Ci occupiamo, in questo articolo, di due adempimenti, peraltro non sempre obbligatori, previsti dal GDPR: la redazione del Registro dei Trattamenti e la nomina del DPO (Data Protection Officer).
L’art. 30 del GDPR prescrive ai Titolari e ai Responsabili del Trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità. Si tratta di una delle novità e, al contempo, uno degli adempimenti più importanti concernenti le attività di trattamento. Il par. 4 dell'art. 30 dispone che “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.”
Si tratta di un obbligo, di documentare la conformità della propria organizzazione alle prescrizioni del Regolamento, costituito in capo al titolare del trattamento (o ai contitolari), ma grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare, e risponde al principio di responsabilizzazione (in inglese accountability). I titolari potranno decidere in autonomia le modalità, le garanzie e i limiti del trattamento dei dati personali. Saranno poi i titolari stessi a dover dimostrare, anche attraverso comportamenti proattivi, di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento.
Il registro dei trattamenti, quindi, è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti che si svolgono all’interno di un'organizzazione, ma diviene indispensabile per ogni valutazione e analisi del rischio. Sapere con esattezza quali trattamenti avvengono all'interno della propria organizzazione, con quali modalità e con quali misure di sicurezza diventa possibile solo adottando uno strumento come Il Registro dei Trattamenti.
Per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.
Il Garante si rivolge, quindi, a tutti i soggetti, prescindendo dalle dimensioni dell’organizzazione!
L'obbligo non vale tuttavia per tutti. Il par. 5 dell'art. 30 specifica che non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.”
A nostro parere, tuttavia, si tratta del punto di partenza fondamentale per un’organizzazione per attuare qualsivoglia strategia per la conformità in materia di protezione dei dati personali.
L’art. 30 del GDPR, oltre a prevedere che il registro può essere tenuto in forma scritta o in formato elettronico, che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti minimi obbligatori:
il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
le finalità del trattamento;
una descrizione delle categorie di interessati e delle categorie di dati personali;
le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.
Il registro dei trattamenti inoltre, non è un documento che una volta redatto può rimanere fermo e immutabile nel tempo; va inteso come uno strumento di lavoro, quindi modificato e mantenuto aggiornato.
A tale scopo è fondamentale innanzitutto individuare, all’interno dell’organizzazione, i soggetti che hanno la più ampia visione delle attività di trattamento e coinvolgerli nella redazione e aggiornamento del registro dei trattamenti, responsabilizzandoli sull’importanza di tale attività. È necessario renderli edotti dei vantaggi e del valore aggiunto che una gestione trasparente dei flussi di dati personali rappresenta per l’azienda. Per questo il registro dei trattamenti dovrebbe essere gestito in maniera centralizzata, garantendo l’accesso a tutte le persone coinvolte nel suo mantenimento onde evitare la proliferazione di copie che renderebbero difficile identificare la versione più aggiornata. Non essendo una attività facile da gestire il consiglio è di dotarsi di soluzioni adatte allo scopo.
Ancora oggi, vicini alla data del 25 maggio, rileviamo molti equivoci su cosa sia il responsabile della protezione dei dati (DPO). Pur essendo una figura rilevante all'interno del GDPR, sicuramente non è il “centro” del sistema. Oltre a ciò è prevedibile che molte organizzazioni, aziende e studi professionali non dovranno dotarsene. Per questo dedicheremo un breve cenno a quali sono le sue funzioni, le competenze e il ruolo.
La disciplina del DPO (in italiano RDP) è prevista nel Capo IV.
Innanzitutto diciamo che la designazione del RDP, compreso l’accertamento delle sue capacità professionali rispetto alle funzioni da svolgere è sempre responsabilità del titolare.
Casi specifici in cui la designazione del RDP è obbligatoria.
a) nei confronti della Pubblica Amministrazione senza eccezioni;
b) nel caso di trattamenti che richiedono il monitoraggio regolare e sistematico di dati su larga scala;
c) quando i trattamenti riguardano dati personali sensibili (art. 9) o dati relativi a condanne penali e a reati di cui all’art.10 trattati su larga scala.
Come per il Registro dei Trattamenti, anche la designazione di un RDP, tenuto conto dei compiti che questo deve svolgere, può costituire per il titolare del trattamento una misura molto importante ai fini di dimostrare la sua compliance con quanto previsto dal GDPR.
Infine va sottolineato che il RDP svolge anche una importante funzione di interfaccia tra titolare e interessati, da un lato; tra titolare e Autorità garanti, dall’altro. Per questo deve essere garantita al RDP un posizione di staff presso il vertice dell’organizzazione che gli consenta di esercitare la sua funzione in piena indipendenza. Il suo ruolo va oltre la mera consulenza e vigilanza: esso opera non solo nell’interesse del titolare ma anche degli interessati e dell’intera comunità.
In tale contesto il Data Protection Officer avrà un triplice ruolo di supervisore interno per dimostrare la conformità, di facilitatore e comunicatore sia verso il vertice dell’organizzazione sia verso l’esterno.
Inoltre, dato che il GDPR obbliga a prevenire e mitigare i rischi secondo un approccio proattivo, questo significa valutare preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione e sulla continuità operativa dell’organizzazione, gestire l'organizzazione in modo da garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla, infine, tenendo conto della gravità e probabilità di qualunque evento che interferisca con la riservatezza, l’integrità e la disponibilità (c.d. RID) dei dati personali relativi ai trattamenti dei dati personali dell’organizzazione, dovrà necessariamente ricorrere alle migliori soluzioni disponibili sul mercato (stato dell’arte), ricorrendo a soluzioni tecnologiche e organizzative avanzate come per esempio la pseudonimizzazione e la criptazione dei dati. Il DPO gioca quindi un ruolo fondamentale anche nbella sorveglianza interna. Si conferma, inoltre, che nella disciplina estremamente succinta prevista dal legislatore europeo il DPO è un supervisore indipendente che non agisce sotto il diretto controllo del titolare del trattamento.
Nello specifico il DPO dovrà:
1) informare e fornire consulenza a titolare e al responsabile del trattamento nonché ai dipendenti degli obblighi derivanti dal regolamento;
2) sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione dati;
3) sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo;
4) fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia);
5) fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione dei dati personali;
6) controllare che le violazioni dei dati personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).
Il DPO potrà inoltre gestire il registro delle attività di trattamento ex art. 30, sebbene a stretto rigore la specifica conservazione del registro della attività di trattamento resti comunque ad appannaggio del titolare e del responsabile.
Preme infine ricordare che, come chiarito nelle recenti linee guida del Gruppo europeo dei Garanti, il DPO non potrà rispondere personalmente della non conformità dell’organizzazione al regolamento europeo, responsabilità dirette che ricadono esclusivamente sul titolare e sul responsabile.
La predisposizione del manuale della conservazione, la nomina del responsabile della conservazione e del procedimento di conservazione, l’adeguamento ai fini privacy: ecco tutti gli adempimenti di cui nessuno ti ha mai parlato. Il prossimo 10 marzo scadono i termini per la conservazione digitale a norma delle fatture elettroniche del 2019. La scadenza coincide con i tre mesi dal termine per l’invio della dichiarazione dei redditi 2020 che, per effetto della proroga prevista dal decreto Ristori quater, poteva essere trasmessa fino al 10 dicembre scorso. Il nostro...
Scritto da: Luigi DuraccioIl datore di lavoro non può conoscere i dati relativi alle vaccinazioni. Intervento del Garante privacy. Acquisire i dati relativi alle vaccinazioni dei dipendenti non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. A questi comportamenti, incidendo su diritti fondamentali dell’individuo, è necessario applicare a particolari attenzioni. Negli ultimi giorni si sono aggiunti interventi chiarificatori del Garante per la protezione dei dati personali in relazione alla normativa sulla privacy. Il Garante...
Scritto da: Luigi DuraccioCarte di credito e ricaricabili sempre di più nel mirino degli hacker. Sono molte le truffe online in grado di svuotare i conti correnti e le prepagate. Non ci sono quasi più errori di sintassi o di grammatica, l’italiano è molto più scorrevole e questo si traduce in una maggiore difficoltà di accorgersi della truffa e quindi maggiori pericoli per gli utenti possessori di carte, soprattutto prepagate. Tra le più gettonate ci sono le truffe che hanno ad oggetto le carte prepagate...
Scritto da: Luigi DuraccioI ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo come è fatto ed un metodo innovativo per proteggersi. Quando un sistema informatico viene attaccato da un ransomware e i file contenuti vengono crittografati significa che il virus ha già superato tutte le difese. Oltre a questo molti malfattori che li programmano non si accontentano e non si fermano dopo aver sfondato le barriere di protezione di un solo PC: non è...
Scritto da: Luigi DuraccioCrimine informatico, solo il Covid sta facendo più danni. Il quadro del 2020. Quando un sistema informatico viene attaccato e le difese informatiche di un’azienda vengono superate, l’hacker paralizza il sistema informativo e preleva dati, contratti, accordi, informazioni segrete e rilevanti, informazioni personali. L’attacco, di solito, parte di notte, spesso di sabato, e la mattina, quando apri il computer, è già troppo tardi: file contenuti nei PC, nei server, nei backup, vengono crittografati e non sono più utilizzabili. A questo punto viene chiesto di pagare...
Scritto da: Luigi DuraccioAffidarci alle solite misure o sperare nelle competenze degli utenti equivale ad un suicidio. Il modello “security-as-a-service” nei processi di security integrata. A causa, o grazie alla pandemia, ora l’ufficio può essere ovunque e senza vincoli e le aziende si ritrovano sempre meno vincolate alle tradizionali infrastrutture di rete e a un ufficio fisico. L’adozione di massa e “frettolosa” del lavoro da remoto ha fatto emergere, tuttavia, in tema di sicurezza informatica e difesa dal cybercrime, tutte le criticità di una mal-gestione [o nessuna...
Scritto da: Luigi DuraccioIn un quadro di cambiamento del Paese diventa irrinunciabile, per le aziende, investire sulla “formazione” del personale attraverso enti o società di formazione che portano i loro saperi direttamente all’interno. Il virus ci impone di cambiare e per questo dobbiamo rimboccarci le maniche e costruire un nuovo modo di vivere e di produrre. Dobbiamo agire subito senza aspettare la fine della crisi. La tecnologia ci sarà di aiuto nel cambiamento e dovrà essere impiegata di più nelle aziende. Perché questo avvenga occorre modificare la...
Scritto da: Luigi DuraccioPare che EcoCare, un sito fatto sviluppare dal Parlamento Europeo, non rispetti la stringente normativa europea prevista per la tutela dei dati personali. Se anche i “regolatori” hanno difficoltà ad osservare le norme scritte da loro stessi vuol dire che c’è un problema nell’affrontare una norma con troppa leggerezza. La norma impone un’autovalutazione che spesso necessita dell’insostituibile consulenza di esperti in più settori. Guarda il video sull’argomento pubblicato dall’Avvocato Stefano Nardini che ha affrontato questo caso particolare sul suo canale YouTube.
Scritto da: Luigi DuraccioIl 31 gennaio scade un termine importante del punto di vista fiscale: la conservazione digitale a norma delle fatture elettroniche. In realtà il termine è slittato al 10 marzo a seguito della proroga disposta dal decreto ristori alla presentazione della dichiarazione dei redditi. Questo perchè il termine per la conservazione delle fatture si calcola proprio a partire da quello per la presentazione della dichiarazione dei redditi. Occorre avere le idee chiare per poter adempiere a quanto richiesto dalla normativa. Le norme...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.