Consulenza GDPR 679/2016 in marteria di Privacy
SAMO segue, nell’adeguamento alla privacy, aziende nazionali e multinazionali, operando nel settore ai massimi standard professionali, tramite un team costituito da esperti che vantano un’esperienza e una competenza comprovate negli anni nella consulenza privacy e nell’organizzazione e gestione del dato.
SAMO ha aiutato anche piccole e medie imprese in tutti gli adempimenti necessari al raggiungimento della compliance richiesta dalla normativa europea, in osservanza anche di quanto stabilito dalle recenti linee guida pubblicate dal Garante della Privacy sul proprio sito.
I NOSTRI STEPS DI LAVORO
Ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, che qui si ricordano brevemente:
- liceità, correttezza e trasparenza del trattamento, nei confronti
dell’interessato;
- limitazione della finalità del trattamento, compreso l’obbligo di
assicurare che eventuali trattamenti successivi non siano incompatibili con le
finalità della raccolta dei dati;
- minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
- integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi
con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio
(articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all’articolo 30.
Si tratta di uno strumento fondamentale realizzato allo scopo di disporre di un quadro
aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto
pubblico, indispensabile per ogni valutazione e analisi del rischio.
I
contenuti del registro sono fissati nell’articolo 30. Tuttavia, niente vieta a
un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà
opportuno proprio nell’ottica della complessiva valutazione di impatto dei
trattamenti svolti.
Il registro deve avere forma scritta, anche
elettronica, e deve essere esibito su richiesta al Garante.
Notifica di una violazione dei dati personali
A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al
Garante le violazioni di dati personali di cui vengano a conoscenza, entro 72
ore e comunque “senza ingiustificato ritardo”, se ritengono probabile che da
tale violazione derivino rischi per i diritti e le libertà degli interessati
(considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione
non è obbligatoria, essendo subordinata alla valutazione del rischio per gli
interessati che spetta al titolare.
Se la probabilità di tale rischio è elevata, si dovrà informare delle
violazioni anche gli interessati, sempre “senza ingiustificato ritardo”; fanno
eccezione le circostanze indicate al paragrafo 3 dell’articolo 34.
I contenuti della notifica all’Autorità e della comunicazione agli
interessati sono indicati, in via non esclusiva, agli articoli 33 e 34 del
Regolamento.
Tutti i titolari di trattamento devono in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provamenti adottati (articolo 33, paragrafo 5). È bene, dunque, adottare le misure necessarie a documentare eventuali violazioni, anche perché i titolari sono tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.
Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.
Alcuni possibili esempi:
- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
- il furto o la perdita di dispositivi informatici contenenti dati personali;
- la deliberata alterazione di dati personali;
- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
- la divulgazione non autorizzata dei dati personali.
Valutazione di impatto sulla protezione dei dati (DPIA)
Art. 35 del Regolamento UE/2016/679
COSA È?
una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (RGPD) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.PERCHÉ?
La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.IN CHE MOMENTO?
La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.CHI?
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo - se i trattamenti lo richiedono - il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) del responsabile IT.QUANDO LA DPIA È OBBLIGATORIA?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
- trattamenti valutativi o di scoring, compresa la profilazione;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
Il titolare del trattamento, come pure il responsabile del trattamento, è
obbligato ad adottare misure tecniche e organizzative idonee a
garantire un livello di sicurezza adeguato al rischio del trattamento (con
l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica,
rivelazione, accesso non autorizzato).
Fra tali misure, il Regolamento menziona, in particolare, la
pseudonimizzazione e la cifratura dei dati; misure per garantire la
riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei
servizi di trattamento; misure atte a garantire il tempestivo ripristino della
disponibilità dei dati; procedure per verificare e valutare regolarmente
l'efficacia delle misure di sicurezza adottate.
La lista di cui al paragrafo 1 dell’articolo 32 è una lista aperta e non
esaustiva (“tra le altre, se del caso”).
Per questi motivi, non possono sussistere dopo il 25 maggio 2018 obblighi
generalizzati di adozione di misure “minime” di sicurezza poiché tale
valutazione è rimessa, caso per caso, al titolare e al responsabile in rapporto
ai rischi specificamente individuati come da articolo 32 del Regolamento.
Il Regolamento definisce caratteristiche soggettive e responsabilità
di titolare e responsabile del trattamento negli stessi termini di cui
alla direttiva 95/46/CE e, quindi, al Codice privacy italiano.
Tuttavia, il Regolamento (articolo 28) prevede dettagliatamente le caratteristiche dell’atto
con cui il titolare designa un responsabile del trattamento attribuendogli
specifici compiti. Deve trattarsi, infatti, di un contratto (o altro atto
giuridico conforme al diritto nazionale) e deve disciplinare tassativamente
almeno le materie riportate al paragrafo 3 dell’articolo 28 al fine di
dimostrare che il responsabile fornisce “garanzie sufficienti”, quali, in
particolare:
·
la natura, durata e finalità del trattamento o dei trattamenti assegnati
·
le categorie di dati oggetto di trattamento
·
le misure tecniche e organizzative adeguate a consentire il rispetto delle
istruzioni impartite dal titolare e, in via generale, delle disposizioni
contenute nel Regolamento
Inoltre, il Regolamento prevede obblighi specifici in capo ai
responsabili del trattamento, distinti da quelli pertinenti ai rispettivi
titolari. Ciò riguarda, in particolare:
·
la tenuta del registro dei trattamenti svolti (articolo 30, paragrafo
2);
·
l’adozione di idonee misure tecniche e organizzative per garantire la
sicurezza dei trattamenti (articolo 32);
·
la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal
diritto nazionale (articolo 37).
Una novità importante del Regolamento è la possibilità di designare
sub-responsabili del trattamento da parte di un responsabile (articolo
28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli
stessi obblighi contrattuali che legano titolare e responsabile primario;
quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale
sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal
trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo
imputabile” (articolo 82, paragrafo 1 e paragrafo 3).
La designazione di un “responsabile della protezione dati” (RPD) è finalizzata a facilitare l’attuazione della normativa da parte del titolare/responsabile (articolo 39).
Non è un caso, infatti, che fra i compiti
del RPD rientrino “la sensibilizzazione e la formazione del personale” e la
sorveglianza sullo svolgimento della valutazione di impatto di cui all’articolo
35, oltre alla funzione di punto di contatto per gli interessati e per il
Garante rispetto a ogni questione attinente l’applicazione del
Regolamento.
La sua designazione è obbligatoria in alcuni casi (articolo 37), e il Regolamento delinea le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza, competenze manageriali: articoli 38 e 39) in termini che il Gruppo di lavoro “Articolo 29” ha ritenuto opportuno chiarire attraverso alcune linee-guida, disponibili anche sul sito del Garante, e alle quali si rinvia per maggiori delucidazioni unitamente alle relative FAQ (www.garanteprivacy.it/Regolamentoue/rpd)
I RPD, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.
Il parere del RPD – e ogni azione intrapresa contro
questo parere – devono essere registrati
e possono essere utilizzati contro il titolare o il responsabile in caso
di indagine da parte delle relative autorità
di protezione dei dati (come già visto, al contrario, il fatto che
un titolare o un responsabile agiscano in
accordo con il parere o gli orientamenti del RPD può essere considerato un “elemento” per la dimostrazione
della conformità al RGPD - Considerando 77)
L’entrata
in vigore il 25 maggio 2018 del Regolamento Europeo per la
protezione dei dati personali (GDPR – General Data
Protection Regulation) ha reso ancora più fondamentale l’obbligo
per i soggetti che effettuano il trattamento dei dati altrui di adottare
misure di sicurezza tecniche organizzative e cautele per tutelare la
diffusione dei dati sensibili proteggendoli da eventuali illeciti.
La
filosofia cardine del nuovo GDPR è l’accountability (o responsabilizzazione) per
tutte le fasi del trattamento; Come previsto dall’art. 29 del Regolamento, il
responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto
quella del titolare del trattamento, che abbia accesso a dati personali non
può trattare tali dati se non è istruito in tal senso dal titolare del
trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati
membri.
Gli obblighi formativi sono introdotti
dall’art. 39.1.b del Regolamento, il quale prevede, tra i compiti del DPO, quello
di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o
del responsabile del trattamento in materia di protezione dei dati personali,
compresi […] la sensibilizzazione e la formazione del personale che
partecipa ai trattamenti e alle connesse attività di
controllo”, ed inoltre, l’art. 32.4 del Regolamento dispone che “chiunque
abbia accesso a dati personali non tratti tali dati se non è istruito in
tal senso dal titolare del trattamento”.
Le aziende e le Pubbliche Amministrazioni, pertanto,
devono implementare dei processi formativi che rispondano ai requisiti delle
Misure di Sicurezza: testabili, verificabili e valutabili per chiunque gestisca
dati personali.
In caso di violazione degli articoli 29 e 39 (obbligo formativo), verranno applicate sanzioni amministrative pecuniarie che potrebbero essere rilevanti.
Le conseguenze di una violazione delle norme in materia di protezione dei dati personali sono previste sanzioni fino 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Puoi evitali...