A partire dal 25 maggio 2018, il Regolamento dell’Unione Europea 2016/679 noto come GDPR (General Data Protection Regulation) – disposizioni relative alla protezione delle persone fisiche nel trattamento e nella libera circolazione dei dati personali – è pienamente applicabile in tutti gli Stati membri.
Considerando che i cittadini dell’UE sentono sempre più la necessità di proteggere i dati personali, questa è anche una risposta necessaria e urgente alle sfide poste dallo sviluppo tecnologico e dai nuovi modelli di crescita economica.
In sintesi col GDPR:
- Si introduce il concetto di responsabilità del titolare
- Si introducono importi più elevati per le sanzioni amministrative a seconda delle violazioni
- Si introducono concetti quali “privacy by design”, ovvero il prevenire eventuali problemi nella fase iniziale di progettazione, l’approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach ovvero violazione di sicurezza che implica, accidentalmente o volutamente, distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati
- Regole più rigorose per la selezione e la nomina dei titolari del trattamento
- Si introduce in alcuni casi la nomina obbligatoria di un Responsabile della protezione dei dati
- Vengono introdotte regole più chiare su informativa e consenso
- Viene estesa la tipologia di diritti che competono all’interessato
- Vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue
- Queste regole si applicano anche alle società che si trovano al di fuori dell’UE ma forniscono servizi o prodotti nel mercato dell’Unione Europea. Pertanto, tutte le società, indipendentemente da dove siano stabilite, devono rispettare le nuove regole. Le aziende e le organizzazioni si assumeranno maggiori responsabilità e dovranno affrontare gravi sanzioni se non seguiranno le regole.
Il 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR.
Per garantire un approccio uniforme e semplificare la gestione dei trattamenti è stato introdotto lo “sportello unico” (one stop shop). Le imprese che operano in più Stati potranno rivolgersi al Garante Privacy del Paese Ue dove hanno la loro sede principale.
In Italia, oltre la metà delle aziende e molta parte delle Pubbliche amministrazioni, non è ancora pronta ad adeguarsi ai provvedimenti Ue in materia di Data Protection malgrado le severe sanzioni previste.
Il Garante ha stabilito precise indicazioni alle Pubbliche Amministrazioni.
Le priorità operative sono tre:
- La designazione in tempi stretti del Responsabile della protezione dei dati
- L’istituzione del Registro delle attività di trattamento dati
- La notifica delle violazioni di sicurezza (Data Breach).
È stata introdotta la responsabilità dei titolari del trattamento (accountability), cioè la realizzazione di condotte proattive e tali da dimostrare la concreta realizzazione di misure volte ad garantire l’applicazione del regolamento del GDPR, e un approccio che tenga attenta valutazione dei rischi che un determinato trattamento di dati personali può implicare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti, nonché delle misure tecniche e organizzative ritenute adatte dai titolari per mitigare tali rischi.
È stato inoltre introdotto il diritto alla “portabilità”, il diritto dell’utente di ricevere in un formato organizzato, di impiego comune e leggibile da dispositivo automatizzato i propri dati personali per poterli trasferire da un titolare del trattamento a un altro e, se possibile, il trasferimento diretto dei propri dati.
Data Breach GDPR
Il titolare (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) del trattamento che subisce un data breach (violazione dati) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.
Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto1.
1 https://www.garanteprivacy.it/regolamentoue/databreach
Registro delle attività di trattamento
Per le aziende italiane il primo requisito da attuare è senza dubbio l’utilizzo di un registro del trattamento dei dati personali, obbligatorio per le aziende con almeno 250 dipendenti. Pertanto, questa disposizione non si applica alle società o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.
Si tratta di uno strumento essenziale per qualsiasi valutazione e analisi dei rischi che può essere utilizzato per aggiornare lo stato delle misure di gestione che sono state prese in un’azienda o ente pubblico, e dovrebbe essere visualizzato su richiesta del garante. Il registro deve essere in forma scritta, anche elettronica.
Le responsabilità e le sanzioni per le aziende
Ci sono diverse fattispecie e si va da una mera diffida amministrativa a sanzioni fino a 20 milioni di euro; a livello nazionale sono state introdotte anche alcune fattispecie di illeciti penali.
La figura del DPO
Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), deputato a vigilare sull’adempimento delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione dell’esperienza in regolamenti e pratiche sulla protezione dei dati.
Il Responsabile della protezione dei dati:
- Riferisce direttamente al vertice
- È autonomo, non riceve istruzioni sull’esecuzione dell’attività
- Gli vengono assegnati personale e risorse finanziarie sufficienti per svolgere il compito.
In realtà il DPO è una figura rilevante, ma certamente non il “baricentro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”: deve avere anche “qualità professionali adeguate alla complessità del compito da svolgere” e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento realizzati dal titolare. L’indipendenza decisionale e l’estraneità del DPO nel determinare le finalità e le modalità del trattamento dei dati è altrettanto importante se si desidera restituire la proprietà sul traffico dei propri dati agli interessati.
I dodici nuovi diritti per il cittadino con il GDPR
I cittadini devono conoscere meglio i diritti e gli strumenti che il GDPR conferisce loro per tutelare i dati personali:
- la richiesta del consenso
- tutele sulla prestazione del consenso
- divieto di trattare alcune categorie di dati personali
- il diritto di accesso dell’interessato
- il dovere di fornire le informazioni richieste
- la possibilità di proporre reclamo/ricorso
- il diritto di rettifica
- la revoca del consenso
- il diritto all’oblio
- il diritto di limitazione del trattamento
- il diritto alla portabilità dei dati
- il diritto di opporsi al trattamento dei dati personali2
2 Vedi https://www.agendadigitale.eu/sicurezza/privacy/gdpr-guida-ai-diritti-del-cittadino/
GDPR e diritto all’oblio
La vera novità del GDPR è il diritto all’oblio all’articolo 17: una richiesta di cancellazione dei dati al titolare del trattamento che ha fornito dati pubblici comporta anche l’obbligo di comunicarli a tutti coloro che li utilizzano.
I poteri dell’autorità di controllo (Garante Privacy)
All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie.
Adeguare la Pubblica Amministrazione al GDPR
Diventa una priorità per ogni amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, per poi nominare il responsabile trattamento dati (DPO).
Consulenza GDPR
La nostra proposta mira a dare una risposta alle domande sulla gestione del nuovo regolamento europeo sulla privacy per il trattamento dei dati personali in ambito scolastico.
Con la nostra modulistica preimpostata delle varie informative, autorizzazioni e nomine, dei registri previsti dal regolamento e i nostri video tutorial per aiutarvi a compilare correttamente e nel giusto ordine tutta la documentazione prevista, avrete facilmente sotto controllo la gestione della privacy nel vostro istituto: è prevista una formazione online del vostro personale scolastico (docenti, amministrativi, collaboratori); a questo si aggiunge la necessaria consulenza diretta con il nostro team di esperti DPO.
La nostra proposta prevede:
- Modelli preimpostati di tutta la modulistica prevista;
- Tutorial di formazione per la corretta compilazione dei documenti;
- Formazione online di tutto il personale scolastico;
- Team DPO;
- Audit di controllo.
Per maggiori informazioni, contattaci cliccando qui
