mercoledì 18 aprile 2018

GDPR - Cosa adeguare entro il 24 maggio 2018

















Innanzi tutto bisogna ribadire che il Nuovo Regolamento Privacy UE 679/2016 verrà considerato completamente assorbito il 24 maggio 2018 e non "entrerà in vigore"...è già in vigore dal 2016 e ci sono stati ben due anni per permettere a tutti di adeguarsi. Occasione che non è stata recepita molto bene.

In questo poco tempo che ci separa dalla data del 24 maggio è bene capire cosa adeguare ma sopratutto chi si deve adeguare.

1) COSA ADEGUARE
Il Garante Privacy Italiano in questi due anni ha dato delle linee guida per capire cosa va adeguato all'interno delle aziende, enti, organizzazioni e amministrazione pubblica.

Nel corso del tempo queste linee guida sono cambiate perchè capire come far assorbire in Italia un cambiamento così importante non è cosa facile. Fatto sta che ad oggi gli adeguamenti importanti implicano:

a) La nomina di un RPD
b) Istituzione di un Registro dei Trattamenti
c) Le nomine
d) Implementazione dei sistemi di sicurezza
e) Adeguamento dei consensi
f) Procedura di comunicazione del Data Breach

a) La nomina di un RPD
Per la nomina di un RPD, la cosa non è immediata e non è consigliabile rivolgersi al cugino  o allo zio che "sa di queste cose" o a qualcuno che in azienda fa diverse cose e gli si dice "vabbè fai pure questo"...e sono solo alcune di quelle che ho sentito.

L'RPD o DPO è una cosa seria, talmente seria, che se durante un controllo del Garante ci si dovesse accorgere che l'RPD non ha le competenze necessarie...scattano sanzioni per chi l'ha nominato e per l'RPD stesso.

Tanto l'RPD è importante che il Garante ne evidenzia i requisiti e compiti:
  1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati.
  2. Non sono richieste attestazioni formali o l'iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze. 
  3. adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali; 
  4. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).
  5. sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  6. collaborare con il titolare/ responsabile, laddove necessario, nel condurre una
    valutazione di impatto sulla protezione dei dati (DPIA);
  7. informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal regolamento e da altre
    disposizioni in materia di protezione dei dati;
  8. cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
    e) supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento .

b) Istituzione di un Registro dei Trattamenti
Il registro e' la cosa che certificherà che i trattamenti sono stati eseguiti secondo il nuovo regolamento GDPR.

Impostare un registro non è una cosa immediata...bisogna farsi aiutare da un RPD!!!

c) Le nomine
Per formulare le nomine bisogna prima capire chi fa cosa all'interno della struttura. Dopodiché sarà bene fare un vero e proprio contratto di nomina (es. per responsabili interni o esterni) da far sottoscrivere.

Tutti gli altri punti sono abbastanza intuitivi...comunque sarebbe già importante e dimostrerebbe una certa ACCAUNTABILITY l'aver messo in opera questi 3 punti precedenti.

2) CHI SI DEVE ADEGUARE?
Domanda da un milione dollari....in realtà tutti! Ma capendo il momeno di sconforto e confusione generale il Garante indica 3 punti:
  1. amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per laloro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici;
  4. Gruppo di imprese o di soggetti pubblici;
  5. Strutture che lavorano con l'amministrazione pubblica;
E' interessante che, anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria...per esempio per le associazioni di categoria o di settore...MA PERCHE'?

Perche' il Grante è sensibile a il Privacy by Design, o meglio, ogni realta' ha delle sue specifiche e chi meglio delle associazioni di categoria conosce le necessita' del proprio settore. Quindi...si possono chiedere al Garante formule specifiche per il settore di riferimento.

Bene. Argomento interessante ma molto ampio...se ne volete sapere di più venite ai nostri seminari http://www.leonardointelligence.it/

Buon lavoro a tutti
Il Ten.