GDPR Data Protection Officer

GDPR: quando è obbligatorio nominare il DPO?

Il DPO o Data Protection Officer rappresenta una delle novità più importanti della nuova disciplina per la tutela dei dati personale, nota anche come GDPR. Dopo qualche mese di applicazione di quest’ultima e numerosi approfondimenti da parte degli addetti ai lavori, oggi è più chiaro quale sia il suo ruolo e chi sia tenuto a nominarlo su base obbligatoria.

Chi è il DPO e di cosa si occupa
Il Data Protection Officer è il responsabile per la protezione dei dati personali che l’azienda raccoglie, gestisce e tratta nell’ambito delle sue attività di business.  L’istituzione di tale figura è prevista dall’articolo 37 del regolamento UE 2016/679. Il profilo del DPO immaginato dal legislatore, è quella di un consulente tecnico con poteri esecutivi, in grado di analizzare le modalità di contatto con dati personali da parte dell’azienda, nonché le procedure di raccolta e stoccaggio dei medesimi, consigliando infine il responsabile del trattamento e della conservazione avendo come obiettivo fondamentale la garanzia degli standard imposti. Il suo ruolo non deve essere soggetto alla gerarchia aziendale ma piuttosto fungere da interfaccia con le autorità di controllo, in una relazione che è stata concepita come “motore” di una ottimizzazione continua.

I compiti del DPO in sintesi
Sulla base di quanto detto sopra, risulta chiaro che il DPO deve anzitutto informare i vari addetti sugli obblighi che derivano dal GDPR in quanto riferiti ai dati raccolti durante il normale espletamento delle operazioni di business aziendale. Successivamente deve proporre l’adozione di politiche in grado di garantire il rispetto della normativa comunitaria e di quella nazionale, sorvegliare sull’osservanza delle medesime e fungere da punto di contatto con le autorità di controllo fornendo loro le informazioni necessarie in caso di approfondimenti.

Chi ha l’obbligo di nominare il DPO
Nel rispetto del principio che prevede misure di protezione dei dati personali solo in funzione di effettive necessità, non tutte le aziende hanno l’obbligo di nominare il Data Protection Officer. In particolare non sono tenute alla nomina del DPO le piccole e medie imprese che abbiano contatto con dati personali unicamente per le attività connesse alla gestione corrente dei rapporti con fornitori e dipendenti. Al contrario devono nominare il DPO le aziende le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala. In altri termini tutte le aziende che fanno del trattamento di dati personali una componente centrale del loro business. Ne sono un esempio le banche, le assicurazioni, le società finanziarie, gli istituti di vigilanza, le società che operano nella sanità e nella cura della salute in generale, le società informatiche e di marketing operativo e molte altre.

Quali competenze deve avere il DPO
Il Data Protection Officer svolge un ruolo molto delicato negli equilibri di un’azienda. Questo soprattutto in considerazione degli obblighi del GDPR e delle sanzioni ad esso connesse. Le competenze necessarie non possono che essere complesse e riconducibili come minimo ad una conoscenza specialistica della normativa e della prassi in materia di protezione dei dati, conoscenza del settore di attività e delle operazioni di trattamento svolte, nonché dei sistemi informativi preposti alla protezione dei dati stessi. Non è necessario che il DPO possieda attestati formali particolari o che sia iscritto ad un albo specifico, né sono previste abilitazioni dedicate. Ciò non toglie che il suo ruolo debba prevedere una competenza solida ed una capacità di relazionarsi direttamente con la Direzione Generale dell’azienda allo scopo di rappresentare le situazioni più complesse e pianificare i conseguenti interventi.

Il Data Protection Officer può essere nominato selezionando un dipendente dell’azienda o individuando un fornitore esterno alla stessa. La valutazione avverrà in funzione di considerazioni legate alle competenze richieste, alla necessità di indipendenza, ai costi correlati, al bisogno di un ruolo full-time o part-time e alla disponibilità contingente di figure adeguate.

 

Read More
GDPR Privacy by Design

GDPR: come adeguarsi?

Il GDPR richiede un processo di adeguamento

Il GDPR è un regolamento di grande impatto per i business di tutte le dimensioni. E’ opportuno essere in regola per coglierne i benefici e non incorrere in problemi relativi a sanzioni o anche in termini di relazioni con i dipendenti, i clienti, i fornitori e il pubblico.

Da cosa iniziare?

La protezione delle reti informatiche e la correttezza degli interventi del personale sui dati, sono passaggi fondamentali come già previsto dal precedente Codice Privacy. Ma non bastano più. Oggi è necessario pensare a come realizzare i sistemi ed i processi già prima di metterli in atto.

Gli impatti del principio “Privacy by Design”

Un principio costitutivo del GDPR è la cosidetta “privacy by design”. Si tratta di un livello di protezione dei dati che viene garantito sin dalla progettazione, riguardo le modalità con cui i dati stessi vengono archiviati e trattati.

Un buon modo per occuparsi di GDPR è fare presente questo principio a tutte le funzioni aziendali. E allo stesso tempo sviluppare una consapevolezza basata su diversi punti di controllo.

  • Il contenuto del GDPR è conosciuto almeno nelle sue parti fondamentali?
  • I responsabili di funzione e di reparto che saranno toccati dal processo, sono stati informati adeguatamente anche attraverso comunicazioni aziendali adeguate?
  • E’ iniziata una raccolta di informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli?
  • E’ stato analizzato il rischio connesso alla protezione dei dati?
  • Si è deciso quali dati si intendano mantenere e quali invece possono essere eliminati?
  • Sono state identificate le contromisure di sicurezza necessarie?
  • E’ iniziato il disegno dei nuovi processi di gestione del dato? Sono stati adottati gli strumenti necessari per la gestione?
  • Si è cominciato a pensare alle procedure di mantenimento?

 

Il GDPR non è solo Information Technology

L’impatto del GDPR non riguarda solo l’Information Technology ma tutte le aree aziendali che potenzialmente possono acquisire, gestire, processare e archiviare dati personali. Sarà quindi necessario analizzare tutti i processi aziendali per disegnare le nuove attività riferite a:

  • Selezione e gestione del Personale
  • Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …)
  • Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti
  • Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.
Read More

GDPR: quando è necessario il DPIA?

Il Data Protection Impact Assessment per il GDPR, o DPIA può essere un documento da redigere in forma obbligatoria. Ma quali sono i casi in cui la sua assenza può provocare sanzioni importanti?

Il Garante della Privacy ha specificato le situazioni più comuni con provvedimento n° 467 dell’11 Ottobre 2018. Infatti le singole autorità nazionali hanno la libertà di integrare il regolamento con casistiche concrete ancorchè non esaustive.

Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto. Queste configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento:

  • Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
  • Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
  • Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
  • Trattamenti su larga scala di dati aventi carattere estremamente personale;
  • Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
  • Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
  • Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
  • Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
  • Trattamenti sistematici di dati biometrici;
  • Trattamenti sistematici di dati genetici.
Read More

GDPR: i diritti introdotti e gli impatti sulle aziende

Secondo il GDPR si intende per “dato personale” ogni informazione relativa ad una persona. Come una fotografia, un nome, un indirizzo email, un post su un social network o un indirizzo IP legato al computer con il quale viene effettuata una visita ad un sito Web.

Con il nuovo regolamento i cittadini dell’Unione Europea hanno un controllo molto più esteso sui propri dati personali, unitamente ad una maggiore rassicurazione sulle procedure di protezione dei dati stessi, che andranno aumentando di efficacia con il tempo.

Non esiste grande distinzione tra dati personali raccolti in contesti privati o in contesti lavorativi, quando si agisce come persone fisiche o come rappresentanti di un’azienda. E’ vero che le informazioni personali diffuse e raccolte nell’ambito di una relazione di lavoro sono collegate alle aziende che di fatto agiscono tramite i loro dipendenti e collaboratori. Tuttavia è bene pensare che i diritti alla protezione del dato personale si applichino in generale a tutti i dati che fanno capo all’operato di un individuo.

Quali sono i diritti introdotti o rafforzati dal GDPR?

  • Il diritto di accedere al proprio dato personale e di domandare come lo stesso viene trattato dalla società una volta raccolto;
  • Il diritto di essere dimenticato, nel senso di vedere il proprio dato personale cancellato a richiesta;
  • Il diritto alla portabilità del dato, per esempio quando si cambia fornitore;
  • Il diritto ad essere informato sulle procedure di raccolta del dato, prima che il dato personale venga raccolto;
  • Il diritto ad ottenere correzioni del dato quando il dato sia non aggiornato e/o non corretto;
  • Il diritto a restringere gli ambiti del trattamento del dato o di fermare del tutto il trattamento, anche qualora il dato personale rimanga nei registri di chi lo ha raccolto;
  • Il diritto di opporsi al trattamento del dato, specialmente al trattamento per fini di marketing diretto;
  • Il diritto di ricevere notifiche nel caso in cui siano occorsi fatti che mettono in pericolo la protezione del dato personale, con immediatezza rispetto all’accadere del fatto stesso.

Le implicazioni che tali diritti pongono all’attività di business sono importanti. E questo indipendentemente dalle sanzioni GDPR comminabili. Le disposizioni che devono essere attuate allo scopo di permettere l’esercizio delle nuove protezioni del dato personale sono numerose.

Il modo più efficace per poter realizzare le disposizioni necessarie è probabilmente quello di agire proattivamente e facendo in modo che il GDPR diventi un’occasione per innalzare la qualità generale delle azioni compiute dall’azienda e dai suoi individui.

Le tante occasioni in cui i rappresentanti aziendali entrano in contatto con individui e con i loro dati personali possono quindi trasformarsi in momenti di esercizio della “disciplina della qualità” che ogni singola azienda può darsi per rispettare il GDPR ma anche per raggiungere i propri obiettivi.

In questo senso, l’attitudine positiva al GDPR e l’orientamento al business e alla reputazione aziendale sono concretamente due facce della stessa medaglia.

Read More

GDPR: arrivano le prime sanzioni

Il nuovo Regolamento GDPR per la tutela dei dati personali dell’individuo è in vigore ormai da oltre due anni e la scadenza del 25 Maggio del 2018 è stata soltanto l’ultimo passaggio prima di arrivare alla piena operatività della disciplina.

Arrivano ora le prime sanzioni GDPR, che fanno discutere e imparare proprio in quanto si tratta delle prime manifestazioni delle Autorità competenti nell’ambito dell’Unione Europea.

C’è da sapere prima di tutto che le sanzioni amministrative possono essere di due tipologie:

  • quelle, meno gravi, comminabili per le violazioni degli obblighi imposti a titolare, responsabile del trattamento, organismo di certificazione e organismo di controllo dei codici di condotta;
  • quelle che riguardano nello specifico le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso, le violazioni dei diritti degli interessati, i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, qualsiasi obbligo ai sensi delle legislazioni degli Stati membri oppure l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy).

Le prime sono meno onerose delle seconde ma rimangono importanti. Possono ammontare sino a 10 milioni di euro o al 2% del fatturato dell’azienda nell’anno precedente se superiore, mentre le seconde hanno un tetto addirittura doppio sia in termini assoluti che in percentuale.

Nel frattempo le prime sanzioni GDPR sono state comminate per violazioni varie tra cui:

  • omissione della corretta informazione a riguardo di attività di videosorveglianza in corso su suolo pubblico da parte di un’azienda austriaca (4mila euro)
  • data breach relativo ad un numero significativo di password di posta elettronica di utenti tedeschi (20mila euro)
  • mancanza di protezioni adeguate per l’accesso ai dati di pazienti di un’azienda ospedaliera portoghese (400mila euro).

Fa notizia in questi giorni anche la sanzione comminata a Google. Il gigante del Web ha subito un procedimento per scarse informazioni rese ai clienti in sede di configurazione di un dispositivo Android. L’informazione si trova in questi giorni su diversi articoli comparsi nei media.

Come si vede, per ora si tratta di casi isolati che sono destinati tuttavia ad aumentare. Il momento dell’azione a riguardo del GDPR è dunque arrivato…

Read More

GDPR: a che punto siamo?

Dopo alcuni mesi di piena e definitiva applicazione, il GDPR che era in vigore già dal 2016 ha trovato una sua prima manifestazione ufficiale in Italia con il Decreto Legislativo di armonizzazione nella serata dell’8 Agosto 2018, in anticipo rispetto alla data attesa del 21 Agosto.

Il Decreto Legislativo del 21 Agosto 2018
Perché il Governo ha sentito il bisogno di emettere un Decreto Legislativo? Quali sono i contenuti principali? Le domande sono lecite e la prima in particolare deriva dal fatto che il GDPR non ha bisogno di strumenti nazionali per essere recepito ed essere pienamente operativo. Il Decreto Legislativo trova la sua ragion d’essere in una ristretta flessibilità che l’Unione Europea ha lasciato agli stati membri nell’integrare il complesso regolamento sulla privacy e la tutela del dato personale nei propri ordinamenti.

Leggi anche il testo completo del GDPR

Accedi al link

8 mesi di moratoria GDPR?
La notizia che più ha fatto scalpore è il periodo di 8 mesi stabilito dalla data di pubblicazione del DL che è stato definito come “fase di prima applicazione delle disposizioni sanzionatorie”. Tutto il contrario di una moratoria o di una sanatoria quindi. Si tratta piuttosto di un periodo di attenzione e prudenza nella applicazione del regolamento che tuttavia rimane totale e operativo da subito.

Sanzioni Penali
Già nel precedente Codice Privacy Italiano, erano previste misure di carattere penale che ora vengono riordinate e rimodulate dal Decreto Legislativo dell’8 Agosto 2018, come per esempio il trattamento illecito di dati; la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; la falsità nelle dichiarazioni al Garante e l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; l’inosservanza di provvedimenti del Garante; la violazione delle disposizioni in materia di controlli a distanza e indagini non dichiarate sulle opinioni dei lavoratori.

Inutilizzabilità dei dati acquisiti illecitamente in sede processuale
Il Decreto Legislativo chiarisce altresì che i dati personali illecitamente acquisiti non sono utilizzabili in sede processuale, previsione che era già contenuta nel Codice Privacy ma che è stata ribadita con l’intento di non consentire ricorsi per presunte incompatibilità con il nuovo regolamento.

GDPR? UN'OCCASIONE PER FARE CIO' CHE SERVE

Leggi l’articolo

Flessibilità nel trattamento dei CV
La ricezione spontanea e non prevista dei Curriculum Vitae viene trattata con una certa flessibilità giacché si stabilisce che l’informativa possa essere fornita al momento del primo contatto utile successivo all’invio del curriculum stesso.

Tutela dei diritti e poteri del Garante
Sapendo che il Garante è attivo ormai da 20 anni circa, il Decreto Legislativo ha tenuto a chiarire che “i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il GDPR e con le disposizioni del presente decreto”, anche in questo caso soprattutto allo scopo di evitare ricorsi pretestuosi.

In sintesi il Decreto Legislativo ha provveduto ad inserire una necessaria flessibilità (di cui dovremo tuttavia verificare l’effettiva ampiezza), ha rafforzato i poteri del Garante cercando di salvaguardare il più possibile quanto già previsto dal precedente Codice Privacy contribuendo inoltre a fare chiarezza riguardo l’interpretazione di alcune disposizioni previste dal Regolamento Europeo.

Read More