.Privacy Valutazione & Gestione - CSA Training

Associazione Formatori/DocentiEsperti TecniciOperatori della Sicurezza sul LavoroAziende

Vai ai contenuti

.Privacy Valutazione & Gestione

Privacy GDPR


 GDPR 2016/679
         -Implementazione del Modello di Organizzazione e  gestione
                                                                         dei dati personali ai sensi del GDPR  2016/679.

Il Regolamento Europeo GDPR (General Data Protection Regulation), Reg. EU 679/2016 impone, alle aziende e ai professionisti, di attuare obbligatoriamente
misure di sicurezza sulla privacy più articolate rispetto al precedente D.lgs. n. 196/2003, che cesserà nella sua efficacia il 25 maggio 2018, data in cui il nuovo Regolamento Europeo troverà piena applicazione.   
Tutte le aziende dovranno conformarsi pienamente alle prescrizioni della norma europea.  Il mancato adeguamento a tali prescrizioni, comporta sanzioni sia di natura economica che penale.  Per i trasgressori le sanzioni, applicabili dal 25 maggio 2018,arriveranno fino a 20 milioni di euro o al 4% del fatturato.

Destinatari Liberi professionisti e funzioni aziendali che rivestono, devono rivestire o valutano di rivestire il ruolo del DPO nell’ambito di aziende private e pubbliche.

Il primo adempimento da adottare per implementare il sistema Privacy GDPR in azienda è comprendere l’importanza e il valore dei dati, dopodiché bisogna avviare tutti i processi per avere un quadro completo dell'organizzazione, ruoli, figure, competenze, processi e regole che impattano sul trattamento dei dati.

Il titolare del trattamento ?
Il titolare del trattamento può essere un’autorità pubblica, una persona fisica o giuridica. In altri casi può essere un organismo e agire singolarmente o in sinergia con altri.
Il responsabile del trattamento ?
È il soggetto che tratta i dati personali per conto del titolare del trattamento.
Anche in questo caso può essere un’autorità pubblica, una persona fisica o una giuridica.
Trattamento ?
qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta,
la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; Il consenso ad un certo trattamento che fino ad oggi poteva anche essere tacito diventa obbligatoriamente esplicito ed il cittadino potrà verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice. Cambia quindi la visione data oggi ai processi di marketing diretto, ma cambiano anche le modalità di registrazione e fruizione dei molti servizi internet; così varia anche la visione relativa alla profilazione dell’utente che non sarà più sufficiente, nel caso di questioni che hanno effetti giuridici, a deciderne una soluzione.
Profilazione ?
qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica; Nel caso di marketing diretto l’interessato avrà sempre diritto di opporsi alle attività di profilazione. Inoltre è stato introdotto in modo chiaro il diritto all’oblio, cioè la cancellazione dei propri dati personali da parte di un titolare del trattamento qualora ad esempio cessino i motivi per cui si era dato il consenso. Se ne pongono dei limiti di applicazione e si obbliga il titolare del trattamento ad agire tempestivamente perché l’informazione sia rimossa ovunque venga trattata. In un mondo sempre più digitale si è dato particolare risalto alla portabilità dei dati personali. In particolare diventerà molto più semplice trasferire i propri dati da un gestore ad un altro per i contratti come la telefonia, e quelli urbani (acqua, luce e gas) in quanto sarà fatto obbligo al gestore attuale il trasferimento autorizzato delle informazioni verso terzi. Anche dati più strutturati, come la messaggistica elettronica o i file nel cloud, dovranno essere trattati secondo questa nuova visione. Ovviamente la normativa non si spinge a definire le caratteristiche tecniche per l’interscambio dei dati né a livello europeo né nazionale. Saranno presumibilmente i vari enti nazionali, da noi il Garante per la Privacy, a concepire le opportune interfacce informatiche per i vari temi. Una particolare attenzione viene data al trasferimento dei dati al di fuori dell’Unione Europea dove dovrà essere accuratamente valutata l’adeguatezza rispetto alla tutela dei dati della controparte e in caso di insufficienza si potranno richiedere opportune garanzie ed il cittadino dovrà esplicitamente dare il proprio consenso ad ogni forma di trasferimento. La violazione dei dati personali (Data breach) non potrà essere una problematica solamente aziendale ma richiederà maggiore informazione verso l’interessato e una comunicazione tempestiva ed obbligatoria verso l’autorità nazionale per la protezione dati. Per le aziende, di qualsiasi ordine e grado, cambia radicalmente la visione generale che passa da un censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio Sistema Rischi dove, con le medesime metodologie messe in campo per il trattamento, ad esempio dei rischi finanziari od operativi, si riportano gli elementi della privacy ad elementi di rischio per il quale si devono fare attente misurazioni, mettere in atto politiche di riduzione del rischio, pianificare i costi che vanno ad impattare sul conto economico dell’impresa. I legislatori europei hanno voluto dichiarare in modo evidente l’importanza del provvedimento stabilendo forti sanzioni pecuniarie nel caso di non rispetto della norma (articolo 84, sanzioni). Parimenti le imprese che saranno particolarmente virtuose, in cui il titolare potrà in ogni momento certificare i propri trattamenti e nelle quali si applicano in modo serio codici di condotta sottoposta all’approvazione dell’autorità nazionale tramite associazioni di categoria o altri soggetti, avranno diritto a valutazioni meno stringenti nel caso si manifestassero problematiche nei processi privacy. Nelle sezioni che seguiranno verranno approfondite alcune delle problematiche citate dando enfasi alle azioni che le imprese dovranno attuare per adempiere al Regolamento.
I registri dei trattamenti ?
Fra gli altri compiti, il titolare e il responsabile del trattamento devono redigere i registri delle attività e dei trattamenti effettuati. Formalmente la tenuta del registro rappresenta il sostituto della comunicazione diretta delle medesime informazioni al Garante della Privacy. È presumibile pensare che nel prossimo futuro, come già avvenuto per i dati forniti all’Agenzia delle Entrate per via telematica, anche per tali informazioni avverrà un processo analogo. In realtà i registri da conservare e mantenere sono due:  Il registro del titolare del trattamento, che contiene: o Anagrafica del titolare stesso, di un contitolare se presente, del rappresentante e del titolare alla protezione dati; o Le finalità del trattamento; o Le categorie degli interessati a cui fa capo il dato; o Eventuali termini per la cancellazione automatica del dato; o Un’eventuale descrizione generale delle misure di sicurezza tecnico-organizzative.  Il registro del responsabile del trattamento, in cui sono presenti:
L’anagrafica dei responsabili del trattamento; o La descrizione delle categorie di trattamento effettuati; o Opzionalmente la descrizione delle misure di sicurezza intraprese. La conservazione può avvenire in forma cartacea ma anche in forma elettronica rendendo sempre disponibile il dato ad eventuali ispezioni dell’autorità garante. È bene che il software aziendale adottato per gestire il progetto Privacy integri la gestione dei registri derivandoli direttamente dalla normale operatività.
Violazione dei dati personali ?
la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; Ovviamente questo rappresenta uno dei temi più cari al Garante della Privacy il quale, con attenzione anche per il nuovo GDPR, ha pubblicato gli adempimenti previsti. In particolare vengono prese in considerazione le azioni da intraprendersi nel caso di perdita, distruzione, diffusione indebita di dati personali conservati, trasmessi o comunque trattati a causa di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi e altre calamità. I casi finora analizzati riguardano:  Le società telefoniche e gli internet provider;  La biometria;  Il dossier sanitario elettronico;  Le amministrazioni pubbliche. In particolare il testo del nuovo regolamento prevede l’obbligo di notifica all’autorità di controllo e la comunicazione della violazione al diretto interessato. L’articolo 33 dice infatti:
Notifica di una violazione dei dati personali all'autorità di controllo ?
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c. descrivere le probabili conseguenze della violazione dei dati personali;
d. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. 4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo. 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
ed il 34: Comunicazione di una violazione dei dati personali all'interessato ?
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo. 2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d). 3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a. il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b. il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c. detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.

                Può interessarti anche :



  • . . . Ass. CSA Training                                                                                                                                                                                       segreteria:   Torrenova (ME)     Tel.: +39    0941526117

                                                                                                                                                                                                                                                        Roma (RM)    Tel.:  +39   06 21119743
Copyright 2014 CSA Training.it                                 e-mail:  info@csatraining.it       csatraining.info@gmail.com    www.csatraining.it                                                                                                       Port.le: +39   3312799467

Torna ai contenuti