Seguici
GDPR 679/2017
Acknowledgements

L’Adeguamento

 (Acknowledgments: scarica il documento)  (Soluzione di Protezione: scarica il documento)

 Il 4 maggio 2016 è stato pubblicato nella Gazzetta ufficiale dell’Unione Europea il “Regolamento (UE) 2016/679 del Parlamento Europeo e del consiglio, del 27 aprile 2016, relativo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il nuovo regolamento abroga la precedente direttiva 95/46/CE (regolamento sulla protezione dei dati) e prende il posto del D. Lgs. 196/03 (Codice della Privacy).

Lo scopo principale del nuovo Regolamento, oltre all’adeguamento della norma all’avvento delle nuove e sempre più pervasive tecnologie, è l’armonizzazione della disciplina sul trattamento dei dati nei diversi paesi europei, così da garantire un’efficace protezione ai cittadini rimuovendo contestualmente gli ostacoli alla circolazione dei dati personali nell’Unione Europea.

Il Regolamento è entrato in vigore il 25 maggio 2016 e, senza necessità di recepimento da parte dei diversi stati membri, sarà pienamente operativo a partire dal 25 maggio 2018.

Ciò impone alle aziende una revisione delle politiche sul trattamento dei dati al fine di adeguare la propria organizzazione alle nuove regole entro il 25 maggio 2018.

Il 25 maggio 2018, dunque, entra in vigore il nuovo Regolamento Europeo 2016/679 (GDPR) in materia di protezione dei dati personali e privacy. Imprese e soggetti pubblici dovranno far fronte ad una serie di adempimenti organizzativi per prendere in carico le novità introdotte da questa norma.

Il regolamento introduce il concetto di "responsabilizzazione" (accountability) di titolari e responsabili che devono operare affinché sia dimostrata l'adozione di misure finalizzate ad assicurare l'applicazione del regolamento (artt. 23-25, e Capo IV del regolamento).

 In pratica non si tratterà solo di una semplice attività di adeguamento alle norme di legge, quanto una vera e propria “responsabilizzazione” che verrà implementata e consolidata nel corso del tempo.

 Viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali nel rispetto delle disposizioni normative.

 Tra i criteri ispiratori il principale è "data protection by default and by design" che, per ciascun trattamento, debbano essere stabilite fin dall'inizio le garanzie indispensabili per il rispetto dei requisiti del regolamento e la tutela dei diritti degli interessati. Questo criterio richiede, pertanto, un'analisi preventiva che specifichi misure ed obblighi in relazione al rischio, preventivamente identificato, associato al trattamento.

I rischi associati al trattamento sono da intendersi in relazione agli impatti negativi sulle libertà e i diritti degli interessati; questi impatti dovranno essere analizzati attraverso un processo di assessment (DPIA - Data protection impact assessment) che consideri misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di poter adottare per mitigare tali rischi.

L'esito di questa valutazione di impatto sarà indispensabile per avviare il trattamento con l'adozione delle misure di sicurezza necessarie a salvaguardare i dati personali.

 Il titolare potrà altresì consultare l'autorità di controllo competente per ottenere indicazioni sulla gestione del rischio residuale. In tal caso l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori da implementare e, se previsto, adottare tutte le misure correttive ai sensi dell'art. 58.

Altri importanti adempimenti da parte di titolari e responsabili del trattamento sono:

  •  Registro dei trattamenti: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (art. 30, § 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Scopo del registro è disporre di uno strumento utile ai fini dell'eventuale supervisione da parte del Garante e di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico per i controlli e gli adempimenti necessari. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Indipendentemente dall'obbligo di tenuta del registro, i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, sarebbero avvantaggiati nella tenuta del registro che garantisce un quadro esaustivo dei trattamenti svolti e dei rischi associati.
  • Misure di sicurezza: Le misure di sicurezza devono "garantire un livello di sicurezza adeguato al rischio" del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell'art. 32 è una lista aperta e non esaustiva. Sono, dunque, abolite le misure "minime" di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati. L' Autorità potrà valutare la definizione di linee-guida o buone prassi mentre, per alcune tipologie di trattamenti (quelli di cui all'art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza attualmente previste.
  • Notifica delle violazioni di dati personali: A partire dal 25 maggio 2018, tutti i titolari dovranno notificare all'autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati.
  •  Responsabile della protezione dei dati: La designazione di un "responsabile della protezione dati" (RPD), ovvero DPO (Data Protection Officer) è finalizzata a facilitare l'attuazione del regolamento da parte del titolare/del responsabile. Fra i principali compiti del RPD rientrano "la sensibilizzazione e la formazione del personale" e la sorveglianza sullo svolgimento della valutazione di impatto prevista dall'art. 35. La sua designazione è obbligatoria nei casi previsti dall'art. 37, e il regolamento specifiche le competenze e le caratteristiche (indipendenza, autorevolezza, competenze manageriali).

  Queste dunque le domande a cui oggi l’azienda è chiamata a dover rispondere:

  • Siete a conoscenza dei nuovi obblighi in materia di protezione dei dati personali?
  • Disponete di dati personali relativi a cittadini dell'Unione Europea, ad esempio coordinate bancarie, informazioni di contatto o cartelle cliniche?
  • Ritenete di rispettare i requisiti relativi alla protezione dei dati personali inclusi nel nuovo Regolamento europeo di imminente attuazione?
  • In che misura ritenete di essere conformi al nuovo Regolamento europea sulla protezione dei dati?
  • In che modo proteggete i dati personali di cui disponete?
  • Siete conformi al nuovo Regolamento europea sulla protezione dei dati? (È applicabile anche ad aziende con sede al di fuori dell'Unione Europea)

 

Figura 1: I Vantaggi per il cittadino Europeo


Il Responsabile della Protezione dei Dati personali (RPD)

Anche conosciuto in inglese Data Protection Officer (DPO), è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. È il soggetto incaricato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto, controllo, consultive, formative e informative relativamente all’applicazione del Regolamento. Coopera con l’Autorità, quindi il suo nominativo va comunicato al Garante e costituisce il punto di contatto (artt. 38 e 39 del Regolamento) anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

  • Quando non importa designare un RDP (DPO)
    •  In relazione a “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attività “accessoria””
  • Quando deve essere utilizzata la figura del RDP (DPO)
    • nel caso sussista l’attività di “monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.)”
  • Figura interna o esterna
    • Il soggetto RDP (DPO) “può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti con atto di designazione; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti che il Regolamento, con contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.”
    • Il Responsabile del Trattamento “dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale”.
  • Persona o soggetto giuridico
    • Se il Responsabile del Trattamento è un dipendente del titolare o del responsabile del trattamento, potrà “essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell’assolvimento dei propri compiti.”
      Nel caso sia un soggetto esterno, è previsto anche l’utilizzo di una persona giuridica. Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.
  • Responsabilità nei confronti del trattamento dei dati
    • In ogni caso, il Titolare del Trattamento ed il Responsabile del Trattamento, rimangono responsabili dell’osservanza della normativa
    • Nel caso di un gruppo imprenditoriale il Garante ha chiarito che vi è la possibilità di nominare un unico responsabile della protezione dei dati personali a condizione che tale responsabile sia facilmente raggiungibile da ciascuno stabilimento, sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le autorità di controllo.

DPIA – Data Protection Impact Assessment

E’ uno strumento importante in termini di responsabilizzazione in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGDP, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.

La responsabilità del DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata ad un altro soggetto, interno o esterno all’organizzazione (DPO).

Qualora sia necessario il titolare dovrà interfacciarsi con esperti del settore quali il responsabile della sicurezza dei sistemi informativi e il responsabile It.

 

In breve


Figura 2: GDPR


Figura 3: Schematizzazione






Figura 4: 12 Steps di preparazione

LE AZIENDE DEVONO

  • Proteggere i dati personali dei clienti da accessi non autorizzati (breach);
  • Istruire tutto il personale dipendente in merito alla nuova normativa;
  • Adottare una politica di governance e data protection adeguata in modo proporzionale al rischio in caso di breach;
  • Introdurre la figura del DPO, il Data Protection Officer, che può essere interno o esterno all’azienda a seconda dei casi;
  • Dotarsi di strumenti tecnologici necessari a monitorare e prevenire gli attacchi informatici.

I PROPRIETARI DEI DATI DEVONO POTER

  • Accedere in qualsiasi momento ai loro dati personali;
  • Essere informati in merito all’utilizzo e protezione dei loro dati;
  • Chiedere il trasferimento dei loro dati personali ad un altro soggetto (portabilità del dato);
  • Essere informati tempestivamente in caso di furto dei propri dati;
  • Avere garanzie sull’applicazione della normativa da parte dei soggetti interessati.

Le Sanzioni previste

In materia di protezione dei dati personali, il regolamento Gdpr richiede all’azienda di adottare un sistema di policy, misure organizzative e tecniche che consentano di avere un controllo continuo sulla conformità dell’azienda stessa alla normativa. Qualora ciò non accadesse o anche nel caso si evidenziasse la mancanza della conformità a quanto disposto dal Regolamento, sono previste precise sanzioni amministrative pecuniarie.

Va tuttavia sottolineato che l’adesione ai codici di condotta e la certificazione del trattamento sono elementi di cui l’Autorità deve tener conto nell’applicazione di eventuali sanzioni o nell’analisi della correttezza di una valutazione di impatto effettuata dal titolare del trattamento dei dati.

Sanzioni graduali

Va da sé che le sanzioni seguono un approccio graduale riguardo i criteri per l’imposizione (secondo quanto riportato nell’art. 83, paragrafo 2 del GDPR) e per la determinazione dell’ammontare massimo imponibile.

In termini generali, la violazione delle disposizioni può prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.

Allo stesso modo l’inosservanza di un ordine da parte dell’autorità di controllo secondo quanto riportato all’articolo 58, paragrafo 2 prevede sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Va tuttavia sottolineato che, in linea con quanto previsto dalla legislazione vigente, l’articolo 58 fornisce alle autorità di controllo l’opportunità di avvalersi di una serie di poteri correttivi. In particolare, tra le altre cose è prevista anche la possibilità di limitare o addirittura vietare un trattamento dei dati.

Oltre le sanzioni amministrative

È facilmente intuibile come una disposizione di questo tipo potrebbe portare a conseguenze economiche ben più gravi di quelle derivanti dalla “semplice” sanzione amministrativa. Infatti, inibire totalmente la possibilità di effettuare il trattamento dei dati potrebbe voler dire dover interrompere l’erogazione di un servizio o un’attività già in atto con ovvie ripercussioni sui clienti, i quali potrebbero quindi adire alle vie legali per ottenere il risarcimento dei danni subiti.

La non conformità alle normative imposte dal Gdpr o un’inadeguata gestione del trattamento dei dati possono quindi comportare una sanzione amministrativa pecuniaria, che può avere un’incidenza anche molto rilevante sia in termini economici sia di immagine. Tuttavia, un intervento delle autorità di controllo, in virtù dei poteri che gli sono stati conferiti, può avere effetti ancor più importanti, rischiando di arrivare nelle situazioni più estreme a compromettere il prosieguo delle attività di un’azienda.

Come Possiamo Aiutarti


AUTOCONCESSIONARIE - Le Ottimizzazioni di Rete
Caso "Automotive" - Concessionaria Auto FORD a campione - esempio interventi anno 2010