Il Nuovo Regolamento Generale sulla Protezione dei Dati Personali entrerà definitivamente in vigore il 25 Maggio 2018, la violazione delle nuove disposizioni prevede sanzioni  pecuniarie molto pesanti (in base alle dimensioni aziendali anche  fino a 20 milioni di Euro!!!)

Il GDPR è un argomento che riguarda in generale tutte le aziende e professionisti, ponendo l’accento sui concetti di “Responsabilizzazione” (Accountability) e di “Misure Adeguate” in quanto, il Titolare del Trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i princìpi del Regolamento nonché, di aver messo in atto le misure ritenute idonee.

Anche se nel GDPR sparisce il concetto di “Misure Minime”, previsto dal previgente  D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di Accountability ed essere in regola con le nuove norme..

 

 

 Scorri per ulteriori approfondimenti

 

GDPR senza pensieri

Un consulente ti segue “passo passo” nelle procedure, suggerendoti le soluzioni per risolvere eventuali criticità e al termine  della telefonata ti invia il Registro Trattamenti da stampare e  conservare in caso di controlli da parte delle autorità 

 

Il costo della procedura varia a seconda delle dimensioni e dalle caratteristiche dell’azienda e della natura dei dati trattati a partire da 100€ per la sola valutazione

GDPR cosa è?

Il GDPR, acronimo di General Data Protection Regulation è una nuova legge Europa che è già entrata in vigore e sarà effettiva dal 25 Maggio 2018.

Si tratta di una nuova normativa atta a regolamentare il data process management ovvero, il trattamento e la libera circolazione dei dati personali, definendone la regolamentazione in relazione alla loro protezione.

Innanzitutto bisogna precisare che il GDPR definisce “dati personali” tutte le informazioni relativa ad un individuo, connesse alla sua vita sia professionale che privata, come nomi fotografie, indirizzo e-mail e così via. Quindi, lo scopo è quello di salvaguardare la tutela dei dati personali dei cittadini dell’Unione di fronte ai rischi di un mondo in forte evoluzione digitale. Il GDPR impone alle aziende di mettere a punto dei piani di adeguamento precisi ed immediati. Difatti molte novità introdotte obbligano le organizzazioni pubbliche e private un cambiamento sostanziale che prevede specifiche responsabilità ed azioni puntuali.

DPO e responsabilità

Come si è già detto, la tutela dei dati degli utenti, in pratica, passerà attraverso un procedimento strutturatoche impone ruoli, responsabili e responsabilità precisi.

Il proprietario dei dati, giuridicamente definito persona fisica, deve fornire esplicitamente in forma scritta un consenso per la raccolta e la gestione dei propri dati personali. A sua volta il titolare del trattamento,controller, si assume il rischio di eventuali violazioni(data breach). Viene definito processor il responsabile del trattamento, ovvero chi utilizza effettivamente questi dati. In caso di eventuali violazioni, il Data Protection Officer (DPO)responsabile effettivo della protezione dei dati, è incaricato di avvisare il controller. Di rimando, l’autorità Capofila, supervisor authority, si assume la responsabilità di coordinare, con le altre autorità interessate nel trattamento, le attività dei processi di utilizzo transfrontaliero dei dati.

Infine, l’onere di coordinare le autorità sovraintendenti è assunto dall’EDPB (European Data Protection Board), un Comitato Europeo incaricato alla tutela dei dati personali.

Data Breach
L’art. 33 del Regolamento Europeo 679/2016 (GDPR) impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro settantadue ore dal momento in cui ne viene a conoscenza. Già attualmente sussiste l’obbligo di notifica delle violazioni di dati personali per particolari categorie di titolari (società telefoniche ed internet provider; pubbliche amministrazioni) o per particolari categorie di trattamenti (sistemi biometrici, dossier sanitario). La novità del GDPR, che diverrà applicabile dal 25 maggio 2018, è l’estensione dell’obbligo a tutti i titolari. L’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e le libertà delle persone fisiche, qualora, poi, il rischio fosse elevato, allora, oltre alla notifica, il titolare è tenuto a darne comunicazione all’interessato. Il termine per adempiere alla notifica è brevissimo, settantadue ore dal momento in cui il titolare ne viene a conoscenza, mentre, l’eventuale comunicazione agli interessati, deve essere fatta senza indugio. L’eventuale ritardo nella notificazione deve essere giustificato, il mancato rispetto dell’obbligo di notifica, invece, pone l’autorità di controllo nella condizione di applicare le misure correttive a sua disposizione ovvero: l’esercizio dei poteri previsti dall’art.58 GDPR (avvertimenti, ammonimenti, ingiunzioni, imposizione di limiti al trattamento, ordine di rettifica, revoca di certificazioni, ordine di sospendere flussi dati), la imposizione di sanzioni amministrative secondo l’art. 83 GDPR, il cui importo può arrivare a 10.000.000 di euro o al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Occorre in ogni caso tenere conto che, la mancata notifica e/o comunicazione, possono rappresentare per l’autorità di controllo un indizio di carenze più profonde e strutturali quali ad esempio carenze od inadeguatezza di misure di sicurezza, in tal caso, trattandosi di ipotesi separate ed autonome, l’autorità procederà per l’ulteriore irrogazione di sanzioni. Per “Violazione di dati” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (Art. 4 p.12 GDPR). La violazione di dati è un particolare tipo di incidente di sicurezza, per effetto del quale, il titolare non è in grado di garantire il rispetto dei principi prescritti dall’art. 5 del GDPR per il trattamento dei dati personali. Preliminarmente, dunque, il titolare deve poter identificare l’incidente di sicurezza in genere, quindi, comprendere che l’incidente ha impatto sulle informazioni e, infine, che tra le informazioni coinvolte dall’incidente vi sono dati personali. L’art. 33 p.5 del GDPR, prescrive al titolare di documentare qualsiasi violazione dei dati personali, al fine di consentire all’autorità di controllo di verificare il rispetto della norma. Ne discende che le generali attività di scoperta dell’incidente, come le successive di trattamento, devono essere documentate, adeguate (devono riportare le violazioni, le circostanze, le conseguenze ed i rimedi), tracciabili, replicabili ed essere in grado di fornire evidenza nelle sedi competenti.   E’ importante che sia dimostrabile il momento della scoperta dell’incidente, poiché da quel momento decorrono le 72 ore per la notifica.

Registro dei trattamenti
l Registro dei Trattamenti è una delle principali novità del GDPR. Il medesimo non deve essere considerato un mero adempimento burocratico, ma bensì, consiste in uno strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra cui:
  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati personali;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”.
Chi è obbligato alla tenuta del registro dei trattamenti La tenuta del registro dei trattamenti, se interpretata in questo modo, potrebbe essere utile persino alle organizzazioni per le quali non costituisca un obbligo. A tal proposito è proprio l’art. 30, co. 5, del GDPR ad esonerare dall’obbligo di tenuta del registro dei trattamenti le imprese con meno di 250 dipendenti a meno che: “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”. A conferma dell’opportunità generale di dotarsi del registro dei trattamenti, si possono considerare le raccomandazioni indicate nelle Linee Guida al regolamento, pubblicate dal Garante per la Protezione dei dati personali, in cui viene così espressamente previsto: “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registroe, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”. Per quanto attiene ai soggetti obbligati alla tenuta del registro dei trattamenti, deve precisarsi che:
  • il co. I dell’art. 30 disciplina il registro dei trattamenti del titolare, stabilendo che ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità;
  • il co. II dell’art. 30 disciplina invece il registro dei trattamenti del responsabile, stabilendo che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.
I due registri presentano delle differenze dal punto di vista contenutistico, avendo il primo una portata più ampia che si estende all’indicazione delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), dei termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile). Modalità di costruzione del Registro Non è disciplinata a livello normativo una regola generale che stabilisca le modalità attraverso le quali costruire il registro dei trattamenti: l’art. 30 del GDPR, infatti, si limita ad indicare quali sono gli elementi che il registro deve necessariamente contenere. Il modello di registro consigliato integra le informazioni minime richieste dal Regolamento con elementi aggiuntivi in grado di trasformare il registro in un vero e proprio asset aziendale, mantenendo un collegamento diretto con i principali «oggetti aziendali». Nello specifico, si consiglia di inserire all’interno del registro i seguenti elementi:
  • processi/macro-attività, per poter inquadrare i trattamenti di dati personali all’interno delle attività svolte da ciascuna Unità Organizzativa e facilitarne la comprensione e l’aggiornamento da parte del relativo responsabile;
  • base giuridica e modalità di raccolta del consenso, per facilitare la predisposizione dell’informativa da consegnare all’interessato. Al riguardo, si ricorda che l’art. 13 co. I l. c) del GDPR ricomprende la base giuridica del trattamento tra gli elementi che devono essere contenuti all’interno dell’informativa;
  • referente interno e categorie di soggetti autorizzati al trattamento, per fornire indicazioni utili in merito a persone che, limitatamente ai trattamenti di propria competenza, avranno dei compiti esecutivi all’interno del modello di funzionamento;
  • responsabili esterni del trattamento, per individuare tutti i soggetti terzi che trattano dati personali per conto del titolare del trattamento e che dovranno essere nominati responsabili esterni, richiamando le tipologie di trattamento consentite;
  • modalità di trattamento dei dati, per poter mappare con esattezza, attraverso l’elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi.
In conclusione, una corretta implementazione del Registro dei Trattamenti consentirebbe di avere un supporto importante per il governo della data protection nell’ottica di garantire l’accountability. Tale necessità di comprovare la conformità al Regolamento, adottando misure tecniche e organizzative adeguate, prescinde dalle dimensioni dell’organizzazione ed in tale contesto il registro diventa uno strumento utile per tutte le organizzazioni.

Privacy Impact Assessment
  Il  PIA (Privacy Impact Assessment) è un processo codificato e strutturato in fasi, dunque uno strumento operativo, che aiuta le organizzazioni aziendali ad analizzare con sistematicità, ad individuare  e a ridurre i rischi privacy per gli individui interessati coinvolti dal rilascio di un nuovo progetto, soluzione o regola. La valutazione d’impatto del trattamento dei dati personali costituisce parte integrante dell’approccio Privacy by Design, ed aiuta ad assicurare che i problemi potenziali siano identificati negli stadi iniziali del progetto quando la possibilità di indirizzarli è spesso più efficace e meno costosa. Le sue fasi devono avere un ciclo ricorsivo per attualizzare la valutazione fatta inizialmente a mano a mano che si procede con il progetto e vengono attuate le misure pianificate. Le fasi del processo PIA possono essere condotte e registrate secondo il seguente schema:
  1. Valutazione preliminare di opportunità per un PIA
Questa fase serve ad un’organizzazione a:
  • spiegare ciò che il progetto intende realizzare, quali sono i benefici attesi per l’organizzazione, per gli individui e per le altre parti
  • decidere, in base ad un insieme di domande mirate di screening, se un PIA sia necessario
  • dimensionare le risorse a seconda dell’entità del progetto e il tempo necessario alla valutazione
  • capire gli impatti potenziali e i passi che potrebbero essere richiesti per identificare e ridurre il rischio.
Una volta che sia stata identificata la necessità di svolgere un PIA si esegue la valutazione di come le fasi di un PIA si integrano in quelle del processo di project management già consolidato all’interno dell’organizzazione. Questo ha lo scopo di far convergere i rilievi emersi dal PIA all’interno delle fasi di sviluppo di un progetto in modo che gli output di ogni fase di progetto ne tengano conto.
  1. Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti
Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è possibile solo se si evidenziano gli elementi che caratterizzano il trattamento dei dati. Occorre descrivere: quali informazioni sono utilizzate; come vengono trattate nelle singole fasi; cosa servono, ovvero per quale finalità; da chi sono ottenute, a chi sono comunicate; chi ne deve avere accesso. Questa fase del processo PIA può essere supportata da fonti informative già disponibili all’interno dell’organizzazione per descrivere come i dati saranno utilizzati, ad es. un diagramma che riporti i flussi informativi tra i vari soggetti o sistemi, la sequenza prevista delle operazioni di gestione dei dati, rapporti di audit sull’uso delle informazioni, mappe informative, registri di asset informativi. Ogni organizzazione può decidere chi sia in una posizione più opportuna per coordinare o condurre un PIA. In ogni caso e’ verosimile che le organizzazioni più complesse si dotino di un DPO che può giocare un ruolo chiave, con l‘autorità di rivolgersi a chi è in grado di guidare le fasi del PIA sui processi esistenti. Questa figura può essere anche in grado di mantenere traccia di tutti i PIA eseguiti e di seguire le implicazioni derivanti dalla nuove. Laddove non sia stato ancora identificato un DPO è possibile far condurre i PIA da non esperti laddove siano state identificate delle figure di project manager o di risk manager (anche senza conoscenza specialistica sulla protezione dei dati) purché in grado di applicare un metodo guida basato su quesiti che li aiutino a focalizzare gli aspetti rilevanti. Condurre un PIA significa lavorare in team all’interno di un’organizzazione. Un PIA efficace includerà coinvolgimenti e consultazione di persone provenienti da settori diversi di un’organizzazione in grado, ciascuno, di individuare differenti rischi di privacy e soluzioni basate sulla rispettiva area di interesse o di esperienza. Laddove opportuno si potrà prevedere l’eventualità di ottenere contributi anche dalle persone che sono direttamente impattate dal nuovo servizio allo scopo di raccogliere riscontri da parte di chi ha una percezione pratica degli effetti.
  1. Identificazione dei rischi privacy e di quelli correlati.
In questa fase occorre valutare gli aspetti di Privacy che espongono il progetto in esame a rischi di Privacy. Un principio chiave è che il processo PIA è insieme una forma di risk assessment e di risk management per quanto riguarda le implicazioni specifiche di Privacy. Dunque l’organizzazione deve considerare come il progetto potrà generare eventuali problemi alla privacy degli interessati che, a loro volta, si ripercuoteranno sulla stessa organizzazione se non indirizzati correttamente. Ad esempio un progetto che è intrusivo sul fronte del pubblico aumenta anche i rischi di multe, di danni reputazionali, o di perdite di business se rilasciato con carenze o soluzioni inappropriate. Il problema è come identificare e gestire in modo sistematico l’insieme dei rischi. E’ per questo che nella fase precedente di descrizione dei flussi informativi si è cercato di immaginare una sequenza composta da stadi di utilizzo dei dati come una sequenza logica dei trattamenti, da quando i dati vengono ricevuti dall’esterno a quando vengono aggregati, elaborati, storicizzati e poi ulteriormente trasferiti. A questo punto è importante applicare a questi stadi un set di quesiti che consenta di far emergere le vulnerabilità e le minacce e su queste determinare gli effetti su cui quantificare gli impatti. Le organizzazioni potrebbero decidere di usare standard di settore o propri e metodologie di Project Management o di Risk Management per aiutarsi a categorizzare, identificare e misurare i rischi. Si suggerisce di valutare il rischio in termini di coefficienti di probabilità e di gravità secondo scale numeriche associate a classi di valori. Il documento centrale di questa fase è il Privacy Risk Register dove sono riportate le descrizioni delle valutazioni fatte, al fine di dettagliare la mappatura dei rischi integrabile nel Risk Register di progetto. E’ implicito che progetti di minore portata possono avere un’approccio al rischio meno formale che riduce il dettaglio dell’analisi riportata nel Risk Register.
  1. Individuazione delle soluzioni e delle misure
In questa fase le organizzazioni hanno bisogno di identificare quali soluzioni possono essere intraprese per i rischi che hanno identificato. Il PIA dovrebbe offrire una serie di possibili opzioni per indirizzare ciascun rischio anche se va considerato che lo scopo non è quello di eliminare completamente l’impatto ma è quello di ridurre l’impatto ad un livello accettabile pur consentendo di realizzare un’iniziativa. Dunque in questa fase, mentre si decide sulle possibili soluzioni, è sempre utile soppesare se gli scopi e i risultati del progetto sono proporzionati con l’impatto previsto sugli interessati. Pertanto è opportuno tener traccia della misura di riduzione di rischio che ogni soluzione intende apportare. Le organizzazioni hanno anche bisogno di valutare i costi e i benefici delle possibili soluzioni. Alcuni costi sono di natura prettamente finanziari, ad esempio quando deve essere acquistato un nuovo software per garantire un maggiore controllo sull’accesso e sulla conservazione. Ma i maggiori costi devono essere bilanciati rispetto ai benefici attesi, come per esempio una maggiore garanzia per proteggersi da violazioni dei dati, un minore rischio di sanzioni o provvedimenti o di essere esposti ad effetti reputazionali.
  1. Approvazione delle decisioni e registrazione dei risultati
Per le soluzioni che si è deciso di portare avanti è opportuno tener traccia dei passi seguiti nel processo decisionale, compreso chi li abbia approvati. Parimenti, se si fosse deciso di accettare un rischio, dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione di responsabilità. Si ritiene utile giungere alla conclusione delle attività producendo un report finale, da allegare alla documentazione di progetto, per riassumere il processo e i passi compiuti per mitigare il rischio privacy e per consentire di ricostruire a posteriori i motivi delle scelte fatte sulla base dei rischi individuati. Si consideri che una registrazione del processo PIA può anche costituire una forma di comunicazione e di trasparenza verso gli interessati che ne richiedano la consultazione e diventare così una strategia di comunicazione. Si consideri, inoltre, che un report PIA potrebbe non essere il solo documento prodotto come risultato del processo mail PIA potrebbe aver fatto emergere il bisogno di una nuova comunicazione o regola da trasmettere agli interessati.
  1. Integrazione dei risultati del PIA nel piano di progetto
I rilievi PIA e le azioni dovrebbero essere integrate con il piano di progetto complessivo man mano che si sviluppa. Anche se la maggior parte dell’impegno per il PIA risiede nelle fasi iniziali del progetto, potrebbe essere necessario ritornare al PIA in vari stadi dello sviluppo e della realizzazione del progetto per avere conferma che le soluzioni sono state correttamente realizzate e hanno ottenuto l’effetto desiderato. E’ probabile che i progetti di grande estensione ottengano benefici da un processo di revisione più formale. Un PIA potrebbe generare azioni che continuano dopo che la valutazione è finita per cui è necessario che queste azioni vengano monitorate. In questa fase occorre tener traccia di ciò che si può imparare per i progetti futuri.

GDPR – Nomine

Gli obblighi di nomina del Responsabile.

La nomina del Responsabile del Trattamento illustrata all’articolo 28 del GDPR è una nomina obbligatoria che attribuisce al Responsabile una gran quantità di compiti e oneri.  Le indicazioni fornite nell’articolo in questione descrivono perfettamente le caratteristiche del Responsabile esterno del trattamento. I Responsabili interni e gli incaricati. In Italia, l’applicazione della normativa Privacy è stata caratterizzata negli anni anche dalla figura del Responsabile interno del trattamento. A questa, il Titolare poteva delegare una serie di responsabilità in merito al trattamento dei dati personali effettuati dall’impresa. Trattandosi di una tipicità italiana, non è strano che il GDPR non ne faccia alcun cenno. Dal punto di vista della normativa europea, chiunque, all’interno di una organizzazione, effettui operazioni di trattamento è «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare». Il GDPR non fa alcun riferimento alla necessità di «nominare» formalmente queste persone, tra le quali sono compresi anche gli incaricati (secondo la definizione del Codice Privacy). In merito alle operazioni di trattamento dei dati personali, tutto quello che avviene dentro un’impresa si colloca nell’ambito del rapporto di lavoro instaurato tra il Titolare e i propri dipendenti e/o collaboratori e fa riferimento alle mansioni assegnate a questi ultimi.  Sono ovviamente esclusi fatti di rilevanza penale, per i quali la responsabilità è individuale. L’accountability del Titolare e le nomine interne. Il Titolare ha l’obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall’impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. Poiché può essere chiamato a render conto delle proprie scelte, affiderà i compiti – ai propri dipendenti, ai dirigenti e ai collaboratori – in modo consapevole e ragionato. La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare. Ad esempio, il direttore dell’Ufficio del Personale di un’impresa è ovviamente responsabile del trattamento dei dati personali effettuato all’interno della direzione organizzativa affidatagli; si tratta di un compito insito nel ruolo svolto e non di un dovere discendente da una nomina scritta. La nomina dell’articolo 28. La nomina del Responsabile ai sensi dell’articolo 28 del GDPR può implicare, tra le altre cose, la tenuta di un Registro dei trattamenti o l’implementazione di misure di sicurezza e richiede inoltre, obbligatoriamente, la sottoscrizione di uno specifico contratto. Ma il contratto tra Titolare e dipendente o tra Titolare e dirigente già esiste. È il contratto di lavoro. Come è possibile pensare che la protezione dei dati personali trattati dal Titolare – ovviamente implicita in qualsiasi contratto di lavoro – possa richiedere un contratto ad hoc? Sarebbe un paradosso. Per tutto quello che abbiamo detto, l’unica nomina obbligatoria, formalizzata ed espressamente richiamata dalla normativa, è quella relativa alla designazione dei Responsabili esterni del trattamento. Assegnazione di responsabilità in realtà complesse. Esistono però realtà più complesse di quelle a cui abbiamo fatto riferimento. Pensiamo per esempio alle aziende di una Regione, diverse tra loro per ambito e finalità di trattamento (diciamo per mercato di riferimento) in cui le responsabilità sono assegnate e ripartite in funzione degli statuti del singolo ente. Il Regolamento lascia intravedere la possibilità di trovare valide alternative per dirimere situazioni più complesse. Il criterio della contitolarità, ad esempio, potrebbe in alcune situazioni essere utilmente impiegato per assegnare in modo trasparente le rispettive responsabilità e la titolarità del trattamento (o parte di essa) all’interno di realtà organizzative molto articolate. Diverse valutazioni sono attualmente in corso. Alcuni Titolari sceglieranno di mantenere in qualche modo una continuità con il passato e «rinfrescheranno» le nomine interne esistenti. Non è questa la sede per approfondire il tema e attendiamo di sapere se fonti autorevoli rilasceranno indicazioni pratiche nel merito. Si fa presente a questo proposito che la recente legge 167/2017, all’articolo 28, ha modificato l’art. 29 del Codice Privacy e ha stabilito che il Garante predisporrà schemi tipo di atti giuridici che i Titolari potranno adottare per la stipula del rapporto con i responsabili del trattamento. Si spera che dalla pubblicazione di tali schemi tipo emergano elementi di maggiore chiarezza. Semplicità e buon senso. In linea generale, è bene che siano la semplicità e il buonsenso a guidare le scelte dei Titolari. Incamminarsi in un percorso “formalizzato” senza che ve ne sia un reale motivo produrrà solo un aumento di carta (e di burocrazia interna) e non diminuirà in alcun modo il livello di responsabilità del Titolare in merito ai trattamenti effettuati dall’organizzazione. Come bisogna comportarsi, quindi, con le attuali nomine dei responsabili interni? Devono essere riviste? Con quali criteri? Posto che, come abbiamo detto, non ci sono obblighi, ciascuno sceglierà la strada che meglio si adatta alle proprie esigenze. Conclusioni. Se un’impresa ritiene di voler aggiornare le nomine interne attualmente esistenti può farlo ma deve considerarle solo un modo per trasmettere informazioni e focalizzare l’attenzione del personale sull’importanza di proteggere i dati personali oggetto di trattamento. Lo stesso obiettivo, come abbiamo già detto, può essere raggiunto con altri strumenti: la pubblicazione di una politica sulla protezione dei dati personali, un regolamento interno, un disciplinare che fornisce istruzioni e assegna compiti alle funzioni organizzative. Quello che deve essere chiaro è che il ruolo del Responsabile esterno è del tutto diverso da quello di un eventuale Responsabile interno: mentre il primo è un’entità – fisica o giuridica – “altra” rispetto al Titolare e da questo autonoma, il secondo ne è diretta emanazione e, in merito al trattamento dei dati personali, è una “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare”. Se questo è assodato, il Titolare è padrone di scegliere in piena libertà la modalità più adatta per trasmettere le istruzioni al proprio personale.

GDPR – Videosorveglianza
Un aspetto che accomuna ormai molte aziende è la presenza di sistemi di videosorveglianza, volti al completamento dei sistemi di anti intrusione e non solo…Vi siete mai chiesti se siano a norma? Domanda più che lecita considerato che i provvedimenti in materia di privacy e trattamento dei dati personali riguardano anche i sistemi di videosorveglianza. Secondo quanto afferma il Garante per la Privacy, un sistema di videosorveglianza è a norma quando rispetta i principi di liceità, necessità, proporzionalità e finalità. In sintesi, attraverso il sistema di videosorveglianza è consentita la registrazione delle immagini se necessarie ad obblighi di legge o per tutelare un interesse legittimo (liceità); le riprese devono limitarsi solamente a ciò che è necessario per raggiungere gli scopi prefissati (necessità); l’impianto va impiegato solo in luoghi dove è realmente necessario, limitando le riprese alle sole aree interessate ed escludendo la visuale su quelle circostanti (proporzionalità); lo scopo della videosorveglianza deve essere esplicito e legittimo nonché limitato alle finalità di pertinenza dei titolari dei dati (finalità). Quanto al consenso, esso non è necessario se la videosorveglianza ha lo scopo di tutelare le persone e i beni da possibili aggressioni, furti, rapine, vandalismi, prevenzione di incendi o sicurezza del lavoro…non è inoltre contemplato lo scopo del controllo dell’attività lavorativa dei dipendenti tramite videosorveglianza!!! È opportuno avere ben chiare anche le tempistiche relative alla conservazione delle immagini: le registrazioni possono essere conservate in via temporanea e per un periodo massimo di 24 ore successive alla loro acquisizione, fatta eccezione per esigenze particolari legate per esempio a indagini di polizia o richieste giudiziarie. Le tempistiche variano però a seconda della tipologia di attività: nel caso di banche, per esempio, sono previsti tempi di conservazione più lunghi ma comunque non superiori ai sette giorni. La fattispecie degli istituti di credito, in qualità di obiettivi sensibili rispetto a reati come le rapine, comporta che anche i normali clienti vengano registrati e pertanto ne deve essere garantita la tutela: i clienti in questione, che si trovano dunque a passare o sostare in aree videosorvegliate, devono essere informati con appositi cartelli ben visibili. Quest’obbligo di segnalazione non è invece previsto nei luoghi pubblici dove le telecamere sono installate a fini di tutela dell’ordine e della sicurezza pubblica. Nel caso di soggetti privati e enti pubblici economici, è loro concesso il trattamento dei dati personali derivanti da videosorveglianza solo previa raccolta del consenso da parte dell’interessato oppure in presenza del principio di liceità. Il consenso citato è valido solo se espresso e documentato per iscritto.

Processi produttivi e organigramma aziendale
E’ necessario implementare, fin dalla fase progettuale, procedure tecniche che assicurino la sicurezza dei dati. Lo scopo è la tutela e la gestione del dato fin dalla sua introduzione nei sistemi aziendali. Ogni azienda, in base alla tipologia di attività e di dati trattati, deve calcolare il rischio connesso alla loro gestione e implementare un sistema di tutela adeguato.
Il trattamento deve essere monitorato nel tempo e ritarato qualora le condizioni iniziali variassero 
Questo nuovo tipo di approccio è basato sui principi di:
  • minimizzazione del dato limitata ai soli dati necessari esplicitando la finalità del trattamento.
  • limitazione della conservazione al solo periodo di conservazione nei database aziendali indicato in maniera esplicita.
Al prestatore dovrà essere in futuro notificata la scadenza del periodo e l’eventuale richiesta di prolungamento.
La nuova normativa implica che il prestatore debba esprimere la volontà di condividere il dato attraverso consenso consapevole (non più consenso esplicito, nè silenzio assenso).
Sarà dunque necessario chiarire in modo semplice ed evidente le finalità di utilizzo e i passaggi relativi a come il dato viene trattato (INFORMATIVA SEMPLIFICATA), solo in questo modo il consenso potrà essere espresso in maniera consapevole (AZIONE POSITIVA). I dati raccolti prima dell’entrata in vigore del Regolamento non si potranno mantenere nei database senza questi aggiornamenti, pena l’imputabilità delle stesse sanzioni previste in caso di data breach, sarà quindi opportuno:
  • verificare di consistenza e provenienza del dato
    • notificare al prestatore come verranno utilizzati da ora in poi i dati
    •  richiesta di rinnovo del consenso
 
 
  Il principio della Privacy by Design introdotto dal Regolamento Europeo in materia di protezione dei dati personali, richiede alle aziende ed alla pubblica amministrazione un approccio alla protezione dei dati personali proattivo e non più reattivo, rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali (RID)  “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione. Il principio, nella sua enunciazione, appare di ovvietà e semplicità disarmanti, ma non  appena si entra nel merito ci si rende immediatamente conto che la sua attuazione ha delle implicazioni organizzative, procedurali e tecnologiche non  banali. Un esempio che può aiutare a capirne la complessità riguarda i processi deputati alla gestione del ciclo di vita delle applicazioni (SLM) che trattano dati personali: per essere conformi al principio della Privacy by Design occorre integrarli, quantomeno, con le attività di:
  • identificazione del flusso dei dati personali e dei trattamenti a cui saranno sottoposti durante tutto il loro ciclo di vita all’interno dell’organizzazione
  • identificazione puntuale dei requisiti di sicurezza che le applicazioni e l’infrastruttura tecnologica a supporto devono soddisfare per tutelare la RID dei dati personali, in qualunque stato essi si trovino (in use, in motion, at rest)
  • definizione degli standard di programmazione che consentano di implementare applicazioni esenti da vulnerabilità dovute a tecniche di programmazione non sicure
  • definizione degli standard architetturali necessari a soddisfare i requisiti di sicurezza definiti
  • definizione delle tecniche di mascheramento (o similari) dei dati personali qualora se ne preveda l’utilizzo in ambienti diversi da quello di produzione (test, formazione, …)
  • integrazione dei piani di test con le attività di verifica della corretta implementazione dei requisiti di sicurezza definiti, sia a livello applicativo che infrastrutturale
  • prevedere delle attività di test volte a verificare l’efficacia delle misure di sicurezza e degli standard applicativi e architetturali implementati (ethical hacking, penetration test, vulnerability assessment, code review,…)
Ma chi definisce i requisiti, gli standard, le soluzioni tecnologiche e sulla base di quali criteri ? E ancora, chi definisce le regole etiche/comportamentali e le relative sanzioni ? Chi ha la responsabilità di formare il personale ? Di primo acchito verrebbe da dire: chi altri, se non il DPO ? Certamente il DPO ha, semplificando, la responsabilità di definire il framework per la protezione dei dati personali, quindi anche del modello per la Privacy by Design, di verificarne la corretta attuazione ed efficacia nel tempo, ma ciò non significa che deve operare in completa autonomia, anche perchè non potrà e non dovrà avere approfondite competenze tecniche, legali, organizzative e procedurali funzionali ad una efficace implementazione del principio della Privacy by Default. Tutte le principali funzioni aziendali (Information Security, Risk Management, ICT, Legal, Compliance, Organizzazione, HR, Internal Audit,…), dovranno dare il loro contributo, con il supporto ed il coordinamento del DPO, alla revisione ed integrazione, per quanto di loro competenza, dei processi e delle tecnologie in uso al fine di implementare un modello di Privacy by Design definito e condiviso e di garantirne l’efficacia nel tempo. Poichè il modello per la gestione della Privacy by Default (PbD) non può prescindere dall’output generato dai processi tipici dei sistemi per la gestione della sicurezza delle informazioni, ne consegue che i primi passi da compiere, prima di intervenire sui processi consistono,  volendo riallacciarci all’esempio precedente, nel definire o rivedere, in ottica PbD, almeno i seguenti processi:
  • data classification, per la corretta identificazione e classificazione dei dati gestiti dall’organizzazione, tra cui quelli personali, in tutte le sue possibili declinazioni
  • risk management, sulla cui base identificare l’esposizione al rischio dei dati personali e le conseguenti misure organizzative, procedurali e tecnologiche da porre in essere per salvaguardarne la sicurezza. Le misure identificate andranno ad alimentare l’elenco dei requisiti di sicurezza che le applicazioni e le infrastrutture tecnologiche a supporto dovranno soddisfare per tutelare la RID del dato personale
  • Vulnerability management, che, tra l’altro, definisce, sulla base della data classification e dell’analisi del rischio, le attività/analisi da effettuare in fase di test dell’applicazione al fine di identificare, prima che la stessa vada in produzione, eventuali vulnerabilità che potrebbero compromettere la sicurezza dei dati personali trattati
  • Data Masking, per offuscare i dati personali utilizzati in ambienti di test e/o  di training
  • Hardening, per la definizione ed implementazione di configurazioni sicure per sistemi ed applicativi che trattano dati personali
  • Training, per formare i tecnici sugli standard di programmazione sicura e sulle architetture sicure
  • Awareness, per sensibilizzare il personale sugli aspetti e le implicazioni inerenti la protezione e la gestione dei dati personali
  • Internal auditing, per integrare il piano di audit ed il framework dei controlli interni al fine di effettuare le necessarie verifiche di efficacia del modello posto in essere
Da tale indicativa e non esaustiva elencazione di pre-requisiti, risulta evidente come l’implementazione del principio della Privacy by Design sia subordinata alla definizione ed implementazione del framework deputato alla gestione dei dati personali in conformità al GDPR. Ciò non significa che la PbD sia da considerarsi solo nelle fasi finali del progetto di readiness al GDPR ma, anzi, occorre tenerla ben presente sin dalla fase di disegno del framework affinchè i processi di data classification, risk management, ecc. producano gli output necessari ad una sua corretta ed efficace attuazione e gestione nel tempo. Durante la definizione del modello per la Privacy by Design, ma ancor più durante la definizione del framework per la conformità al GDPR, non dobbiamo dimenticarci che il dato personale va tutelato sempre e comunque, quindi anche quando non è in formato digitale. Si rende allora necessario estendere quanto detto in riferimento al SLM anche ai processi di gestione documentale al fine di proteggere i dati personali riportati nei documenti cartacei. A tale scopo occorre prevedere, quantomeno:
  • la definizione di linee guide per la gestione di documenti contenenti informazioni personali (document classification, clean desk, trasmissione dei documenti, secure printing, …)
  • l’adozione di schedari, portadocumenti, contenitori, ecc. dotati di serratura, per l’archiviazione sicura dei documenti cartacei riportanti dati personali
  • la rivisitazione delle modalità operative per il trattamento dei dati personali “analogici”, al fine di renderle conformi al principio della PbD
Infine, stanti le sanzioni previste dal GDPR, può rendersi necessario rivedere il sistema sanzionatorio interno, in particolare per chi, in violazione al codice etico, alle procedure ed alle policy in essere, dovesse compromettere i dati personali trattati dall’azienda, siano essi digitali od “analogici”

GDPR Georeferenziazione veicoli aziendali

Tracciamento veicoli aziendali

Per quanto invece concerne l’installazione di sistemi di tracciamento dei veicoli aziendali, è chiarito che i dispositivi dovranno essere impiegati solo al fine di rintracciare o monitorare l’ubicazione degli stessi, sui quali sono installati e che non dovranno essere utilizzati come strumenti per seguire o monitorare il comportamento o gli spostamenti di autisti o di altro personale. Viene inoltre specificato quali dati potranno essere utilizzati. Il modulo deve essere esibito prima dell’installazione delle telecamere e dei sistemi di localizzazione GPS e il legale rappresentante deve garantire inoltre: 1. il rispetto dei principi di necessità (i dati del veicolo saranno controllati solo quando vi sia necessità effettiva e non saranno costantemente monitorati); 2. il rispetto del principio di pertinenza e non eccedenza nell’uso dei dati raccolti; 3. che colui che fornisce il servizio di localizzazione sarà nominato responsabile del trattamento dei dati e che gli sono state fornite istruzioni scritte in relazione alle modalità e finalità di trattamento dei dati raccolti; 4. in base alla Circolare n. 5/2018 dell’INL, indicare espressamente l’interesse legittimo del datore di lavoro su cui si basa la necessità di impiego degli strumenti di videoripresa; 5. che i dipendenti saranno informati mediante atti scritti, ai sensi della normativa sulla privacy; 6. che i veicoli sottoposti a localizzazione riporteranno chiaramente avvisi ben visibili indicanti che si tratta di veicoli localizzabili. Il modulo sottolinea come l’impianto di videosorveglianza e quello di localizzazione dei veicoli debbano essere realizzati conformemente a quanto stabilito dalle vigenti regole tecniche, come ad esempio il fatto che gli impianti dovranno essere creati da impresa autorizzata che sarà tenuta a rilasciare idonea certificazione.

Allegati da presentare insieme alla richiesta di autorizzazione

Al documento, oltre che al documento di identità del legale rappresentante, in base alla disposizione del ministero, dovevano essere allegati a. per l’installazione delle videocamere: 1. una planimetria dei locali in cui sarà installato l’impianto; 2. una relazione che descrive la gestione e l’uso dell’impianto, indicando il numero di telecamere e dove saranno specificamente installate; tuttavia, la Circolare dell’Ispettorato del lavoro n. 5 del febbraio 2018, ha cancellato l’obbligo di indicare il numero di telecamere e il loro posizionamento, ad ogni modo, la posizione degli strumenti di ripresa audiovideo, il numero e le modalità d’uso devono essere strettamente connesse con la finalità di interesse legittimo su cui si fonda il trattamento dei dati dei dipendenti(motivi di sicurezza, tutela del patrimonio aziendale, motivi organizzativi) che dovrà restare tale con quanto dichiarato nell’istanza di autorizzazione nel corso del tempo. La Circolare INL n. 5 ricorda che di norma i dipendenti debbano  essere ripresi in via del tutto eccezionale, tuttavia ammette la possibilità che le telecamere inquadrino direttamente i lavoratori senza necessità di posizionarle secondo precisi angoli visuali e senza procedere all’oscuramento dei volti, quando sussistono reali motivi di sicurezza sul lavoro o protezione del patrimonio aziendale; per l’installazione degli impianti di localizzazione sui veicoli: 1. una relazione descrivente le modalità di funzionamento del sistema GPS; 2. il numero di vetture su cui sarà installato, indicando targa e modello; 3. eventuale denuncia contro furti e rapine. Nel modulo potrà essere indicato il nome del soggetto a cui è possibile chiedere eventuali spiegazioni relative alla richiesta di autorizzazione. La presentazione del modulo di autorizzazione dunque è l’ultima fase di un’intensa procedura di messa a norma dell’intera organizzazione aziendale che intende utilizzare sistemi di videosorveglianza o localizzazione dei veicoli aziendali e che prevede a carico del titolare del trattamento (datore di lavoro) l’obbligo di effettuare, prima di procedere all’installazione di strumenti di controllo, il test di bilanciamento tra il proprio interesse legittimo e i diritti degli interessati, i dipendenti in questo caso, di redigere correttamente i documenti interni, rendere le informative, predisporre nomine e istruzioni operative e protocolli, nel rispetto della normativa sulla privacy, anche alla luce del nuovo Regolamento europeo che prevede pesanti sanzioni a carico dell’impresa e dei soggetti responsabili in violazione delle disposizioni di legge.