PRIVACY PILLS: 8 - Registro dei Trattamenti

PRIVACY PILLS 8 - IL REGISTRO DEI TRATTAMENTI

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate: 

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".

PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"

PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 7 : ( Articolo Online del 09 Maggio ) la tematica relativa a "Data Breach - Sicurezza e violazione dei dati"

La pillola di oggi riguarda: il Registro dei Trattamenti

Affrontiamo l’ottavo e ultimo argomento scelto per questo ciclo di brevi interventi sul GDPR, il Registro dei Trattamenti. Per questo argomento stravolgeremo lo schema tradizionale con il quale abbiamo presentato i precedenti, poiché il Registro dei Trattamenti rappresenta una vera novità per la legislazione europea.

È necessaria da subito una precisazione, il titolo della pills potrebbe risultare fuorviante poiché in concreto non parliamo di registro ma di registri delle attività di trattamento, il (i) Registro del Titolare del Trattamento e (ii) il Registro del Responsabile del Trattamento. I registri concorrono entrambi alla definizione quadro generale dell’Accountability (Responsabilizzazione). È immediatamente intuitivo il principio secondo il quale sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano. Per questo motivo il nuovo Regolamento prescrive una mappatura di tutti i trattamenti posti in essere dai Titolari e dai Responsabili che consenta loro di avere un quadro costantemente aggiornato di tutte le loro attività di Trattamento e delle loro specifiche. Il Registro, pertanto, che sia quello del Titolare o del Responsabile,  non deve essere considerato un adempimento formale ma una parte integrante e fondamentale della gestione dei dati personali.

Per meglio comprendere la ragione dell’introduzione di tale strumento, ci viene in aiuto il considerando 82 del nuovo Regolamento UE 679/2016 il quale spiega come:

“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”.

Il registro, quindi, svolge la duplice funzione di responsabilizzare il Titolare/Responsabile del Trattamento e quella di fornire uno strumento di confronto e controllo tra i suddetti e l’Autorità Garante dei singoli Stati Membri.

Il contenuto minimo dei registri è espresso dall’art. 30 del GDPR che per il Titolare del Trattamento lo identifica in:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Mentre, per il Responsabile del Trattamento:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Quanto al Registro del Responsabile del Trattamento, per le aziende che operano anche sul mercato italiano, è necessaria una precisazione. L’art. 30 par 2 non contiene tutte le previsioni individuate nel precedente comma 1 relativo al Titolare del Trattamento, ma, il Garante per la Protezione dei Dati, durante l’incontro con la P.A. svoltosi a Bari il 15 gennaio 2018, in persona della dr.ssa Cecamore del Dipartimento sanità e ricerca, ha chiarito che il Garante, ove possibile, pretende che nel Registro dei Trattamenti del Responsabile siano necessariamente indicati anche i contenuti ulteriori prescritti per il Registro dei Titolari, come ad esempio le indicazioni relative al termine di cancellazione e le finalità.

Quanto alla tenuta e gestione dei Registri il terzo comma dell’articolo in oggetto richiede per entrambe i registri la forma scritta anche in forma elettronica, da adottare necessariamente, anche in questo caso, entro il termine del 25 maggio 2018.

I registri vanno aggiornati al mutare dei singoli elementi in essi contenuti, pertanto, è impossibile dettarne un aggiornamento a cadenze periodiche che potrebbero essere necessarie con grande frequenza. In ogni caso, qualora nessuno degli elementi inseriti nel Registro fosse suscettibile di cambiamento, si caldeggia una revisione quantomeno annuale dello stesso.

Gli scriventi, sulla scorta del testo della normativa, delle considerazioni appena svolte, delle dichiarazioni rilasciate dal WP 29, degli interventi sul tema dei Garanti per la Protezione dei Dati Personali più autorevoli e prolifici d’Europa, hanno scelto deliberatamente di non trattare l’argomento dell’esenzione dalla tenuta del Registro dei Trattamenti cristallizzando questa scelta nella dichiarazione fatta precedentemente per la quale “sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano”, e sarebbe altrettanto impossibile dimostrare tale conoscenza senza la regolare tenuta dei Registri in oggetto.

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net

PRIVACY PILLS: 7 - Sicurezza e Violazione dei dati

SICUREZZA E VIOLAZIONE DEI DATI - DATA BREACH

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate: 

PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".

PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"

PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"

La pillola di oggi riguarda: la Sicurezza dei Dati e la Violazione dei Dati (Data Breach)

Una violazione dei dati, o data breach, è una Violazione della Sicurezza in cui dati sensibili, protetti o confidenziali vengono  

-  copiati

-  trasmessi

- visualizzati

- rubati

- utilizzati

da un individuo non autorizzato a farlo.

Il tema della Sicurezza è connesso a doppio filo con quello della data breach poiché questa ha un’accezione molto più ampia di quella comune che la indentifica nell’hackeraggio. Infatti, la sua definizione comprende non solo il furto di dati personali, ma anche la semplice copia, trasmissione, utilizzazione o anche solo visualizzazione da parte di un individuo non autorizzato a farlo. Tale soggetto potrebbe essere finanche appartenente all’organizzazione del Titolare del Trattamento ma sprovvisto delle autorizzazioni necessarie per poter accedere a determinati dati personali.

Cosa cambia:

• Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (ex art. 33 Codice) poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del regolamento. Si richiama l’attenzione anche sulla possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate. Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell’Allegato “B” al Codice, l’Autorità potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1, lettere c) ed e) del regolamento), potranno restare in vigore, in base all’art. 6, paragrafo 2, del regolamento, le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

• A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica all’Autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento. Su questo e su tutta la disciplina in materia, il Comitato europeo della protezione dati (si veda art. 70, paragrafo 1, lettere g) e h) ) è chiamato a formulare linee-guida specifiche, alle quali sta già lavorando il Gruppo “Articolo 29”. Si ricorda, inoltre, che l’Autorità ha messo a disposizione un modello per la notifica dei trattamenti da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico che intende rielaborare al fine di renderlo utilizzabile da tutti i titolari di trattamento secondo quanto prevede il regolamento.

Cosa Fare?

Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico, proporremo alcune semplici idee per poter approcciare alle novità del GDPR.

• Come osservato nei consigli della pills precedente alla presente, ricorrere integralmente a metodi “fai da te” rappresenta nella maggior parte dei casi una soluzione che può portare a gravi conseguenze, tuttavia, escludendo la pretesa di risolvere in proprio il problema, effettuare una prima autovalutazione potrebbe costituire buon punto di partenza per approcciare e risolvere il problema, nonché un’attività perfettamente in linea con il principio di responsabilizzazione analizzato sempre nella pills precedente. Solo ed esclusivamente in quest’ottica si consiglia di iniziare una riflessione sulla propri sistemi di sicurezza per la protezione dei dati personali trattati, per arrivare a formare una propria convinzione in merito alle misure necessarie da implementare.

• Altro semplice consiglio è quello di fare riferimento alle prescrizioni contenute in standard internazionali di sicurezza, ovvero a quelle contenute nell’Allegato “B” del Codice Privacy Italiano. L’Italia, infatti, come successo in molti settori, ha recepito la Direttiva 46/95/CE con molto zelo, introducendo molte prescrizioni le cui fondamenta, a distanza di 15 anni, rappresentano i cardini della “nuova” normativa europea.

Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net