aziendali e di videosorveglianza).

La formazione costituisce, pertanto, una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.

Che devono fare PA e aziende

Gli Enti pubblici le imprese, pertanto, devono:

– pianificare quanto prima un percorso ed un piano di formazione;

– accantonare adeguate risorse in sede di approvazione di bilancio, al fine di arrivare preparati alla scadenza del 25 maggio 2018, data in cui il Regolamento, già in vigore, esplicherà i suoi effetti;

– prevedere prove finali nel percorso formativo, e sessioni di aggiornamento alla luce delle modifiche normative, organizzative e tecniche;

– individuare un percorso formativo alternativo, in caso di mancato superamento del test finale, ed un nuovo esame di verifica;

Nella progettazione dei corsi di formazione, occorre esaminare ed individuare: i fabbisogni formativi, la struttura dell’Ente o dell’impresa, i profili organizzativi, il target, i prerequisiti, le finalità generali e specifiche di ciascuna sessione formativa nonché le relative modalità di erogazione (in aula o a distanza) ed i precedenti corsi predisposti in materia.

Occorrerebbe, inoltre, stabilire aree di priorità di intervento, a titolo esemplificativo ma non esaustivo le figure apicali, gli amministratori di sistema, i nuovi assunti ed infine le persone autorizzate al trattamento.

Queste ultime, corrispondono agli ex incaricati del codice privacy e sono, sostanzialmente, tutti coloro che trattano dati personali. Essi dovranno essere appositamente nominati mediante una lettera di designazione contenete le istruzioni sui trattamenti che dovranno svolgere.

Nelle previsioni di budget è necessario considerare anche risorse specifiche per la formazione de Data protection Officer e dei componenti del team.

Il data protection officer, figura obbligatoria nelle pubbliche amministrazioni e organo di presidio e di controllo deve anch’esso, ai sensi dell’art. 39 del regolamento, occuparsi della “formazione del personale che partecipa ai trattamenti ed alle connesse attività di controllo”.

La previsione di tale compito a carico del DPO costituisce un ulteriore elemento di garanzia della centralità e dell’effettività della formazione che potrà nella logica del regolamento anche essere oggetto di specifici audit.

La formazione costituisce essa stessa una misura essenziale al fine di garantire un livello di sicurezza adeguato a garanzia del Titolare del trattamento, la pietra angolare del trattamento e sul quale ricade ogni responsabilità.

La previsione di eventi formativi diretti al personale e ai collaboratori concretizza il principio di “accountability” ossia di responsabilizzazione del Titolare del trattamento, previsto dal Regolamento europeo n. 679/16.

Ed invero, il titolare deve dimostrare che il trattamento dei dati sia lecito, corretto, trasparente, pertinente, adeguato, legittimo e che vengano, inoltre, rispettati i principi di minimizzazione, di conservazione dei dati e siano previste misure di sicurezza adeguate.

I dipendenti e i collaboratori potranno, infatti, trattare i dati solo se autorizzati ed entro i limiti delle istruzioni impartite dal titolare, il quale potrà comunque avvalersi come intermediario di altro soggetto debitamente autorizzato.

Il programma ed il piano formativo costituiscono, pertanto, dei tasselli rilevanti del cd sistema di gestione privacy in grado di concretizzare il principio di accountability inteso come capacità di dimostrare di avere adottato misure di sicurezza adeguate.

Si suggerisce, per tale ragione, di pubblicare il piano ed i relativi materiali formativi nella sezione intranet aziendale al fine di costituire un presidio di informazione e aggiornamento a beneficio di tutta l’organizzazione e di inserire i sopra citati atti come allegati al registro del trattamento.

In ambito pubblico la formazione sulla protezione dei dati non potrà non integrarsi con la digitalizzazione dei processi, con la riforma del Codice di Amministrazione digitale, con i codici di comportamento degli enti e con le ultime recenti novità normative in materia di trasparenza, prevenzione della corruzione, Foia e whistleblowing.

Nell’ottica di un miglioramento continuo e di una gestione in qualità del sistema privacy, sarebbe consigliabile, come alcuni enti stanno progettando, prevedere sessioni informative on line per sensibilizzare anche gli utenti sul valore della protezione dei dati personali, come diritto collettivo e sull’utilizzo consapevole e responsabile di Internet.

La formazione non deve essere considerata, pertanto, un mero adempimento burocratico ma come un’opportunità per rendere consapevoli gli operatori dei rischi connessi al trattamento dei dati, delle misure di sicurezza, per migliorare i processi organizzativi e i servizi erogati, evitare danni reputazionali, ridurre i rischi di sanzioni amministrative e rendere più competitiva l’organizzazione.

Procedura comunicazione dati RPD

Qui, la procedura descrita, per la comunicazione del RPD, infatti, in base all’articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati (RPD), in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 – punto 2.6).

Si ricorda, infatti, che in base all’articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell’Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all’adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf – da non utilizzare per la comunicazione al Garante – che consente di familiarizzare con l’adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

FAQ riportate dal sito del Garante Privacy

1. Chi è tenuto ad apporre la firma digitale?

La firma digitale deve essere apposta dal soggetto che materialmente effettua la comunicazione ed i cui dati (cognome, nome e indirizzo email) sono stati indicati nella sezione A del modulo.

2. Qualora la comunicazione venga effettuata su delega del rappresentante legale, è necessario allegare la delega?

No. È necessario indicare che la comunicazione viene effettuata su delega selezionando la corrispondente voce e indicando il cognome e nome del soggetto delegante.

3. Nel caso di più aziende appartenenti a un gruppo imprenditoriale, va effettuata una comunicazione per ogni azienda del gruppo?

Sì, in quanto l’obbligo di comunicazione è in capo al singolo titolare/responsabile del trattamento, sempre in presenza delle condizioni di cui all’art. 37, par. 1, lett. b) e c) del Regolamento.

4. Nel caso di comunicazione effettuata da parte di un gruppo imprenditoriale, è necessario compilare la sezione B1 del modulo?

La sezione B1 del modulo deve essere compilata solo nei casi previsti dall’art. 37, par. 2, del Regolamento, ossia solo nel caso in cui il gruppo abbia deciso di nominare un unico RPD.

5. In caso di nomina a RPD di una persona giuridica, come possono essere inseriti i relativi dati?

È necessario selezionare nella sezione C, al punto 1 “esterno” e al punto 2 “persona giuridica”.

6. Come mai, pur avendo compilato correttamente il modulo online, non si è ricevuta la mail con le istruzioni?

La mail con le istruzioni viene inviata alla casella di posta indicata nella sezione A del modulo. Occorre quindi verificare che la casella indicata sia abilitata alla ricezione di messaggi di posta elettronica ordinaria (molto spesso le caselle di posta elettronica certificata sono configurate in modo da non ricevere messaggi di posta elettronica ordinaria). Si consiglia, inoltre, di verificare che il messaggio non sia stato spostato automaticamente o per errore nella cartella “spam” o “posta indesiderata”.

7. Dopo aver effettuato il download del file da firmare, cosa si deve fare?

Occorre seguire le istruzioni ricevute con l’email. Si ricorda che in ogni caso il suddetto file non va inviato via email, ma solo caricato sulla piattaforma seguendo le istruzioni.

8. È possibile aprire il file scaricato al termine della compilazione del modulo?

Il file scaricato è in formato .xml e può essere aperto soltanto tramite appositi programmi. In ogni caso, come chiarito nelle istruzioni, “la minima modifica al file ricevuto comporterà il rigetto della comunicazione; pertanto, si raccomanda di non aprire il file ricevuto ma esclusivamente di procedere alla sua sottoscrizione digitale, previo salvataggio in locale”.

9. Perchè, pur avendo seguito le istruzioni di compilazione del modulo, si riceve un messaggio di comunicazione rigettata per un file non corrispondente a quello trasmesso?

Alcuni sistemi di posta elettronica possono alterare i file allegati, inserendo caratteri speciali: può così succedere che il file su cui è apposta la firma risulti difforme da quello che il sistema è impostato per riconoscere, con il conseguente rigetto della comunicazione. Per evitare questo tipo di problematiche, si consiglia di evitare di trasmettere il file da firmare mediante posta elettronica al soggetto che apporrà la firma digitale. E’ invece consigliabile completare la procedura di comunicazione e successiva applicazione della firma digitale dalla stessa postazione di lavoro del soggetto firmatario, che come indicato nelle istruzioni, deve coincidere con il soggetto che effettua la comunicazione (vedi sez. A del modulo).

10. In che modo è possibile correggere eventuali inesattezze o errori inseriti nella comunicazione una volta che la procedura è terminata?

In questo caso è necessario ripetere la procedura. La nuova comunicazione sostituirà la precedente, come chiarito nelle istruzioni: “Eventuali ulteriori comunicazioni effettuate per conto dello stesso Titolare/Responsabile, qualora accettate, saranno intese come integrale sostituzione di quanto già comunicato in precedenza”.

11. Cosa occorre fare se, una volta compilato il modulo e fatto l’upload del file firmato, si riceve una e-mail con l’avviso che la comunicazione è stata rigettata e, successivamente, se si tenta un nuovo upload, viene segnalato il testo di errore: “upload già effettuato”?

In questi casi, è necessario ripetere la procedura partendo dall’inizio, cioè effettuando una nuova compilazione dei dati (a cui seguirà l’attribuzione di un nuovo ID provvisorio di comunicazione, con l’invio di un nuovo file da firmare).

12. Cosa occorre fare se è stato effettuato l’upload del file ma non si riceve l’e-mail con il riscontro di avvenuta comunicazione?

Terminato l’upload, la piattaforma procede alle verifiche indicate nelle istruzioni e quindi all’invio del riscontro o del rigetto, seguendo l’ordine di arrivo delle comunicazioni. Tenuto conto delle numerose comunicazioni che stanno pervenendo in questi giorni, la procedura potrebbe richiedere anche qualche ora e l’arrivo dell’e-mail di riscontro potrebbe tardare un pò. Eventuali informazioni possono essere richieste inviando una mail all’URP del Garante, indicando l’ID provvisorio di comunicazione.

Videosorveglianza il GDPR in merito

La videosorveglianza secondo il GDPR deve rendere più chiaro il processo di trattamento delle immagini e il rispetto dei diritti degli interessati. Le sanzioni invece inaspriscono.

Prima dell’entrata in vigore del GDPR, il tema della videosorveglianza è stato trattato approfonditamente dal Garante della Privacy, il quale ha emesso diversi documenti e provvedimenti in materia di protezione dei dati personali.

Le attività da svolgere per essere a norma non cambiano ma diventano molto più precise e soggette a sanzioni.

Segnalare l’area videosorvegliata con un cartello

Il GDPR impone l’obbligo di segnalare il sistema di videosorveglianza: le persone devono essere a conoscenza che l’area è monitorata prima di accedervi.

Il cartello “area videosorvegliata” è da porre in ogni area monitorata dalle telecamere.

Il cartello deve essere posto sia se la videosorveglianza presuppone una registrazione, sia se la videosorveglianza è solo a scopo di fruizione.

Il cartello area videosorvegliata va compilato con il nome dell’organizzazione e lo scopo dell’attività di monitoraggio video.

L’informativa sulla privacy

Vicino alla zona di ripresa è necessario applicare un’informativa circostanziale, in grado di illustrare in modo generico la titolarità dei dati, la descrizione delle apparecchiature di videosorveglianza e il trattamento dei dati raccolti.

Dove posizionare le telecamere

I sistemi di ripresa possono essere installati solo in particolari luoghi, dai quali sono esclusi i bagni, aulee scolastiche, spogliatoi, ecc.

All’interno di un luogo di lavoro è necessario richiedere i permessi sindacali e all’Ispettorato del Lavoro.

La durata delle registrazioni video

Le registrazioni delle telecamere possono essere mantenute per un tempo che va dalle 24h a massimo 72h: in caso di permessi e situazioni particolari, questo range temporale può essere esteso a tempo determinato.

Modalità di accesso ai dati personali

La videosorveglianza è un metodo di acquisizione del dato da trattare, pertanto è necessario rispettare i diritti dell’interessato.

Si consiglia la nomina di un DPO in grado di rendere la compliance GDPR attendibile e “certificata”.

 

Articolo a cura di Elisa Garioni – del

Nomina DPO, usuale il conflitto di interesse

Nomina del DPO, è ormai usuale la regola di riconoscimento che devono seguire tutte le pubbliche amministrazioni e le migliaia di aziende private che hanno l’obbligo di dotarsi di un “data protection officer” (DPO) è chiaramente espresso nell’art. 37 del Regolamento UE 2016/679, dove è prescritto che il responsabile della protezione dei dati deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, concetto ribadito anche nelle raccomandazioni contenute nelle Linee Guida  243 approvate dal Gruppo dei Garanti europei, ora tradotte in italiano a cura dell’Authority italiana.

Eppure, in base ai risultati che stanno emergendo da uno studio attualmente in corso, sembra che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà nella identificazione e nomina non riuscendo a distinguere perfino la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell’informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi associati agli asset informatici al fine di proteggere i dati dai potenziali attacchi. Non sono infatti poche le società italiane che affidano l’incarico di data protection officer ad una risorsa del proprio reparto IT, o addirittura in alcuni casi a soci e/o componenti del direttivo, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d’altra parte le conoscenze giuridiche, indispensabili per districarsi trai meandri della normativa per evitare sanzioni che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.

Tuttavia, che la scelta della nomina di un informatico puro come data protection officer, o addirittura la designazione come tale di una risorsa che appartiene alla funzione IT, siano prassi che comportano elevati rischi di violazione della stessa normativa, è dimostrato dal caso emblematico di una società tedesca che è stata sanzionata dal Garante per la privacy bavarese perché aveva nominato DPO il proprio IT manager, configurando una situazione di palese incompatibilità. A spiegare come evitare simili violazioni, è il presidente di Federprivacy, Nicola Bernardi: “Un titolare del trattamento che designa il proprio IT manager come data protection officer, non solo deve dimostrare che tale persona possegga effettivamente le conoscenze specialistiche della normativa come richiesto all’art.37 del Regolamento, ma deve anche assicurare che altri compiti e funzioni da questo svolte non diano adito a un conflitto d’interessi, come prescritto nell’art.38, perché altrimenti il DPO dovrebbe in pratica controllare se stesso – sottolinea il presidente di federprivacy.

Il soggetto individuato e investito della nomina come DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, etc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

È chiaro come l’introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l’importanza, la diffusione e la complessità che l’ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo. Fonte: Osservatorio Privacy Avv. Cristiano Cominotto 

Continua a Leggere→

Periodo transitorio GDPR

Periodo transitorio di otto mesi per l’applicazione delle sanzioni del GDPR: a prevederlo è il decreto di adeguamento approvato dal Consiglio dei Ministri dell’8 agosto 2018.

Approccio soft al GDPR per le imprese e la Pubblica Amministrazione: il decreto di adeguamento al nuovo Regolamento UE stabilisce un periodo transitorio di 8 mesi.

Le PMI dovrebbero essere salve dalle ispezioni della Guardia di Finanza e dalle salate sanzioni applicate dal Garante in caso di violazioni e di mancato adeguamento al GDPR.

È questa una delle novità contenute nel testo del decreto approvato dal Consiglio dei Ministri dell’8 agosto 2018 che, dopo quasi due mesi dall’entrata in vigore della riforma della privacy, trova l’ok definitivo del Governo.

La notizia è riportata da molte fonti di stampa ma è bene chiarire che il testo del decreto non è ancora stato pubblicato e che, come sempre, sarà necessario attendere la pubblicazione in Gazzetta Ufficiale per poterne dare conferma ufficiale.

GDPR, sanzioni e ispezioni in stand-by. Decreto di adeguamento con periodo transitorio

L’adeguamento al GDPR è stato tutt’altro che semplice per le tante imprese e professionisti tenute e fare i conti con il nuovo regolamento europeo sulla privacy.

Operativo dal 25 maggio 2018, per la piena attuazione del Regolamento UE 2016/679 mancava proprio il decreto di adeguamento con il quale l’Italia era tenuta ad uniformare le proprie regole e la propria normativa a quelle comunitarie.

Il decreto attuativo si è fatto attendere circa due mesi ma la notizia positiva per le imprese è che il testo approvato dal Consiglio dei Ministri l’8 agosto 2018 darà di fatto più tempo per mettersi in regola.

Il periodo transitorio di otto mesi salverà dalle ispezioni della Guardia di Finanza e, soprattutto, dalle sanzioni previste dal GDPR che, ricordiamo, saranno ispirate ai principi di proporzionalità ed effettività e calcolate secondo due diversi parametri:

  • 10 milioni di euro o 2% del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non avranno nominato il DPO, non comunichino data breach all’Autorità garante, violino le condizioni sul consenso dei minori oppure che trattino in maniera illecita i dati personali degli utenti;
  • 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Inoltre, il decreto di adeguamento approvato dal Consiglio dei Ministri demanda al Garante la possibilità di stabilire specifiche esenzioni per le PMI, con misure di semplificazione per i titolari del trattamento dei dati.

Privacy, ecco come saranno i controlli della Guardia di Finanza

Una volta trascorso il periodo transitorio di otto mesi, prenderanno il via i controlli e le ispezioni della Guardia di Finanza. A spiegare come si svolgeranno era stato il Comandante del Nucleo Speciale Privacy della Guardia di Finanza, Marco Menegazzo.

Durante il Privacy Day Forum tenutosi proprio il 25 maggio, era stato chiarito che nonostante le difficoltà dovute alla mancata approvazione della decreto di adeguamento, i controlli sarebbero partiti da subito.

Vi sono alcuni adempimenti obbligatori che il GDPR prevede che ciascuna impresa o professionista effettui entro il 25 maggio 2018 e sono proprio questi i punti sui quali si soffermerà la Guardia di Finanza.

Si tratta dell’obbliga di nomina del DPO, così come i controlli sulle misure previste dall’azienda nel caso di data breach ovvero sulla tenuta del registro dei trattamenti, che per le Fiamme Gialle sarà la base per l’avvio di qualsiasi attività ispettiva.

L’attività ispettiva della Guardia di Finanza sul rispetto delle novità privacy avrà importanza fondamentale nel consentire al Garante di stabilire la misura delle sanzioni, ove previste.

L’importo della multa sarà determinato in base agli elementi raccolti durante le ispezioni, sulla base dei principi di effettività, proporzionalità e dissuasività.

Il tutto, però, una volta trascorso il periodo transitorio di otto mesi che, a scanso di cambi di rotta, troverà posto nel testo del decreto attuativo del GDPR.

Decreto di adeguamento GDPR, non sarà abrogato il Codice della Privacy

Per semplificare la procedura di adeguamento delle leggi italiane al GDPR il Codice della Privacy non sarà abrogato come precedentemente previsto ma modificato e integrato con le novità introdotte, tra le quali il principio di accountability.

Inoltre, il Consiglio dei Ministri ha scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.

Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.

A fronte delle importanti novità introdotte, a questo punto non si può che sperare che il testo del decreto di adeguamento venga pubblicato presto in Gazzetta Ufficiale.

Moratoria, il GDPR Italiano

Il Consiglio dei Ministri approva in via definitiva il decreto attuativo del GDPR: regole semplificate per le PMI e moratoria di otto mesi per controlli e sanzioni.

Moratoria di otto mesi per i controlli sull’adeguamento al GDPR e semplificazioni per le PMI: sono alcuni punti fondamentali del decreto approvato dal Governo di adeguamento alle nuove regole europee. Si tratta, tecnicamente, dell’attuazione dell’articolo 13 della legge di delegazione europea 2016-2017, che coordina la normativa nazionale con la legge UE. L’Italia sceglie una strada già intrapresa da altri Paesi, prevedendo un periodo soft di applicazione del GDPR, senza controlli e sanzioni, da parte del Garante.

«Si è scelto di garantire la continuità facendo salvi, per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti» segnala il Consiglio dei Ministri al termine della riunione dell’8 agosto 2018.

Non solo: «in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento».

Titolare del trattamento

Il titolare del trattamento è, in base al GDPR, «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri». Nel caso dell’impresa quindi, è la persone giuridica “impresa” ad avere la titolarità del trattamento, la cui responsabilità viene affidata a un responsabile del trattamento. Che è «colui che tratta dati personali per conto del titolare del trattamento».

Provvedimenti del Garante

Chiariti questi aspetti, il punto è che la normativa italiana prevede semplificazioni per le PMI, che saranno messe a punto da provvedimenti del Garante. C’è poi, per tutte le imprese e gli altri soggetti giuridici tenuti al rispetto delle nuove norme sulla privacy, la moratoria su ispezioni e sanzioni per un periodo di otto mesi. C’è quindi tempo per adeguare le proprie procedure fino al gennaio 2019.

Si attende intanto la pubblicazione del testo integrale del decreto di adeguamento nella Gazzetta Ufficiale.

Doveri, come trattare i dati

Doveri e Principi generali del trattamento di dati personali

Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:

  • doveri di liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
  • limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
  • doveri di minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • doveri di limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

Il Regolamento (articolo 5, paragrafo 2) richiede al titolare di dovere rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è il principio detto di “responsabilizzazione” (o accountability) che viene poi esplicitato ulteriormente dall’articolo 24, paragrafo 1, del Regolamento, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.” 

Assicurare la liceità del trattamento di dati personali rientra tra i doveri del Titolare

Il Regolamento, come già il d.lgs 196/2003 Codice in materia di protezione dei dati personali, prevede che ogni trattamento deve trovare fondamento in un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali sono indicati all’articolo 6 del Regolamento:

– consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Per quanto riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento), il loro trattamento è vietato, in prima battuta, a meno che il titolare possa dimostrare di soddisfare almeno una delle condizioni fissate all’articolo 9, paragrafo 2 del Regolamento, che qui ricordiamo: 

  • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale. 

Consenso, rientra tra i doveri

Quando il trattamento si fonda sul consenso dell’interessato, il titolare  deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:

  • all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
  • è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica. 

Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).

Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).

Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” (per le categorie particolari di dati di cui all’articolo 9 Regolamento).

Per approfondimenti: Linee-guida del WP29  sul consenso, qui disponibili: www.garanteprivacy.it/regolamentoue/consenso. Si segnalano anche le linee-guida in materia di profilazione e decisioni  automatizzate del Gruppo “Articolo 29” (WP 251), qui disponibili: www.garanteprivacy/regolamentoue/profilazione.

Interesse vitale di un terzo

Si può invocare tale base giuridica per il trattamento di dati personali solo se nessuna delle altre condizioni di liceità può trovare applicazione (considerando 46).

Interesse legittimo prevalente di un titolare o di un terzo

Il ricorso a questa base giuridica per il trattamento di dati personali presuppone che il titolare stesso effettui un bilanciamento fra il legittimo interesse suo o del terzo e i diritti e libertà dell’interessato. Dal 25 maggio 2018, dunque, tale bilanciamento non spetta più all’Autorità, in linea di principio. Si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal Regolamento 2016/679.

L’interesse legittimo del titolare o del terzo deve risultare prevalente sui diritti e le libertà fondamentali dell’interessato per costituire un valido fondamento di liceità.

I Regolamento chiarisce espressamente che l’interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

Si ricordi, inoltre, che il legittimo interesse non può essere invocato isolatamente quale base giuridica per il trattamento delle categorie particolari di dati personali (articolo 9, paragrafo 2, del Regolamento).

Trasparenza del trattamento: l’informativa agli interessati

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni anche per  metterlo nelle condizioni di esercitare i propri diritti (articoli 15-22 del Regolamento medesimo). 

QUANDO

L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) rientra tra i doveri e deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento). 

Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevedeva l’articolo 13, comma 4, del Codice).

COSA

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. 

In tutti i casi, il titolare nei propri doveri, deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

COME

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online:  articolo 12, paragrafo 1, e considerando 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1). 

Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (articolo 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.

In base al Regolamento, rientra tra i doveri, di porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. In particolare, bisogna ricordare che per i minori si devono prevedere informative idonee (anche considerando 58).

Per maggiori dettagli ed esempi di redazione di informative,  il documento del WP29 in materia di “Trasparenza” del trattamento, qui disponibile: www.garanteprivacy.it/regolamentoue/trasparenza

Un approccio responsabile al trattamento: Accountability

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (artt. 23-25, in particolare, e l’intero Capo IV del Regolamento). Dunque, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento.

Il primo fra i doveri è che sintetizzato dall’espressione inglese “data protection by default and by design” (articolo 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’articolo 25, paragrafo 1, del Regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Fondamentali fra tali attività e doveri, sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari: ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt. 35- 36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy.it/Regolamentoue/DPIA). (Vedi anche: il tutorial del Garante sul concetto di “rischio”)

All’esito di questa valutazione di impatto, il titolare:

  • potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
  • rientra tra i doveri di consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

In conseguenza dell’applicazione del principio di accountability, dal 25 maggio 2018 non sono più  previste

  • la notifica preventiva dei trattamenti all’autorità di controllo;
  • una verifica preliminare da parte del Garante per i trattamenti “a rischio” (anche se potranno esservi alcune eccezioni legate a disposizioni nazionali, previste in particolare dall’articolo 36, paragrafo 5 del Regolamento). 

Al loro posto, il Regolamento prevede in capo ai titolari l’obbligo (pressoché generalizzato) di tenere un registro dei trattamenti e, appunto, di effettuare valutazioni di impatto in piena autonomia con eventuale successiva consultazione dell’Autorità. 

Principio di “responsabilizzazione” doveri dei titolari e responsabili del trattamento: principali elementi

Rapporti contrattuali fra titolare e responsabile del trattamento

Il Regolamento definisce caratteristiche soggettive e responsabilità di titolare e responsabile del trattamento negli stessi termini di cui alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.

Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in particolare: 

  • la natura, durata e finalità del trattamento o dei trattamenti assegnati
  • le categorie di dati oggetto di trattamento
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento

Inoltre, il Regolamento prevede dei doveri e delgi obblighi specifici in capo ai responsabili del trattamento, distinti da quelli pertinenti ai rispettivi titolari. Ciò riguarda, in particolare:

  • la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo 2); 
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (articolo 32); 
  • la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (articolo 37).

Una novità importante del Regolamento è la possibilità di designare sub-responsabili del trattamento da parte di un responsabile (articolo 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (articolo 82, paragrafo 1 e paragrafo 3).

Registro dei trattamenti rientra tra i doveri

Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti – ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) – devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. I contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. 

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Misure di sicurezza e doveri

Il titolare del trattamento, come pure il responsabile del trattamento, ha tra i doveri, quello di adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato).

Fra tali misure e doveri, il Regolamento menziona, in particolare, la pseudonimizzazione e la cifratura dei dati; misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; misure atte a garantire il tempestivo ripristino della disponibilità dei dati; procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). 

Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (articolo 33 Codice) poiché tale valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da articolo 32 del Regolamento.

Vi è, inoltre, la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate (articolo 32, paragrafo 3).

Notifica di una violazione dei dati personali rientra tra i doveri del Titolare

A partire dal 25 maggio 2018, tutti i titolari  dovranno notificare al Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta al titolare. 

Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’articolo 34. 

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli articolo 33 e 34 del Regolamento.

Tutti i titolari di trattamento hanno tra i propri doveri, quello, in ogni caso di documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provmenti adottati (articolo 33, paragrafo 5). È bene, dunque,  adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Si segnalano, al riguardo, le linee-guida in materia di notifica delle violazioni di dati personali del Gruppo “Articolo 29”, qui disponibili: www.garanteprivacy/regolamentoue/databreach

Responsabile della protezione dei dati e i propri doveri

La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39). Non è un caso, infatti, che fra i compiti e i doveri del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo 35, oltre alla funzione di punto di contatto per gli interessati e per il Garante rispetto a ogni questione attinente l’applicazione del Regolamento. 

La sua designazione è obbligatoria e rientra tra i doveri, in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali:  articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd).

Si segnalano anche i materiali disponibili nella sezione “Responsabile della protezione dati” sul sito del Garante, che comprendono ulteriori FAQ sul punto (www.garanteprivacy/regolamentoue/rpd)

I diritti e i doveri degli interessati

I titolari del trattamento devono rispettare le modalità previste per l’esercizio di tutti i diritti da parte degli interessati, stabilite, in via generale, negli artt. 11 e 12 del Regolamento

– In primo luogo, il titolare del trattamento ha tra i propri doveri di agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile del trattamento è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti (articolo 28, paragrafo 3, lettera e) ).

– Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha tra i propri doveri di fornirle, secondo modalità idonee (, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).

– Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), pari a 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

– La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

– Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se  si tratta di richieste manifestamente infondate o eccessive  – anche ripetitive (articolo12, paragrafo 5) – ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). In quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; articolo 15, paragrafo 3).

Trasferimento dei dati all’estero e/o Verso Paesi appartenenti all’Unione europea

Non possono esservi limitazioni né divieti alla libera circolazione dei dati personali nell’Unione europea per motivi attinenti alla protezione dei dati (Articolo 1, paragrafo 3 del Regolamento). Pertanto, non vi sono limiti di alcun genere per quanto riguarda i flussi di dati dall’Italia verso altri Stati membri dell’Ue (e dello Spazio Economico Europeo: Islanda, Norvegia, Liechtenstein).

Verso Paesi non appartenenti all’Unione europea

Il  trasferimento di dati personali verso Paesi non appartenenti all’Unione europea è vietato, in linea di principio.

Tale divieto può essere superato solo quando intervengano le seguenti specifiche garanzie (articoli da 44 a 49 del Regolamento UE 2016/679):

a) adeguatezza del Paese terzo riconosciuta tramite decisione della Commissione europea;

b) in assenza di decisioni di adeguatezza della Commissione, garanzie adeguate di natura contrattuale o pattizia che devono essere fornite dai titolari coinvolti (fra cui le norme vincolanti d’impresa – BCR, e clausole contrattuali tipo);

c) in assenza di ogni altro presupposto, utilizzo di deroghe al divieto di trasferimento applicabili in specifiche situazioni (articolo 49 del Regolamento).

Sono altresì vietati trasferimenti di dati verso titolari o responsabili in un Paese terzo sulla base di decisioni giudiziarie o ordinanze amministrative emesse da autorità di tale Paese terzo, a meno dell’esistenza di accordi internazionali in particolare di mutua assistenza giudiziaria o analoghi accordi fra gli Stati (articolo 48 del Regolamento UE 2016/679). Si potranno utilizzare, tuttavia, gli altri presupposti e in particolare le deroghe previste per situazioni specifiche di cui all’articolo 49 del Regolamento medesimo. E’ lecito trasferire dati personali verso un Paese terzo non adeguato “per importanti motivi di interesse pubblico”, in deroga al divieto generale, ma deve trattarsi di un interesse pubblico riconosciuto dal diritto dello Stato membro del titolare o dal diritto dell’Unione europea (articolo 49, paragrafo 4) – e dunque non può essere fatto valere l’interesse pubblico dello Stato terzo ricevente.

Si segnalano le raccomandazioni del Comitato europeo per la protezione dei dati relative all’utilizzo delle “deroghe” per i trasferimenti di dati di cui all’Articolo 49 del Regolamento. 

25 Maggio, GDPR, chi e perchè

https://www.studiocataldi.it/images/imgnews/gdpr_privacy_avvocato-id29780.jpg25 maggio 2018 entra in vigore il GDPR, il regolamento europeo 2016/679 che rende omogenea la normativa a tutela dei dati personali in tutti gli stati dell’Unione Europea.

Riguarda chiunque raccolga e tratti dati di persone fisiche, come accade ad esempio attraverso un modulo contatti sul proprio sito web.
Il titolare dei dati (ovvero il proprietario del sito) deve avere un consenso esplicito, informato e documentabile per ognuna delle finalità per cui vengono raccolti dati personali.

Nel caso di un modulo di contatto la finalità di base che l’utente sottoscrive è solo quella di ricevere una risposta alla richiesta inviata, ogni altro utilizzo della sua email o del suo numero di telefono riguardano finalità diverse che necessitano un consenso esplicito da parte sua (ad esempio a ricevere newsletter, essere contattato per offerte future, essere inserito in una banca dati…).

Ti ricordiamo pertanto che, se non l’hai ancora fatto, in quanto titolare dei dati sei tenuto ad adeguare la tua azienda alla normativa, comprendendo anche l’aggiornamento del tuo sito web, e tutto entro il 25 maggio 2018.
Questo vale anche per chi già era a norma con il regolamento italiano, che il GPDR va a sostituire.

Il regolamento prevede rigide sanzioni che possono raggiungere il 4% del fatturato dell’anno precedente.

Per l’adeguamento al GDPR è consigliabile una consulenza Tecnico-legale da parte di un professionista in materia.

Il GDPR, al 25 maggio 2018, tutela i principi e i diritti fondamentali, garantendo agli utenti la possibilità di avere pieno controllo e governo dei propri dati, indipendentemente dal nome della società che li utilizza.

I benefici sono numerosi e di differente natura. Ad esempio possono essere relativi al contesto dei servizi, della pubblicità di prodotti e del marketing in generale, così come possono riferirsi ad aziende che utilizzano propri contenuti e informazioni personali. Altre prescrizioni del GDPR facilitano la migrazione da un fornitore di servizi ad un altro, grazie alla possibilità di richiedere la portabilità delle informazioni.

Di seguito inseriremo alcuni link ad articoli che ti aiuteranno a colmare, a seconda della tua categoria, il dubbio sul GDPR, il normale dubbio che tutti si chiedono, “ma devo adegurami?” e tutto entro il 25 maggio 2018.

  1. Siti WEB, artigiani, studi e negozi
  2. Guida per studi legali
  3. D.P.O. per studi medici
  4. D.P.O. in farmacia, obbligo o cautela
  5. GDPR e gli agenti di commercio
  6. B&B obbligo?

In 8 punti spieghiamo il GDPR

Risultati immagini per gdprIl GDPR è una materia vasta e complessa che tocca diversi punti nevralgici dell’azienda.

Destreggiarsi tra i vari articoli e capire concretamente cosa bisogna fare per mettersi in regola è complicato, soprattutto per quelle aziende che con fatica possono distogliere l’attenzione dai propri obiettivi di business.

Questo è il primo di una serie di post legati al Regolamento per la protezione dei dati che ci permetterà di approfondire sempre di più la materia e dare consigli pratici e soluzioni da adottare per rispondere ai requisiti.

1) Il GDPR cos’è

Con GDPR, acronimo di General Data Protection Regulation, si intende il Regolamento UE 2016/679 entrato in vigore il 24 maggio e direttamente applicabile dal 25 maggio 2018, termine ultimo per adeguarsi ai principi

L’intera normativa GDPR si basa su due importanti direttrici: il rafforzamento del concetto di responsabilizzazione e dei doveri che ne conseguono per il Titolare del trattamento e il rafforzamento dei diritti dell’interessato.

Il Titolare del trattamento, quindi, deve adeguarsi ai principi del Regolamento, mettendo in atto misure tecniche e organizzative per provarne l’adattamento e assicurarne il mantenimento.

Per ottemperare agli obblighi del GDPR, sono necessari due elementi:

Privacy by design → già in fase di progettazione dei sistemi informativi e dei mezzi per il trattamento, devono essere designate le misure tecniche e organizzative adeguate
Privacy by default → Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

2) I principi guida del GDPR

Oltre al principio cardine della responsabilizzazione, sono da annoverare i seguenti punti chiave:

Liceità, correttezza e trasparenza → i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
Minimizzazione dei dati → i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità
Esattezza → i dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti
Limitazione della conservazione → i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati

Integrità e riservatezza → i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali.

3) Chi deve adeguarsi al GDPR

A chi si applica il GDPR?

Questo Regolamento coinvolge tutte le aziende europee che gestiscono in vari modi i dati personali; in particolare:

si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (art.3)

Non rientrano, quindi, nel tema, tutte le attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale.

4) I diritti dell’interessato

Se da una parte vengono elencati gli obblighi per i Titolari del trattamento, dall’altra vengono elaborati dei diritti a favore dell’interessato del trattamento. Fra questi:

Informativa sul trattamento. Le informazioni relative al trattamento devono essere presentate in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’interessato ha il diritto di essere informato sulla finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati, sul periodo di conservazione dei dati, sulle modalità per richiedere la rettifica o la cancellazione
Diritto di accesso. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano
Diritto di rettifica e di cancellazione (o “diritto all’oblio). L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica o la cancellazione dei dati personali inesatti che lo riguardano senza ingiustificato ritardo
Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti
Diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali

5) Una nuova figura: il DPO

Il Regolamento introduce una nuova figura, il DPO, ovvero il Data Protection Officer.

In cosa consiste il ruolo del DPO? Il DPO, innanzitutto, può essere un dipendente o un consulente esterno.

Il DPO, come dice già il suo nome, è il Responsabile della Protezione dei Dati (diverso dal Responsabile o Titolare del trattamento). Quali sono i suoi compiti?

Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR
sorvegliare l’osservanza del GDPR, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
fungere da punto di contatto per l’autorità di controllo

6) Strumenti per garantire la sicurezza dei dati personali

Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative utili per garantire un livello di sicurezza adeguato al rischio, che comprendono, solo a titolo di esempio,

la pseudonimizzazione e la cifratura dei dati personali
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

7) Inventario degli asset tecnologici (o “Asset Inventory”)

Su questo tema, verrà riservato un post specifico, entrando un po’ più negli aspetti pratici su che cosa devono fare concretamente le aziende.

Tra le azioni pratiche da adottare per rispondere ai requisiti richiesti dal GDPR è importante l’Asset Inventory (o inventario degli asset tecnologici).

L’inventario degli asset tecnologici serve ad avere una panoramica completa di tutti gli elementi che compongono il sistema, compresi quelli preposti alla sicurezza e alla gestione delle informazioni. Alcuni degli elementi da censire:

Dispositivi: Computer, server, tablet, dispositivi di rete ma anche telecamere IP, apriporta, sistemi di rilevazione presenza, …
Software: Dotazione software dei dispositivi presenti in rete e informazioni dettagliate degli stessi.
Archivi: Database, condivisioni di file
Utenti: Elenco degli utenti che hanno diritto all’accesso a dispositivi e software presenti in azienda

L’Asset Inventory è lo step intermedio tra la stesura del Registro dei trattamenti e il Sistema informativo. Attraverso il Registro dei trattamenti, i Responsabili dell’azienda stilano una lista di tutti gli applicativi utilizzati per il trattamento. Il Registro può essere sia in forma scritta sia in formato elettronico e rappresenta un censimento, costantemente aggiornato, dei dati trattati, degli archivi, delle categorie degli interessati. A questo si aggiunge l’Asset Inventory, l’inventario di tutti gli asset tecnologici presenti in azienda.

8) Cos’è il Data Breach e cosa comporta

Cosa succede in caso di violazione dei dati personali (chiamata anche Data Breach)?

In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

La notifica deve avere le seguenti caratteristiche:

Descrivere la natura della violazione dei dati personali compresi,
Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
descrivere le probabili conseguenze della violazione dei dati personali
descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

a chi si applica il GPDR?

Risultati immagini per chi si deve adeguarsi al gdprA chi si applica?, negli ultimi vent’anni, il forte impatto della tecnologia ha comportato un cambiamento significativo per quanto attiene al trattamento dei dati: è cambiato non solo il modo di percepire il tema della protezione dei dati, ma anche il modo in cui essi vengono prodotti, raccolti e fatti circolare. Questo mutamento ha ormai reso obsoleta la precedente direttiva europea (dir 95/46/CEE), rendendo necessaria l’introduzione del nuovo Regolamento UE 679/2016, che muta radicalmente l’approccio alla gestione dei dati personali.

Il GDPR, pubblicato in GUCE del 4 maggio 2016, il è già in vigore e deve trovare piena e completa applicazione in data 25 maggio 2018.
Questo pertanto è il primo  di una serie di blog con i quali si affronterà – punto per punto – la nuova disciplina.

La prima domanda che viene spontanea è quindi: a chi si applica il nuovo Regolamento 679?
Circa la sua applicazione materiale, l’art. 2 del Regolamento stabilisce che lo stesso deve trovare applicazione in due ipotesi:

  1. quando il trattamento dei dati è gestito in forma completamente o parzialmente automatizzata dall’azienda, ad esempio tramite database.
  2. ed altresì quando il trattamento dei dati non è automatizzato (quindi è cartaceo) ma i dati contenuti ed organizzati in un archivio o essere destinati a figurarvi.

In questo senso, indipendentemente dalla modalità con la quale le aziende decidono di raccogliere i dati, le stesse devono comunque sottostare alla medesima disciplina. In questo modo, la tutela dei dati risulta tecnologicamente neutrale.

Quando, invece, NON si applica il Regolamento? Sono esclusi i casi di trattamento di dati puramente personale da parte di persone fisiche, come la gestione della corrispondenza privata, o l’uso personale dei servizi di social networking. Le attività miste (ad esempio, l’invio di corrispondenza che comprende sia contenuti personali, sia contenuti connessi alle imprese) non sono invece esenti, e devono pertanto seguire le indicazioni del Regolamento 679/2016. Inoltre per l’applicazione della normativa non incide né il settore né la grandezza dell’organizzazione: gli stessi adempimenti si applicano alle piccole imprese e grandi multinazionali, con pochissime eccezioni.

In definitiva, il nuovo Regolamento si inserisce nell’ordinamento europeo con lo scopo  ridisciplinare e gestire in maniera diversa i dati personali. Il Regolamento colma le lacune giuridiche derivanti dal rapido sviluppo della tecnologia, che oggi è presente anche negli aspetti più personali della vita degli individui, e che era necessario regolamentare. 

Tabella Adempimenti GDPR

Con questa tabella si offre a disposizione dell’utenza uno schema sintetico degli obblighi/adempimenti/cautele di spettanza del titolare del trattamento in base alle norme del GDPR – Regolamento UE 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali).

Per una esigenza di articolazione e maggiore significatività della tabella, gli obblighi/adempimenti/cautele sono riportati come di seguito:

Adempimento

Capo,

articolo

I principi applicabili al trattamento dei dati personali

I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un’adeguata sicurezza.

II – 5

Acquisizione del consenso da parte dell’interessato

e casistica di esonero dal relativo obbligo

Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato. 

II – 6, 7

Il consenso dei minori a fronte di servizi ICT

Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all’offerta diretta di servizi della società dell’informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza. 

II – 8

Trattamento di particolari categorie di dati

E’ formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti ‘sensibili’, oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l’interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di  sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell’interessato; i dati personali sono stati resi pubblici dall’interessato, ecc.

II – 9

Trattamento di dati relativi a condanne penali e reati

Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti ‘giudiziari’ deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

II – 10

Trasparenza nella gestione dei trattamenti

Il titolare è tenuto ad adottare misure appropriate per fornire all’interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l’esercizio dei diritti da parte dell’interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).

III – 12

Informativa all’interessato

Adempimento basilare per qualsiasi titolare, si giova necessariamente di  una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell’informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l’interessato ovvero presso un soggetto diverso. 

III – 13, 14

Il rispetto dei diritti dell’interessato

Il Regolamento formalizza un ampio catalogo di diritti che spettano all’interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all’oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare.

III – 15, 1617, 1820, 21

Il particolare caso dei processi decisionali automatizzati

E’ riconosciuto il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall’art. 4.1, n. 4). Il correlativo divieto non si applica ove la decisione si basi sul consenso esplicito dell’interessato, sia necessaria per l’esecuzione di un contratto con l’interessato, ovvero sia autorizzata dal diritto dell’Unione o del singolo Stato membro.

III – 22

Misure di sicurezza adeguate

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate.

IV – 2432

Privacy by design (fin dalla progettazione)

Tenendo conto delle specifiche caratteristiche del trattamento e dei  connessi profili di rischio per i diritti e le libertà delle persone fisiche, all’atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati.

IV – 25.1

Privacy by default (per impostazione predefinita)

Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità ai dati stessi.

IV – 25.2

Contitolarità del trattamento

Nel caso in cui due o più titolari operano come contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all’esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell’accordo deve essere messo a disposizione degli interessati.

IV – 26

Nomina del Rappresentante del titolare

Laddove si applichi l’art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell’Unione da parte di titolare/responsabile non stabilito nell’UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell’Unione. Il rappresentante è l’indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.

IV – 27

Nomina del Responsabile del trattamento

Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento.

IV – 28

Obbligo di istruzione da parte del Titolare

Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.

IV – 29

Adozione del Registro delle attività di trattamento

E’ adempimento obbligatorio per il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall’organizzazione del titolare.

IV – 30

Obbligo di cooperazione con l’autorità di controllo

Il titolare è tenuto a cooperare con l’autorità di controllo, quando quella gliene faccia richiesta.

IV – 31

Notificazione di una violazione dei dati

Rientra tra gli obblighi del titolare anche la notifica all’autorità di controllo (Garante) senza ingiustificato ritardo – e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.

IV – 33

Comunicazione di una violazione dei dati all’interessato

Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati. 

IV – 34

Redazione della Valutazione d’impatto sulla protezione dati

e consultazione dell’autorità di controllo

Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l’uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l’autorità di controllo.

IV – 35, 36

Nomina di un Responsabile della Protezione dei Dati

(Data Protection Officer – DPO)

La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: a)  è  autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell’adempimento della disciplina ‘privacy’. E’ anche l’interlocutore dell’autorità di controllo.

IV, 37-39

Adesione a codici di condotta/sistemi di certificazione

Si tratta di adempimenti volontari del titolare mediante i quali può implementare importanti misure di sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.

IV – 40-42

Cautele per il trasferimento dei dati in Paesi terzi

Il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento.

V – 444546
474849

Obbligo di risarcimento del danno

Il titolare è tenuto a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento. Egli è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

VIII – 82