GDPR - Cosa adeguare entro il 24 maggio 2018

-
















Innanzi tutto bisogna ribadire che il Nuovo Regolamento Privacy UE 679/2016 verrà considerato completamente assorbito il 24 maggio 2018 e non "entrerà in vigore"...è già in vigore dal 2016 e ci sono stati ben due anni per permettere a tutti di adeguarsi. Occasione che non è stata recepita molto bene.

 In questo poco tempo che ci separa dalla data del 24 maggio è bene capire cosa adeguare ma sopratutto chi si deve adeguare.

1) COSA ADEGUARE
Il Garante Privacy Italiano in questi due anni ha dato delle linee guida per capire cosa va adeguato all'interno delle aziende, enti, organizzazioni e amministrazione pubblica.

Nel corso del tempo queste linee guida sono cambiate perchè capire come far assorbire in Italia un cambiamento così importante non è cosa facile. Fatto sta che ad oggi gli adeguamenti importanti implicano:

a) La nomina di un RPD
b) Istituzione di un Registro dei Trattamenti
c) Le nomine
d) Implementazione dei sistemi di sicurezza
e) Adeguamento dei consensi
f) Procedura di comunicazione del Data Breach

a) La nomina di un RPD
Per la nomina di un RPD, la cosa non è immediata e non è consigliabile rivolgersi al cugino  o allo zio che "sa di queste cose" o a qualcuno che in azienda fa diverse cose e gli si dice "vabbè fai pure questo"...e sono solo alcune di quelle che ho sentito.

L'RPD o DPO è una cosa seria, talmente seria, che se durante un controllo del Garante ci si dovesse accorgere che l'RPD non ha le competenze necessarie...scattano sanzioni per chi l'ha nominato e per l'RPD stesso.

Tanto l'RPD è importante che il Garante ne evidenzia i requisiti e compiti:
  1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.
  2. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. 
  3. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 
  4. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).
  5. sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  6. collaborare con il titolare/ responsabile, laddove necessario, nel condurre una
    valutazione di impatto sulla protezione dei dati (DPIA);
  7. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre
    disposizioni in materia di protezione dei dati;
  8. cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
    e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento .

b) Istituzione di un Registro dei Trattamenti
Il registro e' la cosa che certificherà che i trattamenti sono stati eseguiti secondo il nuovo regolamento GDPR.

Impostare un registro non è una cosa immediata...bisogna farsi aiutare da un RPD!!!

c) Le nomine
Per formulare le nomine bisogna prima capire chi fa cosa all'interno della struttura. Dopodiché sarà bene fare un vero e proprio contratto di nomina (es. per responsabili interni o esterni) da far sottoscrivere.

Tutti gli altri punti sono abbastanza intuitivi...comunque sarebbe già importante e dimostrerebbe una certa ACCAUNTABILITY l'aver messo in opera questi 3 punti precedenti.

2) CHI SI DEVE ADEGUARE?
Domanda da un milione dollari....in realtà tutti! Ma capendo il momeno di sconforto e confusione generale il Garante indica 3 punti:
  1. amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per laloro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici;
  4. Gruppo di imprese o di soggetti pubblici;
  5. Strutture che lavorano con l'amministrazione pubblica;
E' interessante che, anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria...per esempio per le associazioni di categoria o di settore...MA PERCHE'?

Perche' il Grante è sensibile a il Privacy by Design, o meglio, ogni realta' ha delle sue specifiche e chi meglio delle associazioni di categoria conosce le necessita' del proprio settore. Quindi...si possono chiedere al Garante formule specifiche per il settore di riferimento.

Bene. Argomento interessante ma molto ampio...se ne volete sapere di più venite ai nostri seminari http://www.leonardointelligence.it/

Buon lavoro a tutti
Il Ten.


Commenti

Posta un commento

Post popolari in questo blog

La privacy ci salverà dalla IA - 19lug2023

-
Immagine
Il Parlamento Europeo sta lavorando a una norma che ci salverà dall'insistente presenza dell'intelligenza artificiale in qualsiasi cosa facciamo.   Ma qual'è la preoccupazione sull'intelligenza artificiale? La preoccupazione condivisa risiede nella capacità della IA di gestire tanti dati, inclusi quelli biometrici, che nell'utilizzo della ormai nota profilazione del marketing si potrebbe manifestare un vero e proprio controllo remoto degli utenti nelle attività giornaliere.   Un esempio potrebbe essere: come faccio a conoscere tutte le persone che hanno la febbre così gli posso vendere un'aspirina? Il problema ancora più attualizzato è...ma se nel momento in cui arriva la pubblicità dell'aspirina il potenziale cliente è guarito? Perdo la vendita.   E allora, la ricerca incessante dei venditori incalliti, che hanno testato e valutato le enormi potenzialità della IA, diventa: non è forse meglio capire chi si sta per ammalare in modo di vendergli per tempo l
Continua a leggere

Discorso sull’identità professionale dell’investigatore privato

-
Immagine
Se non sapete chi siete, come possono saperlo gli altri? È altrettanto importante sapere cosa si fa e chi si vuole essere per decidere se la propria identità professionale è importante o meno. In un settore in crisi come quello delle investigazioni private e della sicurezza di dovrebbe pensare innanzi tutto all'identità: Cosa mi rende diverso dagli altri? Cosa so fare che mi rende speciale nel lavoro che mi sono scelto? Quali valori ho che gli altri vorrei riconoscessero? Tutto questo perché se non so chi sono, come faranno gli altri riconoscere il mio sistema di valori?   L’identità professionale è importante perché mi dà qualcosa di cui essere fiero, mi aiuta a capire cosa devo fare e come farlo al meglio. Mi rende sicuro nel mio processo decisionale, basato talvolta sulle sole sensazioni e percezioni ma con un chiaro senso dello scopo. Mi permette di lavorare con persone diverse da me in modo da perseguire un obiettivo comune senza recriminazioni, maldicenze, invidie
Continua a leggere

È POSSIBILE IMPEDIRE L'ACCESSO AD UN SITO SE NON SI ACCETTA LA PRIVACY PER L'IMPIEGO DI COOKIES?

-
Immagine
È un argomento ormai consolidato da anni che per entrare in un sito internet si debba accettare o meno la privacy policy dei coooes. In tempi più recenti il Garante Europeo si è mosso per garantire sempre di più gli utenti con una direttiva sull'utilizzo di coookies di profilazione. In pratica i siti devono dichiarare i cookies che utilizzano, dividerli tra cookies necessari al funzionamento del sito (tecnici) e cookies che sono utilizzati per profilare l'utente a fini di marketing, raccogliendo un consenso specifico. Ma tra il dire e il fare c'è di mezzo il mare e nell'applicazione di tale direttiva del Garante, cioè regolare l'utilizzo di cookies di profilazione, sussiste una discrasia di diritti per l'utente in fase di attuazione. Seppur vero che nell'accesso ad un sito la richiesta di utilizzo cookies tecnici sia una normativa ampiamente adeguata, questo, non sembra essere diventato un beneficio per gli utenti che non sembra abbiano trovato una effettiva
Continua a leggere