GDPR: Impianto del Sistema e istruttorie degli Adempimenti - SDPP-RSM 2024

Vai ai contenuti

Menu principale:

GDPR: Impianto del Sistema e istruttorie degli Adempimenti

AREA FORMAZIONE > DISPENSE FORMAZIONE > ISTRUTTORIA MANUALE
GDPR: Impianto del Sistema e istruttorie degli adempimenti
Consolidare sempre meglio il testo normativo Reg.679/16 (di seguito Regolamento Privacy) e la conoscenza delle regole. Un obiettivo ambizioso indispensabile.
La privacy europea è e sarà perennemente evolutiva!

OPZIONI ISTITUZIONALI PER L'IMPRESA


Le Scelte aziendali, codici di condotta e certificazioni di sistema
Tra queste scelte "istituzionali" si possono collocare l'adesione a codici di condotta (una volta che verranno approvati dal Garante della privacy) o l'acquisizione di certificazione dei propri trattamenti, o dei propri strumenti ed applicativi (una volta completato l'iter normativo per la loro operatività).

Le scelte di fondo possono coinvolgere la finalità istituzionale dell'impresa, che può scegliere di dedicare alla funzione sociale di tutela della riservatezza una quota dei propri utili. Ad esempio le politiche di tutela della riservatezza possono essere dedicate a campagne di sensibilizzazione sull'uso consapevole delle reti-sociali o anche solo degli strumenti e dispositivi di telecomunicazione.
Anche la pubblica amministrazione, attraverso strumenti normativi e amministrativi, può adoperarsi in scelte di maggiore o minore grado di protezione della sfera individuale. Banalmente la destinazione di fondi al miglioramento della logistica e degli arredi degli uffici degli enti  pubblici segnalerebbe un livello di conformità buono agli obiettivi generali della disciplina della protezione dei dati.


Organizzazione interna dell'impresa o della P.A.
La istituzione uffici/sportelli privacy nomine di referenti apicali e di autorizzati istituzione ufficio del DPO/RPD adeguamento infrastrutture e procedure di sicurezza dei beni strumentali/misure di protezione beni materiali e immateriali formazione del personale. L'impresa e la P.A. devono conformare la loro organizzazione al protocollo privacy del Regolamento Ue.
Se l'ente è di grandi dimensioni o comunque articolato in maniera complessa, va valutato se costituire unità organizzative interne dedicate alla privacy e questo ai fini della gestione operativa dei trattamenti (sia da un lato delle attività sia dal lato della sicurezza informatica e non).
Questo ufficio privacy dovrà essere inserito in un organigramma gerarchico o di staff. Del tutto coerente con la logica della divisione dei compiti è l'individuazione di funzioni apicali nelle ripartizioni organizzative e produttive dell'impresa. Tradotto, l'ente/impresa può, se garba, decidere di affidare compiti apicali di organizzazione/supervisione degli adempimenti previsti dalla disciplina sulla privacy.

Si fa un gran parlare, molto spesso inutile, sulla sopravvivenza o meno nel Regolamento UE 2016/679 dei responsabili del trattamento interni: è una questione del tutto irrilevante ed inutile (il regolamento UE non prevede affatto il responsabile interno del trattamento); è rilevante, invece, nel singolo ente/impresa chiedersi se sia necessario individuare centri apicali interni e ciò per essere sicuri che la privacy sia rispettata in ogni anfratto e in ogni singola stanza. Se la risposta è affermativa si manterranno/creeranno questi centri di responsabilità e gli si darà il nome che più aggrada.
All'interno della organizzazione ci sono, poi, i soggetti che compiono materialmente le operazioni del trattamento. Nel linguaggio del "vecchio" Codice della privacy italiano si chiamano "incaricati del trattamento". Nel Regolamento Ue gli incaricati non sono citati espressamente, ma ci sono i soggetti "autorizzati" al trattamento, che devono ricevere istruzioni apposite da parte del titolare del trattamento. Sempre nel Regolamento Ue, all'articolo 39, si parla di personale, che va obbligatoriamente formato. In sostanza il Regolamento, in piena continuità con il "vecchio!' Codice della privacy, pretende che:

• al personale, dipendente e non, siano date istruzioni specifiche sui trattamenti (articolo 29)
• al personale, dipendente e non, siano date istruzioni specifiche sulle misure di sicurezza (articolo 32)
• il personale, dipendente e non, segua corsi di formazione obbligatoria (articolo 39).

Fuori dalla logica gerarchica è, invece se istituito (anche questa è una decisione dell'ente/impresa), è l'ufficio del Responsabile della protezione dei dati/ Data Protection Officer (RPD/DPO).
Il DPO è obbligatorio per gli enti pubblici, salvo che per gli organi giudiziari (con riferimento all'attività giurisdizionale); è obbligatorio anche per gli enti privati in questi casi:

a) Se la loro attività principale consiste nel monitoraggio su larga scala; se la loro attività consiste nel trattamento su larga scala di dati sensibili, biometrici o giudiziari. E' una figura a metà tra il consulente e il revisore e non dovrebbe ricoprire ruoli gestionali, rispetto alla attività dell'azienda o ai fini istituzionali della P.A.. Per espressa indicazione del Regolamento è un conoscitore specialista della normativa e della prassi (ha, quindi, conoscenze giuridiche specialistiche), che da pareri per l'applicazione del Regolamento e vigila sull'applicazione della disciplina.

b) Se un interlocutore dei clienti e utenti dell'impresa e della P.A. è anche un punto di contatto per il Garante della privacy. Deve essere autonomo ma può anche essere un dipendente del titolare. Può essere un esterno, e può essere il DPO di più enti, ma attenzione ai conflitti di interessi. In ogni caso il DPO deve tenere conto delle specificità aziendali o dell'ente a favore del quale presta la sua attività. Il DPO ha certamente responsabilità contrattuali nei confronti del titolare del trattamento; si dubita che abbia responsabilità extracontrattuali nei confronti degli interessati, ad esempio, se ha fornito una consulenza errata, da cui sia derivata un'azione causativa di danno all'interessato.

La sicurezza è, prima di tutto, sicurezza delle persone cioè degli interessati, di cui si trattano i dati personali. La sicurezza è certamente anche sicurezza delle reti, degli strumenti, delle tecnologie: ma questa sicurezza non è lo scopo, ma è lo strumento della sicurezza delle persone. Ci può essere un livello di sicurezza del 999/0 (considerato che il 100% è a priori escluso) che tutela dati inesatti: in questo caso lo scopo della sicurezza è miseramente fallito.

Chi progetta "sicurezza" tout court potrà preoccuparsi solo degli aspetti tecnici; discorso diversissimo per chi progetta "sicurezza privacy": chi progetta "sicurezza privacy" deve proteggere le persone fisiche da danni, che possano capitare nella vita reale e non solo virtuale.


Le 4 sicurezze della Analisi dei rischi
Valutazione di impatto privacy Notificazione e comunicazione al Garante di violazioni dei dati Consultazione preventiva. C'è, tranne che per le notificazioni e comunicazioni al Garante di violazioni dei dati, una certa gerarchia di adempimenti.

Tutti devono fare la valutazione di tutti i rischi per le persone quale effetto del trattamento dei dati se i rischi sono elevati, bisogna fare la valutazione di impatto privacy se residuano rischi non gestibili, si può chiedere un parere al Garante.
La valutazione dei rischi segnala bisogni di adeguamento infrastrutture e procedure di sicurezza dei beni strumentali, così come misure di protezione beni materiali e immateriali. La gestione del rischio è un processo continuo, dalla verifica, alla programmazione, alla esecuzione al controllo e alla nuova verifica e così via. Il rischio elevato (per le persone, non solo per i dati) porta a una pianificazione pesante" (la valutazione di impatto privacy) dando l'avvio alla continuità di pro
cessi di adeguamenti e verifiche.

Il residuo rischio, non gestito neppure con la Valutazione di impatto, comporta la necessità di andare davanti al Garante (o, in alternativa, a rinunciare al progetto). Notificazione al Garante e comunicazione all'interessato delle violazioni dei dati sono necessari per evitare l'aggravamento dei danni, allertando le autorità e le vittime: è il minimo che si possa pretendere quando, colpevolmente o peggio dolosamente, si fa del male agli altri.

Contratti di Sicurezza con esterno
Contratti di vincolo sicurezza con imprese collegate e contratti/modulistica con fornitori/collaboratori esterni

• contratti/modulistica con clienti/utenti. All'esterno dell'organizzazione ci possono essere contitolari oppure responsabili esterni. I primi hanno poteri decisionali congiunti tra loro, mentre i responsabili esterni trattano dati per conto del titolare del trattamento. I rapporti tra contitolari devono essere regolati con appositi contratti. Lo strumento del contratto deve essere utilizzato per regolare i rapporti tra titolare e responsabile del trattamento. Questo contratto può essere un contratto quadro, che preveda la possibilità per il responsabile di designare un sub-responsabile (chiamato dal Regolamento 2016/679 "altro responsabile") del trattamento.

Il contratto serve anche per delineare le responsabilità del titolare e/o del responsabile nei confronti dell'interessato. Nei confronti degli interessati il titolare del trattamento deve:

• dare un'idonea informativa
• verificare a quali condizioni può trattare i dati.

______________________________
continua in ... DOCUMENTAZIONE E CARTA "CANTA" ANCHE IN DIGITALE

Torna ai contenuti | Torna al menu