giovedì 10 maggio 2018

PRIVACY PILLS: 8 - Registro dei Trattamenti

PRIVACY PILLS 8 - IL REGISTRO DEI TRATTAMENTI

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 7 : ( Articolo Online del 09 Maggio ) la tematica relativa a "Data Breach - Sicurezza e violazione dei dati"



La pillola di oggi riguarda: il Registro dei Trattamenti
Affrontiamo l’ottavo e ultimo argomento scelto per questo ciclo di brevi interventi sul GDPR, il Registro dei Trattamenti. Per questo argomento stravolgeremo lo schema tradizionale con il quale abbiamo presentato i precedenti, poiché il Registro dei Trattamenti rappresenta una vera novità per la legislazione europea.
È necessaria da subito una precisazione, il titolo della pills potrebbe risultare fuorviante poiché in concreto non parliamo di registro ma di registri delle attività di trattamento, il (i) Registro del Titolare del Trattamento e (ii) il Registro del Responsabile del Trattamento. I registri concorrono entrambi alla definizione quadro generale dell’Accountability (Responsabilizzazione). È immediatamente intuitivo il principio secondo il quale sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano. Per questo motivo il nuovo Regolamento prescrive una mappatura di tutti i trattamenti posti in essere dai Titolari e dai Responsabili che consenta loro di avere un quadro costantemente aggiornato di tutte le loro attività di Trattamento e delle loro specifiche. Il Registro, pertanto, che sia quello del Titolare o del Responsabile,  non deve essere considerato un adempimento formale ma una parte integrante e fondamentale della gestione dei dati personali.
Per meglio comprendere la ragione dell’introduzione di tale strumento, ci viene in aiuto il considerando 82 del nuovo Regolamento UE 679/2016 il quale spiega come:
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”.
Il registro, quindi, svolge la duplice funzione di responsabilizzare il Titolare/Responsabile del Trattamento e quella di fornire uno strumento di confronto e controllo tra i suddetti e l’Autorità Garante dei singoli Stati Membri.
Il contenuto minimo dei registri è espresso dall’art. 30 del GDPR che per il Titolare del Trattamento lo identifica in:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Mentre, per il Responsabile del Trattamento:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Quanto al Registro del Responsabile del Trattamento, per le aziende che operano anche sul mercato italiano, è necessaria una precisazione. L’art. 30 par 2 non contiene tutte le previsioni individuate nel precedente comma 1 relativo al Titolare del Trattamento, ma, il Garante per la Protezione dei Dati, durante l’incontro con la P.A. svoltosi a Bari il 15 gennaio 2018, in persona della dr.ssa Cecamore del Dipartimento sanità e ricerca, ha chiarito che il Garante, ove possibile, pretende che nel Registro dei Trattamenti del Responsabile siano necessariamente indicati anche i contenuti ulteriori prescritti per il Registro dei Titolari, come ad esempio le indicazioni relative al termine di cancellazione e le finalità.
Quanto alla tenuta e gestione dei Registri il terzo comma dell’articolo in oggetto richiede per entrambe i registri la forma scritta anche in forma elettronica, da adottare necessariamente, anche in questo caso, entro il termine del 25 maggio 2018.
I registri vanno aggiornati al mutare dei singoli elementi in essi contenuti, pertanto, è impossibile dettarne un aggiornamento a cadenze periodiche che potrebbero essere necessarie con grande frequenza. In ogni caso, qualora nessuno degli elementi inseriti nel Registro fosse suscettibile di cambiamento, si caldeggia una revisione quantomeno annuale dello stesso.
Gli scriventi, sulla scorta del testo della normativa, delle considerazioni appena svolte, delle dichiarazioni rilasciate dal WP 29, degli interventi sul tema dei Garanti per la Protezione dei Dati Personali più autorevoli e prolifici d’Europa, hanno scelto deliberatamente di non trattare l’argomento dell’esenzione dalla tenuta del Registro dei Trattamenti cristallizzando questa scelta nella dichiarazione fatta precedentemente per la quale “sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano”, e sarebbe altrettanto impossibile dimostrare tale conoscenza senza la regolare tenuta dei Registri in oggetto.



mercoledì 9 maggio 2018

PRIVACY PILLS: 7 - Sicurezza e Violazione dei dati

SICUREZZA E VIOLAZIONE DEI DATI - DATA BREACH


Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"





La pillola di oggi riguarda: la Sicurezza dei Dati e la Violazione dei Dati (Data Breach)
Una violazione dei dati, o data breach, è una Violazione della Sicurezza in cui dati sensibili, protetti o confidenziali vengono  
-  copiati
-  trasmessi
- visualizzati
- rubati
- utilizzati
da un individuo non autorizzato a farlo.
Il tema della Sicurezza è connesso a doppio filo con quello della data breach poiché questa ha un’accezione molto più ampia di quella comune che la indentifica nell’hackeraggio. Infatti, la sua definizione comprende non solo il furto di dati personali, ma anche la semplice copia, trasmissione, utilizzazione o anche solo visualizzazione da parte di un individuo non autorizzato a farlo. Tale soggetto potrebbe essere finanche appartenente all’organizzazione del Titolare del Trattamento ma sprovvisto delle autorizzazioni necessarie per poter accedere a determinati dati personali.

Cosa cambia:
• Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1, lettere c) ed e) del regolamento), potranno restare in vigore, in base all’art. 6, paragrafo 2, del regolamento, le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
• A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo “Articolo 29”. Si ricorda, inoltre, che l’Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il regolamento.

Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
• Come osservato nei consigli della pills precedente alla presente, ricorrere integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in proprio il problema, effettuare una prima autovalutazione potrebbe costituire buon punto di partenza per approcciare e risolvere il problema, nonché un’attività perfettamente in linea con il principio di responsabilizzazione analizzato sempre nella pills precedente. Solo ed esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla propri sistemi di sicurezza per la protezione dei dati personali trattati, per arrivare a formare una propria convinzione in merito alle misure necessarie da implementare.
• Altro semplice consiglio è quello di fare riferimento alle prescrizioni contenute in standard internazionali di sicurezza, ovvero a quelle contenute nell’Allegato “B” del Codice Privacy Italiano. L’Italia, infatti, come successo in molti settori, ha recepito la Direttiva 46/95/CE con molto zelo, introducendo molte prescrizioni le cui fondamenta, a distanza di 15 anni, rappresentano i cardini della “nuova” normativa europea.

lunedì 30 aprile 2018

PRIVACY PILLS: 6 - Responsabilizzazione del Trattamento

RESPONSABILIZZAZIONE DEL TRATTAMENTO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"




La pillola di oggi riguarda: la Responsabilizzazione del Trattamento

Il GDPR cambia radicalmente l’approccio al trattamento dei dati personali ponendo con forza l’accento sulla “responsabilizzazione” (“accountability” nell’accezione inglese) di titolari e responsabili – ossia, sull’ adozione di comportamenti tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Cosa cambia:
• Il primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
• Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi. All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.


Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
• Un primo passo verso l’adeguamento alla nuova normativa sulla privacy è sicuramente quello di prevedere un percorso di formazione personale/aziendale sulla materia. La conoscenza del nuovo approccio europeo alla materia sarebbe sicuramente un ottimo inizio nell’ottica della responsabilizzazione e consapevolezza del trattamento dei dati e andrebbe integrata con un corso incentrato sull’autovalutazione del proprio operato professionale in modo da fornire gli strumenti di “pronto intervento” in caso di nuove practice ovvero di eventi imprevisti.
• Sempre nell’ottica della consapevolezza e responsabilizzazione, per le imprese con un organigramma strutturato, sarebbe buona prassi prevedere delle lettere d’incarico al trattamento dei dati per i singoli dipendenti delle diverse aree, che siano manager od operatori. Tale pratica sortirebbe un duplice effetto positivo; responsabilizzare i singoli componenti dell’azienda rispetto all’attività da loro svolta, reperire agevolmente la persona più idonea in relazione ad un singolo trattamento per effettuare tutte le valutazioni necessarie in merito allo stesso.
• Ricorrere integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in proprio il problema, effettuare una prima autovalutazione potrebbe costituire buon punto di partenza per approcciare e risolvere il problema. Solo ed esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla propria attività di trattamento dei dati per arrivare a formare una propria convinzione in merito ai pericoli che potrebbero annidarsi dietro tale attività.
• Identica dinamica dovrebbe seguire l’attività di autovalutazione in merito alla sicurezza dei sistemi di trattamento e conservazione dei dati che si impiegano quotidianamente. Tale autovalutazione dovrebbe estendersi fino alle pratiche aziendali di utilizzo di supporti fisici ed informatici.

venerdì 27 aprile 2018

PRIVACY PILLS : 5 - I Soggetti Coinvolti

TITOLARE, COTITOLARE, RESPONSABILE E INCARICATO AL TRATTAMENTO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"




La pillola di oggi riguarda: Titolare, Contitolare, Responsabile e Incaricato del Trattamento
Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.
Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali, ovvero decide il «perché» e il «come» devono essere trattati i dati personali. I dipendenti che trattano i dati personali all’interno dell’organizzazione aziendale lo fanno per adempiere ai compiti di titolare del trattamento dell’azienda/organizzazione.
Il contitolare del trattamento si configura quando, l’azienda/organizzazione insieme a una o più organizzazioni definisce congiuntamente il «perché» e il «come» devono essere trattati i dati personali. I contitolari del trattamento sono tenuti a stipulare un accordo che definisca le rispettive responsabilità nel rispetto delle norme del GDPR. I contitolari del trattamento sono tenuti a comunicare alle persone i cui dati sono oggetto di trattamento, i contenuti del summenzionato accordo.
Il responsabile del trattamento tratta i dati personali solo per conto del titolare del trattamento ed è, solitamente, un terzo esterno all’azienda. Tuttavia, nel caso di gruppi di imprese, un’impresa può agire in qualità di responsabile del trattamento per un’altra impresa. Gli obblighi del responsabile del trattamento nei confronti del titolare del trattamento devono essere specificati in un contratto o in un altro atto giuridico. Un’attività tipica svolta dai responsabili del trattamento è quella di offrire soluzioni IT, inclusa l’istallazione di sistemi e l’archiviazione su cloud. Il responsabile del trattamento può subappaltare una parte delle sue funzioni a un altro responsabile del trattamento o nominare un co-responsabile solo previa autorizzazione scritta del titolare del trattamento.
Vi sono situazioni in cui un’entità può essere titolare del trattamento, responsabile del trattamento o entrambi.

Cosa cambia:
• Il GDPR disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.
• Il nuovo regolamento, inoltre, fissa più dettagliatamente (rispetto all’art. 29 del Codice) le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
• Infine, il GDPR consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile” (si veda art. 82, paragrafo 1 e paragrafo 3).

Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
Il consiglio proposto per tutte le pills è oltremodo valido per questo argomento che presenta profili di valutazione della presenza e consistenza delle lettere d’incarico all’interno dell’azienda. L’unico consiglio che possiamo proporre per rendersi conto della necessità dell’adeguamento al GDPR è quello di ricercare le lettere d’incarico di responsabili e incaricati e confrontarne il contenuto con le prescrizioni degli articoli sopra citati.
A differenza delle pills precedenti riproporremo gli esempi elaborati dalla Commissione Europea per valutare la propria posizione e quella dei propri Partner.

Titolare del trattamento e responsabile del trattamento
Un birrificio ha molti dipendenti. Firma un contratto con una società addetta all’elaborazione delle buste paga per pagare gli stipendi. Il birrificio indica a tale società quando deve essere pagato lo stipendio, quando un dipendente lascia l’azienda o ottiene un aumento di stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il sistema informatico e conserva i dati dei dipendenti. Il birrificio è il titolare del trattamento e la società addetta all’elaborazione delle buste paga è il responsabile del trattamento.

Contitolari del trattamento
La tua azienda/organizzazione offre servizi di babysitting tramite una piattaforma online. Allo stesso tempo, la tua azienda/organizzazione ha un contratto con un’altra azienda che consente di offrire servizi a valore aggiunto. Questi servizi includono la possibilità per i genitori non solo di scegliere la baby-sitter, ma anche di noleggiare giochi e DVD che la baby-sitter può portare con sé. Entrambe le aziende sono coinvolte nella configurazione del sito web. In questo caso, le due aziende hanno deciso di utilizzare la piattaforma per entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i nominativi dei clienti. Pertanto, le due aziende sono contitolari del trattamento perché non solo accettano di offrire la possibilità di «servizi combinati», ma progettano e utilizzano anche una piattaforma comune.

venerdì 13 aprile 2018

PRIVACY PILLS: 4 - L'interessato

PRIVACY PILLS : 4 - I DIRITTI DELL'INTERESSATO

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate: 

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"





La pillola di oggi riguarda: I DIRITTI DELL'INTERESSATO

Il GDPR innova parzialmente i diritti dell’Interessato rispettivamente al trattamento dei propri dati personali.

Cosa cambia:
• Il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, estendibile fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
• Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12, paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti.
• Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).
• La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Diritto di Accesso
• Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
• Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Diritto all’Oblio
• Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
• Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).
Limitazione del Trattamento
• Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).
• Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
Diritto alla Portabilità dei Dati
• Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
• Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli).
• Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile
Cosa Fare?
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
I diritti degli interessati al trattamento e il loro eventuale esercizio pongono un compito gravoso sulle spalle del Titolare del trattamento il quale, per potersi concentrare esclusivamente sul suo business, dovrà necessariamente incaricare una o più persone per ottemperare a tutti gli obblighi che gli sono imposti. La scelta sarà obbligatoria ed alternativa.
-          Incaricare un soggetto interno alla propria società, attribuendogli attraverso una lettera d’incarico specifica anche tutte le mansioni per l’espletamento dei diritti summenzionati diritti. Questa soluzione incontra notevoli controindicazioni poiché l’incaricato interno si troverà da solo a relazionarsi con una materia totalmente nuova per lui e dovrà sottrarre tempo ed energie alle sue mansioni ordinarie.
-          Assumere come dipendente uno o più nuovi soggetti (a seconda delle dimensioni dell’impresa), esperti della materia, che trattino esclusivamente il tema della privacy. Anche questa soluzione incontra un ostacolo determinante ovvero il costo del lavoro; assumere uno o più dipendenti per una mansione potrebbe generare dei costi tali da costringere l’imprenditore ad assumersi il rischio di una multa molto salata.
-          La terza soluzione è quella che emerge da una giusta compensazione di tutti gli interessi in gioco e prevede la conclusione di un contratto che potrebbe conoscere tante sfumature quante sono le necessità dell’imprenditore in tema di privacy. Per gli imprenditori meno soggetti agli obblighi del GDPR sarebbe ipotizzabile un contratto base di consulenza per l’espletamento dei diritti degli interessati al trattamento, incaricando così una società di gestire tutte le richieste di esercizio dei singoli diritti. Per tutti gli imprenditori avveduti, ovvero quelli che hanno capito quanto la raccolta e l’elaborazione di dati personali sia una miniera d’oro e non l’ennesima spesa da affrontare, è lo stesso GDPR a imporre l’adozione del Data Protection Officer (DPO, per l’Italia Responsabile della Protezione dei Dati o RPD), il quale, fra le sue mansioni, svolgerà anche quella di rendere effettivo e accessibile l’esercizio dei diritti degli interessati.

A cura di:


Avv. Fabio Maggesi

giovedì 5 aprile 2018

PRIVACY PILLS : 3 - Il Responsabile


PRIVACY PILLS 3 : IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO) 

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Il testo del regolamento abroga la precedente normativa, concepita in un periodo nel quale solo una ridotta parte  della popolazione europea utilizzava la rete internet, non esistevano le nuove tecnologie sempre in evoluzione all’interno di social media o per il tramite di app e marketplace di nuova generazione, inoltre non esisteva l’attuale “società della sorveglianza elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi cittadini a pubblicare i propri dati personali all’interno delle piattaforme digitali.
Attraverso questa rubrica pubblicheremo alcune informazioni “in pillole” per cercare di dare un’idea dell’enorme cambiamento che sta avvenendo nel mondo della Privacy. Le pillole saranno tematiche e riguarderanno alcune fra le principali novità che incideranno direttamente nella quotidianità degli operatori.

Tematiche già trattate:

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".




La pillola di oggi riguarda: IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)

Il Responsabile per la Protezione dei Dati (RPD) o Data Protection Officer (DPO) è una figura introdotta dal GDPR. Storicamente già conosciuta in alcune legislazioni europee, è un professionista (interno o esterno) con un ruolo aziendale e con competenze giuridiche, informatiche, di risk management e di analisi dei processi; la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, ovvero la Protezione dei Dati Personali, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Quali sono i compiti del DPO:
·      informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;
·      verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
·      fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
·      fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
·      fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

DPO obbligatorio, le indicazione del Garante Italiano
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
Per questa Pills è stato lo stesso GARANTE italiano per la Protezione dei Dati Personali a chiarire le novità introdotte dal GDPR, attraverso la pubblicazione di alcune risposte alle domande più frequenti inoltrategli.
Il GDPR esplicita l’obbligatorietà del DPO nei seguenti casi:
a)      amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
b)      tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
c)      tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Il GARANTE ha chiarito che “Sono tenuti alla designazione del responsabile della protezione dei dati personali i soggetti le cui principali attività  consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o i trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati e che il diritto dell'Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile del trattamento dei dati personali
Pertanto, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

A cura di:

Avv. Fabio Maggesi