GDPR: la consulenza deontologia Privacy ai TDT - SPPD-RSMSEFT
Privacy 4.0 e Protezione dei dati
DPS-2016-2017 e SPPD2018-2019
Menu principale:
GDPR: la consulenza deontologia Privacy ai TDT
AREA FORMAZIONE > DISPENSE FORMAZIONE > PRINCIPI e IMPIANTO SISTEMA
GDPR: la consulenza deontologia Privacy ai TDT
La privacy europea è e sarà perennemente evolutiva!
La deontologia a prova di GDPR: il DPO superconsulente del Titolare del Trattamento
DI COSA PARLIAMO
La normativa in materia di protezione dei dati personali è presente nell'ordinamento giuridico italiano dal 1996 e il cosiddetto 'GDPR' (acronimo della definizione in lingua inglese - 'General Data Protection Regulation' - del Regolamento UE 2016/679 la cui applicazione partirà dal 25 maggio 2018) è portatore di novità ma non crea una disciplina dal nulla. Il presente documento non è esaustivo per una autovalutazione completa e specifica della situazione di business. Situazione dalle diverse fattispecie, dal singolo professionista senza collaboratori allo studio associato con praticanti e personale dipendente.
L'interesse che ha il professionista a soddisfare i requisiti di integrità, disponibilità riservatezza e resilienza delle banche dati, segue la "concezione dei dati personali stessi in quanto patrimonio (immateriale) del cliente
____________________________________________
LA TOP 10
L'affiancamentoo del DPO, se visto nel senzo corretto della Norma, aiuta a porsi sistematicamente alcune domande sulla base delle quali affrontare in modo guidato e organico la pianificazione di una nuova Era Privacy aziendale.
Vediamo gli ambiti di controllo e revisione:
1 Ho predisposto la modulistica per procedere, durante il primo incontro con il Cliente, alla raccolta dei dati fornendo al medesimo una informativa completa, con un linguaggio semplice e chiaro?
La raccolta dei dati deve essere accompagnata – se non preceduta – da una informativa che contenga tutte le informazioni richieste dall'art. 13 (oggi del Testo Unico[1], dal 25 maggio 2018 del Regolamento[2]). Tra le novità del Reg.to figura il requisito del “linguaggio semplice e chiaro” dell'informativa.
2 Ho organizzato le mie attività in modo da raccogliere e trattare solo ed esclusivamente i dati che mi sono necessari o utili in vista del miglior espletamento del mandato professionale ricevuto?
Il principio generale è presente tanto nel T.U. (art. 11) quanto nel Reg.to (art. 5, c.d. “minimizzazione dei dati”): si raccolgono e si trattano esclusivamente i dati personali che non siano “eccedenti” rispetto alle finalità del trattamento, ovvero che siano “limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
NOTA: La disponibilità di dati estranei alla finalità esplicitata segnala la sussistenza di un trattamento 'abusivo', ulteriore e distinto.
3 Ho organizzato la conservazione dei documenti relativi alle varie pratiche in modo da averne sempre, al momento giusto, la disponibilità ed in modo che i dati siano accessibili al solo personale autorizzato?
Qui si congiungono le esigenze generali della disponibilità e della riservatezza delle banche dati. La loro traduzione concreta è una gestione ordinata dei dati e delle informazioni – ovvero dei fascicoli cartacei e delle cartelle digitali - che ponga i rispettivi contenuti al riparo da sguardi indiscreti ovvero da accessi di estranei ma che allo stesso tempo consenta al titolare di gestire con efficienza le attività.
4 Ho nominato e adeguatamente istruito i miei collaboratori ed altresì ho formalizzato i rapporti con i professionisti ai quali mi rivolgo per la gestione e lo sviluppo delle attività dello studio?
Tutto l'organigramma 'privacy' dello studio deve essere coinvolto nella politica di protezione dei dati. E' un organigramma ampio, in cui rientrano gli incaricati (collaboratori, praticanti, dipendenti) ma anche i responsabili dei trattamenti, cioè i professionisti esterni che a vario titolo collaborano con lo studio (avvocati di altri fori, commercialista, consulente del lavoro, ecc.). Osservando che:
- - per gli incaricati occorre una nomina (art. 30 T.U.) contenente peraltro le istruzioni operative per i trattamenti (di cui anche all'art. 29 Reg.to)
- - per i responsabili dei trattamenti, occorre un contratto (o altro atto giuridico) che vincoli i medesimi a specifici obblighi (art. 28 Reg.to)
5 I miei pc sono protetti dalle minacce esterne? Dispongo, in caso di bisogno, del nominativo di un tecnico-informatico di fiducia al quale chiedere la soluzione di specifici problemi?
Il riferimento è all'implementazione di software adeguati a prevenire attacchi o minacce di vario genere e provenienza. In tal senso può essere saggio affidarsi alla competenza e all'esperienza di un professionista, rammentando che il Reg.to richiede misure “adeguate” rispetto alle caratteristiche, modalità e contesto dei trattamenti.
6 Pc portatili e altri strumenti informatici rimovibili sono utilizzati nelle attività al di fuori dello studio in modo da minimizzare i rischi di perdita accidentale, sottrazione fraudolenta e similari?
L'esempio lampante è nell'uso della penna Usb: premessa l'operatività di una valida password di accesso, è necessario caricare/lasciare nella penna esclusivamente i dati che debbano essere trattati nel corso della sessione esterna.
7 Provvedo ad eseguire un salvataggio integrale (back up) di tutti i dati su pc perlomeno 1 volta alla settimana?
A parte la prescrizione di cui all'Allegato B al T.U., questa operazione è davvero fondamentale per la protezione dei dati dello studio. In relazione alla intensità delle modifiche/inserimenti quotidiani, è prudente programmare una frequenza maggiore di quella minima.
8 Ho definito un tempo di conservazione dei dati personali in linea con le finalità dei trattamenti?
Anche il professionista è tenuto, come ogni titolare, a definire il periodo di conservazione dei dati (che non possono essere conservati ad libitum) e, peraltro (novità del Reg.to), a farne oggetto di apposita menzione nell'informativa (in alternativa al periodo di conservazione sarà sufficiente indicare i criteri utilizzati per determinarlo).
9 Quando devo rottamare pc, notebooks e altri strumenti elettronici utilizzati per le attività dello studio, mi assicuro che la dismissione avvenga nel rispetto della esigenza di protezione dei dati?
La c.d. 'spazzatura elettronica', quando non gestita, è malaugurata fonte di informazioni a tutto discapito degli interessati e con rischi per lo stesso titolare del trattamento. E' doveroso il rinvio a quanto stabilito dal Garante nel provvedimento del 5 dicembre 2008 (con le connesse istruzioni operative).
10. Mi sono preoccupato della sicurezza fisica dello studio, nel senso di adottare misure o cautele atte ragionevolmente a prevenire accessi indesiderati e azioni concretantesi nella lesione della riservatezza, della disponibilità, della integrità delle banche dati?
E' sempre in evidenza il problema della sicurezza dei trattamenti. Stavolta, però, esso è valutato attraverso la disamina dei locali/luoghi fisici in cui si svolgono le attività dello studio. Le misure di protezione “adeguate”, anche qui, possono variare in ragione del contesto (ad es., studio localizzato in stanza all'interno di unità immobiliare dove sono presenti altri professionisti, studio localizzato al piano terra di un condominio, ecc.).
INDICE GENERALE SPPD | TITOLARI PRIVACY | INFORMATIVE PRIVACY | Manuale SPPD 2018-2019 | Manuale DPS 2016-1017 | AREA FORMAZIONE | AREA STAFF RISERVATA | AUTORITA' GARANTI | SEGNALAZIONI E/O RECLAMI | Mappa generale del sito
