Disponibile sul sito del Garante Privacy l'aggiornamento, alla versione 1.6.3 con nuove funzionalità, del software per la valutazione di impatto sulla protezione dei dati.

Il software offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Il software qui presentato non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica la nuova versione del software

Disponibile sul sito del Garante per la protezione dei dati personali, la procedura on-line per la comunicazione del nominativo del Responsabile della Protezione dei Dati.

In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6).

Si ricorda, infatti, che in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell'Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all'adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf - da non utilizzare per la comunicazione al Garante - che consente di familiarizzare con l'adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

AdA

Vai alla procedura on-line

Scarica il fac-simile

Scarica le istruzioni per la compilazione

Scarica le Linee guida sui responsabili della protezione dei dati

La CNIL, l'Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d'impatto sulla protezione dei dati (DPIA).

Il software, la cui versione in lingua italiana è stata messa a punto con la collaborazione del Garante per la protezione dei dati personali, offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell'esperienza raccolta e delle segnalazioni degli utenti.

Il software non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica il software

Il Garante per la protezione dei dati personali mette a disposizione l'aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci. La presente Guida è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.

AdA

Scarica la Guida applicativa

La nomina di un Dpo (data protection officer, in italiano Rpd, responsabile per la protezione dei dati), che secondo il regolamento europeo non è obbligatoria per tutti, è «raccomandata» dal Garante a tutti i titolari «anche alla luce del principio di accountability che permea il regolamento».

Questa una delle indicazioni fornite dal Garante della privacy nelle Faq, pubblicate sul suo sito, relative al comparto privato in vista dell’entrata in vigore del Regolamento (Gdpr) il 25 maggio 2018.

Si ripete, dunque, quello che già era accaduto con la tenuta del «Registro delle attività di trattamento», disciplinato dall’articolo 30 del Gdpr. Una misura prescritta per soggetti o trattamenti di rilevante importanza diventa consigliata alla generalità dei titolari e individuata come modalità favorita per dimostrare il rispetto dei requisiti del Gdpr (in caso di controversie, ispezioni, procedimento davanti al Garante).

Il motivo è facile da intuire: il regolamento è una norma nuova che, almeno rispetto alla legislazione italiana, muta la struttura del sistema privacy. Fino al 25 maggio, i titolari devono dimostrare di avere messo in atto misure minime per la tutela dei dati trattati; dal 25 maggio in poi le misure che permetteranno di dimostrare la compliance con il regolamento devono essere sufficienti (il principio di accountability, appunto).

La sufficienza delle misure andrà misurata ex ante. Il titolare dovrà provare di aver adottato misure tali da rendere i dati e i trattamenti sicuri e legittimi. Il registro in cui annotare trattamenti e regole può certamente costituire una prima prova di ciò; e così un Dpo validamente scelto (garanzia di competenza e professionalità) e dotato delle necessarie strutture e risorse (personale, locali, attrezzature).

Di certo la sua nomina dovrà essere un processo sostanziale e non un obolo formale alle prescrizioni del Gdpr. Quindi, non solo il Dpo designato dovrà possedere i requisiti di «conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» previsti dall’articolo 37 del regolamento, ma dovrà anche interagire con le funzioni aziendali per assicurare il rispetto della normativa, la gestione delle criticità e, in aggiunta, «fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento» (articolo 39).

Questa inedita figura a metà tra la consulenza e la garanzia è stata individuata fin da subito come una delle novità più evidenti introdotte dal Regolamento. Il Dpo può essere sia un consulente che un dipendente, ma anche in quest’ultimo caso deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali.

Non ci sono incompatibilità con altri incarichi, ma il Garante evidenzia la necessaria assenza di un «conflitto di interesse» in capo al Dpo. Ciò può creare qualche problema all’interno delle aziende, che in molti casi potrebbero essere portate a nominare responsabile un dipendente che si sta già occupando attivamente di privacy.

Invece, dice il Garante, è sconsigliabile nominare Dpo chi opera all’interno di strutture che hanno potere decisionale in ordine alle finalità e alle modalità del trattamento dei dati, e quindi (se ne deduce) anche chi ha costruito e gestisce in prima persona il sistema e i documenti privacy di una società. Queste risorse dovranno essere, semmai, il punto di contatto con il Dpo. La scelta della persona da nominare non va quindi sottovalutata. Il responsabile è una professione creata ex novo dal Regolamento; potrebbe diventare uno dei cardini su cui ruota l’intero sistema privacy.

fonte Sole24Ore 85/18 AB