Revisione dell’organigramma e ripartizione delle funzioni, valutazione dei rischi e individuazione degli strumenti per tutelare la riservatezza. La realizzazione del “modello organizzativo privacy” - con cui sono alle prese in questo periodo le imprese per prepararsi al debutto delle prescrizioni del regolamento Ue 679/2016, che entrerà in vigore il 25 maggio 2018 - presenta molti punti di contatto e somiglianze con le disposizioni del decreto legislativo 231/2001 in materia di responsabilità amministrativa delle persone giuridiche.

Il regolamento Ue 679/2016 rivoluziona la normativa sulla privacy, abrogando, tra l’altro, la direttiva 95/46, da cui “discende” l’attuale Codice italiano sulla privacy (decreto legislativo 196/2003). Per adeguarsi alle nuove norme, le imprese devono quindi rivedere la compliance interna finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano.

Precisamente è il titolare del trattamento che ha il compito di attuare gli adempimenti previsti dalla normativa e a cui devono essere rimproverate eventuali violazioni o omissioni rispetto ai divieti e alle prescrizioni introdotte. Ed è sempre il titolare del trattamento a dover provare di aver posto in essere le iniziative necessarie per assicurare l’adeguamento delle policy interne alla nuova disciplina.

La necessità di provare l’avvenuto adeguamento della compliance aziendale alle nuove prescrizioni privacy ha portato le imprese a introdurre una sorta di “dossier privacy” o per alcuni altrimenti detto “modello organizzativo privacy”, che racchiuda tutti gli adempimenti necessari ad assicurare la riservatezza e il più elevato grado di tutela per i dati personali trattati nelle società. Un modello che ricorda da vicino quello che va predisposto (e aggiornato) per rispettare il decreto legislativo 231/2001.

Si parte con la revisione dell’organigramma, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento. A ciò si accompagna la verifica circa l’obbligatorietà, per i casi espressamente indicati dalla normativa, o la mera opportunità, negli altri casi, di nominare un Data protection officer (Dpo).

Quanto detto sembra pienamente rispondere al criterio della segregation of duties (Sod) che già governa il sistema 231, secondo cui occorre individuare le distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.

In questa chiave di lettura, di notevole impatto è l’obbligo di provvedere alla valutazione dei rischi privacy (una sorta di risk assessment privacy), destinata inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate. In esso sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati.

In questa valutazione si deve tener conto dell’identità dei soggetti interessati al trattamento (ad esempio, dipendenti o fornitori), delle finalità del trattamento nonché delle tipologie (ad esempio, dati sanitari, anagrafici o altri) e delle categorie di trattamento entro le quali sono compresi i dati gestiti dall’azienda.

Sarà necessario, inoltre, garantire un costante aggiornamento a questo documento in occasione di possibili mutamenti sia organizzativi che normativi in grado di incidere sul trattamento dei dati messi a disposizione delle imprese.

Riecheggiando la recente normativa sul whistleblowing (legge 179/2017, in vigore dal 29 dicembre 2017), è infine richiesta l’introduzione di specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate sui dati personali (data breach): sarà utile predisporre moduli distinti a seconda della tipologia di violazione riscontrata, individuare un ufficio responsabile per ricevere le segnalazioni oltre che individuare le eventuali iniziative da intraprendere, a livello organizzativo e tecnico, capaci di porre rimedio alle irregolarità che si sono verificate.

Infine, allo scopo di sensibilizzare tutto il personale dipendente nonché le funzioni aziendali impiegate a ogni livello nell’assessment societario, è prevista l’implementazione di un codice di condotta per garantire la corretta osservanza delle prescrizioni del regolamento Ue, da elaborare tenuto conto delle peculiarità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese.

AdA

fonte Sole24Ore 21/18 LF

Il Garante per la protezione dei dati personali ha pubblicato le linee guida concernenti la valutazione di impatto sulla protezione dei dati (Dpia, Data Protection Impact Assessment) e i criteri per stabilire se un trattamento «possa presentare un rischio elevato» ai sensi del regolamento 2016/679.

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili o anche per una combinazione di questi e altri fattori), il regolamento obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando anche l’Autorità.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. Le linee guida precisano quando una valutazione di impatto è obbligatoria, chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista, e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Viene chiarito anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

AdA

fonte Sole24Ore 335/17

Scarica le linee guida

L’UNI, Ente Italiano di Normazione, ha pubblicato la norma UNI 11697:2017 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Attività professionali non regolamentate - Profili professionali per l'ICT - Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF".

Questa norma era attesa da molte aziende, che alla data del 25 maggio 2018 saranno obbligate a designare un responsabile della protezione dei dati personali. I profili professionali che vengono presi in considerazione in questa norma sono due primari e due di supporto.

I due profili primari fanno riferimento al responsabile del trattamento, accuratamente descritto nell’articolo 28 del regolamento generale sulla protezione dei dati 679/2016 e al profilo del responsabile della protezione dei dati, altrettanto accuratamente descritto nella sezione 4 dello stesso regolamento, dall’articolo 37 all’articolo 39. I due profili di supporto sono stati chiamati dalla norma con il nome di specialista privacy e di valutatore privacy.

Anche se il responsabile il trattamento è un profilo professionale già noto, perché già presente nel decreto legislativo 196/2003, l’impostazione completamente differente che è stata data dal regolamento, rispetto al decreto legislativo, ha fatto sì che fosse indispensabile creare, in questa norma, una specifica descrizione delle responsabilità e dei compiti di questo soggetto.

La norma è stata sviluppata secondo lo schema europeo chiamato EQF-European Qualification framework, che rappresenta la linea guida per sviluppare norme applicabili ad attività professionali non regolamentate e non ordinistiche.

AdA

Il Garante per la protezione dei dati personali ha informato che sono state adottate, dalle Autorità di protezione dati europee, le linee guida che aiuteranno le amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA, introdotta dal Regolamento Europeo 2016/679 consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali. La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.

L’analisi di impatto privacy può rivelarsi utile anche per valutare l’effetto di un nuovo dispositivo tecnologico in termini di protezione dei dati. Secondo le linee guida, è possibile utilizzare un’unica DPIA per valutare più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. 

La DPIA rappresenta una buona procedura da adottare per pubbliche amministrazioni e imprese. Al fine di assicurare l’interpretazione uniforme nei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito alcuni criteri riguardo l’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono obbligate ad adottare, in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

Fonte IlSole24Ore 307/2017 AR e MV

Scarica il Regolamento UE 2016/679

Scarica le Linee guida

Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare policy e organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio, quando sarà efficace in tutta l’Unione il Regolamento generale per la protezione dei dati (Gdpr, regolamento Ue 2016/679 ).

Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Gdpr sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme.
È facile intuire perché l’Unione abbia dedicato tempo e attenzione al tema della protezione dei dati: la tecnologia connota in modo profondo il mondo economico e imprenditoriale (i social media, la gig-economy) generando fatturati e valore che si appoggiano sulla gestione dei dati, più che sulla produzione o sui servizi. Non a caso si sente dire che questa è la quarta rivoluzione industriale, e i dati «il petrolio del nuovo millennio».

Rivendicando un ruolo centrale in questo contesto, l’Unione rivisita e innova una normativa e un concetto (la «privacy») entrato da tempo negli ordinamenti e nel lessico degli Stati ma in molti casi confinato in formule ripetitive, tutele evanescenti e, insomma, percepito più come requisito formale che come diritto sostanziale (degli utenti) e rispettivo obbligo (dei titolari, degli incaricati e di chiunque si trovi a trattare un dato altrui).

La strada scelta dal legislatore europeo per raggiungere questo scopo è stata, in primo luogo, l’inasprimento del sistema sanzionatorio, con multe che possono arrivare nel massimo all’importo maggiore tra il 4% del fatturato mondiale di gruppo e 20 milioni di euro. In secondo luogo, si è deciso di introdurre nuovi concetti e principi sconosciuti alla precedente legislazione, elaborando e specificando i concetti già presenti. Nascono nuove obbligazioni (la tenuta – obbligatoria per le aziende che impieghino più di 250 dipendenti, ma consigliata in ogni caso dal nostro Garante – del registro per le attività di trattamento), nuove procedure (come la notifica dei cosiddetti data breach o violazioni dei dati) e nuove figure (il Responsabile per la protezione dei dati) entrano nel nostro sistema, senza passare, considerata la natura del provvedimento, per un recepimento del legislatore nazionale. Il Gdpr sarà, da maggio 2018, la normativa europea per la tutela dei dati personali.

Nasce anche un nuovo vocabolario della privacy, con concetti e termini inediti (e anglofoni): la privacy by design e by default, ad esempio, che prevedono che ogni sistema di trattamento dei dati (con particolare riferimento ai sistemi elettronici) sia progettato sin dall’origine per il rispetto della normativa (non solo, quindi, usato in quel modo) e preveda specifiche tecniche che, per quanto possibile, impediscano in radice ogni violazione con impostazioni predefinite.

Il sistema, diversamente da quello precedente, è retto idealmente dal concetto di accountability, ossia, grosso modo, responsabilizzazione: una sorta di clausola di chiusura per il sistema. Non esiste più un catalogo di misure minime da adottare per la tutela dei dati, misure che, quindi, garantiscono il titolare da sanzioni e imprevisti. I titolari dovranno mettere in atto le misure tecniche e organizzative che di volta in volta siano adeguate, anche alla luce delle innovazioni tecnologiche, a garantire la tutela dei diritti degli interessati. Ogni titolare, dunque, sarà responsabile dei propri sistemi e della loro tenuta (a priori e a posteriori) di fronte a possibili violazioni o incidenti. Una doppia rivoluzione copernicana: la privacy al centro dei processi aziendali; i diritti dell’utente al centro della disciplina della privacy.

Resta da chiedersi quali siano i processi aziendali che coinvolgono dati personali e chi siano gli utenti al centro delle nuove tutele. La risposta è semplice. Tutti i processi aziendali coinvolgono dati personali; gli utenti del sistema sono tutti i soggetti che, a ogni livello, hanno a che fare con le società: clienti, fornitori, visitatori del sito internet e, ovviamente, dipendenti. Come già in materia di sicurezza sul lavoro, va prevista una formazione specifica ed efficace, che andrà anche debitamente documentata e inserita nei documenti e nei processi sulla privacy interni. La formazione andrà poi ripetuta e, soprattutto, aggiornata secondo i cambiamenti dell’attività e del tipo di dati trattati.

AdA

fonte Sole24Ore 293/17 AB e PP

Il Garante per la protezione dei dati personali ha fornito le indicazioni per una corretta scelta del responsabile della protezione dei dati personali (Rpd). Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi Albi professionali.

Si tratta di un chiarimento del Garante in relazione alla nomina di questa nuova importante figura - introdotta dal regolamento Ue 2016/679 - che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

I responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali, così come non è prevista l’istituzione di un albo dei “Responsabili della protezione dei dati”.

AdA

fonte Sole24Ore 265/17

Manca meno di un anno perché diventi applicabile il Regolamento Europeo a tutela dei dati personali e sono iniziate le grandi manovre attorno a una voce di spesa delle aziende. Tra l’altro, la normativa incoraggia meccanismi di certificazione della protezione dei dati che acquisiscono una ulteriore importanza in quanto dimostrano la conformità alla legge e sono un fattore attenuante in caso di sanzioni.

Questa indicazione ha spinto la Iso a mettersi in moto, avviando lo sviluppo della «Iso/Iec 27552 - Enhancement to Iso/Iec 27001 for privacy management». L’organizzazione punta a evolvere lo standard in materia di gestione della sicurezza delle informazioni nello strumento principe per garantire la conformità al regolamento, e di certo ha la credibilità per riuscirci: infatti, non si può trascurare che ha sviluppato la Iso 27018 per il trattamento sicuro dei dati personali nel public cloud, e si appresta a rilasciare la Iso 29134 per il Privacy impact assessment, e la Iso 29151 per la protezione dei dati personali.

Mentre l’ente dispiega il suo arsenale, alle aziende tocca la scelta più difficile, perché pensare di appesantire il budget privacy con una certificazione richiede un’attenta riflessione in regime di ristrettezze economiche. Tuttavia potrebbe presentarsi uno scenario in cui il “bollino blu” sarebbe un must. Una ventina di anni or sono in Italia ci fu il boom della Iso 9001, ma l’improvvisa volontà di certificare la qualità non fu determinata da una presa di coscienza collettiva, bensì dalla scelta del principale cliente delle imprese italiane, la pubblica amministrazione, di limitare di fatto la partecipazione alle gare d’appalto ai titolari del certificato. Le premesse a una situazione analoga ci sono tutte: l’Europa, infatti, non considera la privacy un dettaglio.

Oggi è praticamente impossibile erogare un servizio, soprattutto pubblico, senza trattare i dati di qualcuno: di conseguenza, non esiste una buona ragione per cui una stazione appaltante rinunci a un elemento che, da solo, garantisce la conformità alla norma del fornitore.

AdA

fonte Sole24Ore 161/17 AC

Il Garante per la privacy ha elaborato una prima Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L'obiettivo della Guida è duplice: da una parte offrire un primo "strumento" di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy; dall'altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche: Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all'attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

La guida è disponibile sul sito del Garante in formato ipertestuale navigabile. Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all'evoluzione della prassi interpretativa e applicativa della normativa.

AdA

Vai alla guida

Il 22 novembre  2016 , presso la Camera di Commercio di Napoli, si terrà il convegno: Conformity Day 2016  “Attuare la Conformità nella Safety, Energy, Security e Privacy”.

Il convegno, che gode del patrocinio della Camera di Commercio di Napoli e di INAIL Campania, è organizzato dall’Associazione Ingegneri@Napoli in collaborazione con PMI International.
il Conformity Day è un evento di aggiornamento sugli schemi privacy, security, energy e safety.
Nell'ambito dell'evento saranno rilasciati CFP per Ingegneri, per RSPP e ASPP e Crediti per le Certificazioni (ISO/IEC 17024) e per le Attestazioni (L.4/2013).

La partecipazione è gratuita

Scarica la brochure

Iscriviti al convegno

mb

Il 27 aprile 2016 è stato pubblicato il nuovo regolamento che disciplina il trattamento dei dati personali che sostituirà il codice Privacy nel giro di due anni dalla entrata in vigore (25 maggio 2018). La pubblicazione in Gazzetta Ufficiale Europea del 4 maggio 2016 rende obsoleta la precedente direttiva madre 65/46/CE e definisce i termini dell’immediata applicabilità da parte dei 28 stati membri dell’Unione, senza che sia formalmente necessario il passaggio del recepimento interno attraverso apposita misura normativa.

Il nuovo regolamento introduce novità anche significative in materia di trattamento dei dati personali e modifica, in parte, alcuni aspetti della normativa precedentemente in vigore, attribuendo nuovi oneri e responsabilità che si riflettono inevitabilmente sui soggetti titolari e responsabili del trattamento dei dati. In Italia, l’autorità garante della Privacy è al lavoro sul precedente regolamento (d.lgs. 196/2003) con l’obiettivo di valutare quali misure possano essere conservate e quali invece necessitano di revisione ai sensi delle recenti novità, poiché a breve obsolete e non più applicabili.

La velocità con cui si sviluppano nuove tecnologie digitali, e con cui nascono sul mercato telematico nuovi potenziali gestori di dati personali, ha reso necessaria l’attuale revisione volta a dare un impulso tecnico e normativo che sia al passo e conforme all’andamento del mercato, e che contribuisca a rafforzare un clima di fiducia da parte dei consumatori per favorire e sostenere lo sviluppo dell’economia digitale in piena fase di espansione.

Il Regolamento si compone di 99 articoli che introducono obblighi in carico ai Responsabili del trattamento dei dati (capo IV) con la finalità di promuovere un sistema organico e coerente che consenta alle persone fisiche di muoversi in regime di tutela della privacy e ai gestori dei dati di poter offrire servizi in spirito di libero mercato, che possano soddisfare le esigenze dei destinatari, in termini di affidabilità, dinamicità e riservatezza.

Il nuovo regolamento sensibilizza gli stati membri affinché promuovano, all’interno dei confini nazionali, misure e provvedimenti di carattere locale, consentendo una certa libertà di manovra per quanto riguarda le disposizioni relative alla tutela di specifiche categorie di dati personali (dati sensibili) e invitando a sviluppare protocolli di controllo e criteri di gestione dei dati attinenti ad attività di interesse pubblico o connesse all’esercizio di poteri pubblici.

AdA

Scarica il Regolamento 2016/679 del 27 aprile 2016