Privacy GDPR DPO

 

A partire dal 25 maggio 2018, il Regolamento dell’Unione Europea 2016/679 noto come GDPR (General Data Protection Regulation) – disposizioni relative alla protezione delle persone fisiche nel trattamento e nella libera circolazione dei dati personali – è pienamente applicabile in tutti gli Stati membri. 

Considerando che i cittadini dell’UE sentono sempre più la necessità di proteggere i dati personali, questa è anche una risposta necessaria e urgente alle sfide poste dallo sviluppo tecnologico e dai nuovi modelli di crescita economica. 

In sintesi col GDPR: 

  • Si introduce il concetto di responsabilità del titolare
  • Si introducono importi più elevati per le sanzioni amministrative a seconda delle violazioni
  • Si introducono concetti quali “privacy by design”, ovvero il prevenire eventuali problemi nella fase iniziale di progettazione, l’approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach ovvero violazione di sicurezza che implica, accidentalmente o volutamente, distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati
  • Regole più rigorose per la selezione e la nomina dei titolari del trattamento
  • Si introduce in alcuni casi la nomina obbligatoria di un Responsabile della protezione dei dati
  • Vengono introdotte regole più chiare su informativa e consenso
  • Viene estesa la tipologia di diritti che competono all’interessato
  • Vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue
  • Queste regole si applicano anche alle società che si trovano al di fuori dell’UE ma forniscono servizi o prodotti nel mercato dell’Unione Europea. Pertanto, tutte le società, indipendentemente da dove siano stabilite, devono rispettare le nuove regole. Le aziende e le organizzazioni si assumeranno maggiori responsabilità e dovranno affrontare gravi sanzioni se non seguiranno le regole. 

Il 19 settembre 2018 è entrato in vigore il D.Lgs. 10 agosto 2018, n. 101 che ha introdotto disposizioni per l’adeguamento della normativa nazionale italiana (D.Lgs. 196/2003) alle disposizioni del GDPR. Oltre a recepire le disposizioni del GDPR, il D.Lgs. 101/2018 ha regolamentato alcuni aspetti rimessi alla potestà legislativa nazionale tra cui la previsione di alcune fattispecie di illeciti penali, accanto alle sanzioni pecuniarie già previste dal GDPR. 

Per garantire un approccio uniforme e semplificare la gestione dei trattamenti è stato introdotto lo “sportello unico” (one stop shop). Le imprese che operano in più Stati potranno rivolgersi al Garante Privacy del Paese Ue dove hanno la loro sede principale. 

In Italia, oltre la metà delle aziende e molta parte delle Pubbliche amministrazioni, non è ancora pronta ad adeguarsi ai provvedimenti Ue in materia di Data Protection malgrado le severe sanzioni previste. 

Il Garante ha stabilito precise indicazioni alle Pubbliche Amministrazioni.

Le priorità operative sono tre: 

  1. La designazione in tempi stretti del Responsabile della protezione dei dati
  2. L’istituzione del Registro delle attività di trattamento dati
  3. La notifica delle violazioni di sicurezza (Data Breach). 

È stata introdotta la responsabilità dei titolari del trattamento (accountability), cioè la realizzazione di condotte proattive e tali da dimostrare la concreta realizzazione di misure volte ad garantire l’applicazione del regolamento del GDPR, e un approccio che tenga attenta valutazione dei rischi che un determinato trattamento di dati personali può implicare per i diritti e le libertà degli interessati, tenendo conto dei rischi noti, nonché delle misure tecniche e organizzative ritenute adatte dai titolari per mitigare tali rischi. 

È stato inoltre introdotto il diritto alla “portabilità”, il diritto dell’utente di ricevere in un formato organizzato, di impiego comune e leggibile da dispositivo automatizzato i propri dati personali per poterli trasferire da un titolare del trattamento a un altro e, se possibile, il trasferimento diretto dei propri dati.

 

Data Breach GDPR 

Il titolare (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) del trattamento che subisce un data breach (violazione dati) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. 

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto1.

1 https://www.garanteprivacy.it/regolamentoue/databreach 

 

Registro delle attività di trattamento 

Per le aziende italiane il primo requisito da attuare è senza dubbio l’utilizzo di un registro del trattamento dei dati personali, obbligatorio per le aziende con almeno 250 dipendenti. Pertanto, questa disposizione non si applica alle società o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati. 

Si tratta di uno strumento essenziale per qualsiasi valutazione e analisi dei rischi che può essere utilizzato per aggiornare lo stato delle misure di gestione che sono state prese in un’azienda o ente pubblico, e dovrebbe essere visualizzato su richiesta del garante. Il registro deve essere in forma scritta, anche elettronica. 

 

Le responsabilità e le sanzioni per le aziende 

Ci sono diverse fattispecie e si va da una mera diffida amministrativa a sanzioni fino a 20 milioni di euro; a livello nazionale sono state introdotte anche alcune fattispecie di illeciti penali. 

 

La figura del DPO 

Non a caso è stata prevista la figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), deputato a vigilare sull’adempimento delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti e individuato in funzione dell’esperienza in regolamenti e pratiche sulla protezione dei dati. 

Il Responsabile della protezione dei dati: 

  • Riferisce direttamente al vertice
  • È autonomo, non riceve istruzioni sull’esecuzione dell’attività
  • Gli vengono assegnati personale e risorse finanziarie sufficienti per svolgere il compito. 

In realtà il DPO è una figura rilevante, ma certamente non il “baricentro” del sistema posto in essere dal GDPR, che nel nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”: deve avere anche “qualità professionali adeguate alla complessità del compito da svolgere” e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento realizzati dal titolare. L’indipendenza decisionale e l’estraneità del DPO nel determinare le finalità e le modalità del trattamento dei dati è altrettanto importante se si desidera restituire la proprietà sul traffico dei propri dati agli interessati. 

 

I dodici nuovi diritti per il cittadino con il GDPR 

I cittadini devono conoscere meglio i diritti e gli strumenti che il GDPR conferisce loro per tutelare i dati personali: 

  1. la richiesta del consenso 
  2. tutele sulla prestazione del consenso 
  3. divieto di trattare alcune categorie di dati personali 
  4. il diritto di accesso dell’interessato 
  5. il dovere di fornire le informazioni richieste 
  6. la possibilità di proporre reclamo/ricorso 
  7. il diritto di rettifica 
  8. la revoca del consenso 
  9. il diritto all’oblio 
  10. il diritto di limitazione del trattamento 
  11. il diritto alla portabilità dei dati 
  12. il diritto di opporsi al trattamento dei dati personali2 

2 Vedi https://www.agendadigitale.eu/sicurezza/privacy/gdpr-guida-ai-diritti-del-cittadino/ 

 

GDPR e diritto all’oblio 

La vera novità del GDPR è il diritto all’oblio all’articolo 17: una richiesta di cancellazione dei dati al titolare del trattamento che ha fornito dati pubblici comporta anche l’obbligo di comunicarli a tutti coloro che li utilizzano. 

 

I poteri dell’autorità di controllo (Garante Privacy) 

All’autorità di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie. 

 

Adeguare la Pubblica Amministrazione al GDPR 

Diventa una priorità per ogni amministrazione definire internamente quale sia l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, per poi nominare il responsabile trattamento dati (DPO).

 

La certificazione PEKIT Privacy GDPR DPO 2.0

La certificazione PEKIT Privacy GDPR DPO 2.0 consente dunque al DPO di possedere non solo una piena conoscenza della norma europea GDPR, ma anche delle modalità attraverso cui lo Stato italiano ne abbia recepito i contenuti e sancito le sanzioni in sede amministrativa e penale. 

Le caratteristiche ed i contenuti della certificazione PEKIT Privacy GDPR DPO 2.0 sono in linea con gli “elementi per la valutazione e convalida dei risultati dell’apprendimento” dettati dall’UNI – Ente Italiano di Normazione introdotti dalla direttiva UNI DPO 11697-2017 del novembre 2017 e delle modalità attraverso cui lo Stato italiano ne abbia recepito i contenuti e sancito le sanzioni in sede amministrativa e penale (D.Lgs. 101/2018). 

La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Attività professionali non regolamentate – Profili professionali per l’ICT – Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF”. 

La certificazione PEKIT PRIVACY GDPR DPO può essere pertanto utilizzata come strumento valido ai fini della “Valutazione e convalida dei risultati dell’apprendimento non formale” (UNI DPO 11697:2017, Art. 6.2) 

La certificazione PEKIT PRIVACY GDPR DPO 2.0 è stata voluta e progettata allo scopo di completare il percorso di certificazione rivolto ai professionisti della IT security aziendale già intrapreso da PEKIT Project attraverso le certificazioni PEKIT Security e PEKIT Computer Forensics. 

 

La certificazione PEKIT Privacy GDPR DPO 2.0 si consegue superando 5 esami: 

4 esami teorici mediante i quali saranno verificate e certificate le conoscenze del candidato (UNI DPO 11697:2017, Art. 6.1.2) rispetto ai contenuti delle seguenti aree: 

  1. Regole generali di protezione dei dati 
  2. Responsabilità 
  3. Tecniche per garantire il rispetto del regolamento di protezione dei dati 
  4. D.Lgs. n.196/2003 così come modificato dal D.Lgs. 101/201 

1 esame pratico “OPERARE COME DPO: CASE STUDY E ROLE PLAY”, basato su Casi di studio (UNI DPO 11697:2017, Art. 6.1.3) e simulazione di situazioni reali operative in role play (UNI DPO 11697:2017, Art. 6.1.5). L’accesso a questo esame è subordinato al superamento dei 4 esami teorici. 

 

Diventa Responsabile della protezione dei dati (DPO)!

Per maggiori informazioni, contattaci cliccando qui

Questo sito web utilizza i cookie.
Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo informazioni sul modo in cui utilizzi il nostro sito con i nostri partner che si occupano di analisi dei dati web, marketing e social media. Continuando la navigazione su questo sito acconsenti al loro utilizzo?
Informativa sulla privacy e sui cookie

Some contents or functionalities here are not available due to your cookie preferences!

This happens because the functionality/content marked as “%SERVICE_NAME%” uses cookies that you choosed to keep disabled. In order to view this content or use this functionality, please enable cookies: click here to open your cookie preferences.