All for Joomla All for Webmasters
Image

 

IL G.D.P.R. in breve.

 

Regulation (EU) 2016/679
General Data Protection Regulation

Il 24 maggio 2016 è entrato in vigore il regolamento Europero sulla protezione dei dati delle persone fisiche. Il regolamento non richiede normative locali per il recepimento, introduce nuovi diritti per gli individui ed impone requisiti più stringenti alle aziende. Dal 25 maggio 2018 possono venir erogate sanzioni alle entità non in regola.

Oltre alla P.A., tutte le aziende che trattano dati personali di soci, dipendenti, collaboratori, clienti, fornitori, utenti pazienti o contatti, sono tenute ad adeguarsi.

La finalità del Regolamento è la protezione delle persone fisiche nel loro diritto fondamentale a decidere consapevolemente circa la concessione dei loro dati personali avendone chiare finalità e regole di utilizzo.

I vantaggi per il cittadino è che ci saranno regole più chiare in materia di informativa e consenso.
Grazie all'introduzione del diritto all'oblìo gli interessati potranno ottenere la cancellazione anche online dei propri dati personali da parte del titolare.
Viene introdotto il diritto alla portabilità dei dati personali da un titolare di un trattamento ad una altro.
Ci saranno più garanzie per i minori e darà creato lo sportello unico (one stop shop) per il quale le imprese che operano in più stati europei possono rivolgersi ad un solo garante.
Per le aziende ci potranno essere opportunità ma anche sanzioni elevate fino al 4% del fatturato globale dell'azienda, a cui si possono aggiumgere sanzioni stato per stato.

NON ESISTE una modalità STANDARD per l'adempimento in quanto per dimensioni, caratteristiche e tipo di utilizzo dei dati, i soggetti interessati all'edimpimento sono molto diversi.

OBBLIGHI DEL TITOLARE

  • Anche i titolari non stabiliti in EU dovranno applicare il regolamento se trattano dati di persone fisiche europee e viene introdotto il principio per cui dovrà essere il titolare a dimostrare la propria conformità alle misure di protezione previste.
  • Non sono previste esplicite misure di sicurezza ma il titolare dovrà definire misure di controllo sulla base dei rischi individuatisi dovrà fare il minimo uso di dati personali e prevederne la protezione già nella fase di progettazione
  • Il titolare dovrà dichiarare eventuali violazioni al garante ed all'interessato;diventa obbligatorio tenere un registro dei trattamenti;
  • se il trattamento presenta elevati rischi per i diritti delle persone fisiche, il titolare deve eseguire una valutazione dell'Impatto del trattamento (DPIA).

Quindi possiamo indicare che si devono eseguire adempimenti di tipo burocratico, come l'aggiornamento delle informative, il registro dei trattamenti, la nomina dei responsabli, degli incaricati, del DPO, ...) che di tipo tecnologico (Backup dei dati, adozione di firewall, protezione degli acessi ecc...)

Il regolamento introduce il principo della RESPONSABILITA' (accountability) del titolare ed una nuova figura all'interno dell'azienda, il Data Protection Officer (DPO).

Il titolare del trattamento è il responsabile ultimo ma il RESPONSABILE DEL TRATTAMENTO, se nominato, è responsabile in solido con il titolare per cui è chiamato, in caso, al pagamento di sanzioni al pari del titolare.

REGISTRI DEI TRATTAMENTI (Art. 30)

Il Titolare del Trattamento deve redigere i REGISTRI DEI TRATTAMENTI che, per ogni trattamento, dovranno contenere:

  • Dati dei soggetti coinvolti (titolare, responsabile, incaricati della protezione dei dati);
  • Finalità del trattamento;
  • Descrizione delle categorie di interessati e delle categorie di dati trattati;
  • Descizione dei trasferimenti;
  • Indicazione dei termini ultimi di cancellazione
  • Descrizione delle misure tecniche ed organizzative.

Il regolamento dice che la redazione dei REGISTRI DEI TRATTAMENTI è obbligatoria per organizzazioni con più di 250 dipendenti, oppure organizzazioni che trattino dati con modalità che determinano un rischio per la libertà e diritti dell'interessato, o nel caso in cui vengano trattati dati sensibili o giudiziari.

Di fatto, ogni azienda tratta alcuni dati sensibili almeno dei dipendenti, della loro salute o composizione familiare, per cui almeno il registro del trattamento dei loro dati è necessario.

Image

VALUTAZIONE DI IMPATTO - ART.35

La valutazione d'impatto è una analisi preventiva dei trattamenti svolti presso il Titolare che individua la tipologlia di dati, la loro finalità, i rischi il trattamento comporta e quali misure dobbiamo porre in essere per ridurre tali rischi.

L'esecuzione della valutazione d'impatto è la traccia che dimostra che Titolare e Responsabile si sono applicati in modo PROATTIVO rispetto alla protezione dei dati personali ed hanno seriamente analizzato gli eventuali problemi esistenti all'interno dell'organizzazione sotto il profilo della protezione dei dati personali cercando di porne rimedio.

La valutazione d'impatto è necessaria quando un trattamento presenta un rischio elevato per i diritti e la libertà delle persone soprattutto se effettuato con tecnologie informatiche. Il suo responsabile è sempre il Titolare del trattamento. La prima valutazione è relativa all'obbligatorietà della valutazione stessa.

E' richiesta in particolar modo se c'è

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
  • un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’estensione, il contesto del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento costituiscono fattori da tenere in debito conto nel determinare l’obbligatorietà della valutazione d’impatto.

E' una attività preventiva che deve contenere almeno la descizione sistematica dei trattamenti ritenuti oggetto della valutazione d'impatto, la loro finalità (incluso l'interesse del titolare), la valutazione di necessità e proporzionalità del trattamento rispetto alle finalità, la valiutazione dei rischi per i diritti e la libertà degli interessati, le misure per affrontare i rischi.

D.P.O. (Data Protection officer)

La nuova figura inserita nel regolamento
E' obbligatoria per le PA, per chi opera su larga scala monitoraggio sistematico di dati su larga scala, o perchi opra dati sensibili o giudiziari.
IL DPO è un seggetto che ha conoscenza specifiche, conosce la normativa e deve essere coinvolto in tutto quanto riguarda il trattamento dei dati.
Deve essere autonomo, indipendente, dotato di budget e non deve avere conflitti di interesse con nessuna figura aziendale. Meglio quindi se è un Free Lance in grado di parlare direttamente con il Titolare.

Image
Image

MISURE TECNICHE ADEGUATE

Il legislatore europeo non elenca le misure ma ci obbliga ad adottare le misure tecniche adeguate alla protezione dei dati.
Il legislatore europeo ci indica la anonimizzazione o pa pseudominizzazione dei dati come misure adeguate.
A titolo di esempio si parla di cifratura dei dati, di capacità di assicurare in modo permanente la riservatezza, l'integrità, la disponibilità e resilienza dei sistemi e dei servizi di trattamento, la capacità di rispristinare tempestivamente disponibilità e accesso dei dati in caso di incidente tecnico e di implementazione di procedure di test dell'efficacia delle misure.