Privacy e GDPR

Privacy e GDPR

Il nuovo Regolamento UE 2016/679 troverà piena applicabilità in data 25/05/2018 e sostituirà in maniera definitiva la normativa attuale (D. Lgs.196/2003).

Il Regolamento è “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Quali aziende sono coinvolte? Il Regolamento si applica a tutte le aziende che trattano dati personali e sensibili di persone fisiche:

  • Aziende che operano nell’ambito della sanità o cura della persona;
  • Aziende che si rivolgono direttamente al Consumatore (comprese le attività di e-commerce);
  • Aziende che lavorano principalmente con altre imprese (B2B) per tutti i dati relativi alle persone fisiche coinvolte nell’attività aziendale (es. dipendenti, collaboratori esterni, concessionari, etc…).

Nella maggior parte dei casi quindi le aziende sono soggette al Regolamento.

Per osservare correttamente la nuova normativa Privacy occorre:

  • Ricercare tutti i dati personali presenti all’interno dell’azienda, identificare come vengono trattati e conservati i dati:
  • Analizzare i rischi Privacy in maniera preventiva fin dal momento in cui il trattamento viene progettato e definito;
  • Applicare le contromisure adeguate ai rischi individuati e documentare il lavoro svolto. Il Regolamento ha introdotto il Principio di responsabilizzazione del Titolare del Trattamento a cui si chiede di progettare ed attuare “…misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento”;
  • Realizzazione di sistemi di sicurezza informatica.

Il Regolamento prevede pesanti sanzioni in caso di infrazione (fino a €20.000.000 / 4% del fatturato mondiale annuo, per le infrazioni più grave).

DPO – IL DATA PROTECTION OFFICER

Il Responsabile Protezione Dati personali – Data Protection Officer è una “figura” obbligatoria in specifici contesti, con compiti di consiglio, informazione e controllo in merito agli obblighi legali relativi alla Privacy.

Il DPO deve essere:
• un professionista competente nella materia relativa alla gestione dei dati personali;
• Indipendente nello svolgimento delle sue funzioni;
• Privo di conflitti di interesse.

Il DPO è obbligatorio per:
• Pubbliche Amministrazioni (tranne autorità giudiziarie);
• Aziende che trattano dati sensibili su larga scala;
• Aziende il cui trattamento comporta un controllo regolare e sistematico degli Interessati.

Conoscenze specialistiche?
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.

Qualità professionali?
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.

E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

Capacità di assolvere i propri compiti?
Per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del GDPR. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

La designazione del Data Protection Officer (art. 37), è obbligatoria nel caso in cui:

  1. a)  il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  2. b) le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. c) le attività principali dei suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

Il Data Protection Officer deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali.

Secondo il regolamento europeo privacy 2016/679 (Regolamento Generale sulla protezione dei dati – General Data Protection Regulation, GDPR),  la nomina del “Data Protection Officer” può essere affidata a personale interno o esterno di un’azienda con comprovate capacità in aree giuridiche e informatiche.

IL DPO deve analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della loro gestione/salvaguardia all’interno dell’azienda secondo le direttive imposte dalle normative vigenti.

Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

All’interno del Regolamento Europeo 2016/679, viene indicato che il “Data Protection Officer” (quale  figura autonoma), esegue le proprie funzioni in completa indipendenza per poi riferire sul suo operato direttamente ai vertici aziendali.

I vertici aziendali,  per la piena esecuzione dei  compiti portati avanti dal “Data Protection Officer” devono fornire le risorse necessarie affinché egli possa articolare in autonomia  e senza ricevere alcuna istruzione o impostazione gerarchica, l’insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

Il nuovo Regolamento UE 2016/679 troverà piena applicabilità in data 25/05/2018 e sostituirà in maniera definitiva la normativa attuale (D. Lgs.196/2003).

Il Regolamento è “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Quali aziende sono coinvolte? Il Regolamento si applica a tutte le aziende che trattano dati personali e sensibili di persone fisiche:

  • Aziende che operano nell’ambito della sanità o cura della persona;
  • Aziende che si rivolgono direttamente al Consumatore (comprese le attività di e-commerce);
  • Aziende che lavorano principalmente con altre imprese (B2B) per tutti i dati relativi alle persone fisiche coinvolte nell’attività aziendale (es. dipendenti, collaboratori esterni, concessionari, etc…).

Nella maggior parte dei casi quindi le aziende sono soggette al Regolamento.

Per osservare correttamente la nuova normativa Privacy occorre:

  • Ricercare tutti i dati personali presenti all’interno dell’azienda, identificare come vengono trattati e conservati i dati:
  • Analizzare i rischi Privacy in maniera preventiva fin dal momento in cui il trattamento viene progettato e definito;
  • Applicare le contromisure adeguate ai rischi individuati e documentare il lavoro svolto. Il Regolamento ha introdotto il Principio di responsabilizzazione del Titolare del Trattamento a cui si chiede di progettare ed attuare “…misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento”;
  • Realizzazione di sistemi di sicurezza informatica.

Il Regolamento prevede pesanti sanzioni in caso di infrazione (fino a €20.000.000 / 4% del fatturato mondiale annuo, per le infrazioni più grave).

DPO – IL DATA PROTECTION OFFICER

Il Responsabile Protezione Dati personali – Data Protection Officer è una “figura” obbligatoria in specifici contesti, con compiti di consiglio, informazione e controllo in merito agli obblighi legali relativi alla Privacy.

Il DPO deve essere:
• un professionista competente nella materia relativa alla gestione dei dati personali;
• Indipendente nello svolgimento delle sue funzioni;
• Privo di conflitti di interesse.

Il DPO è obbligatorio per:
• Pubbliche Amministrazioni (tranne autorità giudiziarie);
• Aziende che trattano dati sensibili su larga scala;
• Aziende il cui trattamento comporta un controllo regolare e sistematico degli Interessati.

Conoscenze specialistiche?
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento.

Qualità professionali?
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.

E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare.

Capacità di assolvere i propri compiti?
Per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del GDPR. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

La designazione del Data Protection Officer (art. 37), è obbligatoria nel caso in cui:

  1. a)  il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  2. b) le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  3. c) le attività principali dei suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).

Il Data Protection Officer deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali.

Secondo il regolamento europeo privacy 2016/679 (Regolamento Generale sulla protezione dei dati – General Data Protection Regulation, GDPR),  la nomina del “Data Protection Officer” può essere affidata a personale interno o esterno di un’azienda con comprovate capacità in aree giuridiche e informatiche.

IL DPO deve analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della loro gestione/salvaguardia all’interno dell’azienda secondo le direttive imposte dalle normative vigenti.

Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

All’interno del Regolamento Europeo 2016/679, viene indicato che il “Data Protection Officer” (quale  figura autonoma), esegue le proprie funzioni in completa indipendenza per poi riferire sul suo operato direttamente ai vertici aziendali.

I vertici aziendali,  per la piena esecuzione dei  compiti portati avanti dal “Data Protection Officer” devono fornire le risorse necessarie affinché egli possa articolare in autonomia  e senza ricevere alcuna istruzione o impostazione gerarchica, l’insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza.

Vuoi avere maggiori informazioni da noi di Safe24 su questi due elementi? Contattaci, un nostro incaricato Ti ricontatterà nel più breve tempo possibile.