Dal Dps al Gdpr (General Data Protection Regulation ): il nuovo Modello Organizzativo sul Trattamento dei Dati – Regolamento Europeo Privacy Ue 2016/679
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE.
Il regolamento è entrato in vigore il 24 maggio 2016 ma ha trovato applicazione negli Stati membri solo a partire dal 25 maggio 2018. Le imprese e le Pubbliche Amministrazioni hanno pertanto avuto due anni per organizzarsi e adeguarsi alle nuove regole.
Essenzialmente il GDPR univoca il mondo della Privacy (Trattamento e Protezione dei Dati Personali) con quello della Sicurezza Informatica (ICT-SEC).
Nel nuovo regolamento la definizione data protection ha preso il posto della parola privacy. Il termine scelto ha un significato molto più vasto e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati sensibili, ma saperli gestire nel modo corretto.
Tra le principali novità :
- viene introdotto il principio dell’applicazione del diritto dell’Unione Europea anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o sevizi a cittadini UE o tali da comportare il monitoraggio dei comportamenti di cittadini UE.
- l’obbligo di trattare i dati secondo la progettazione “by design” (cioè analizzando il trattamento per tutto il ciclo di vita dei dati. fa riferimento all’obbligo di tutelare i diritti dell’interessato nell’attività di trattamento fin dalla fase della progettazione e per l’intera gestione del ciclo di vita dei dati, ponendo in essere misure di carattere tecnico ed organizzativo quali la minimizzazione e la pseudonimizzazione) e “by default” (cioè il partire da configurazioni “chiuse” dei sistemi informatici, per poi gradualmente ampliarle solo dopo avere valutato l’impatto di eventuali aperture ovvero le impostazioni predefinite devono essere quella che garantiscono il maggior rispetto della privacy, affinché i dati personali non siano resi accessibili ad un numero indefinito di persone senza l’intervento umano);
- la nascita del Data Protection Officer (DPO), che sarà obbligatorio nella Pubblica Amministrazione e nelle aziende private che processano dati a rischio (ad es.: il trattamento su larga scala di speciali categorie di dati quali quelli sensibili);
- l’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio sistematico e su larga scala); le piccole medie imprese non avranno l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (“privacy impact assessment”), tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.
- l’obbligo di rispettare il “Data breach”, ccioè la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati;
- la nascita della procedura di “Prior consultation”, cioè la presentazione di una istanza al Garante qualora il DPIA non produca risultati positivi;
- la nascita del Registro delle attività di trattamento, sia per il Responsabile che per l’Incaricato, dove vanno conservate numerose informazioni sul trattamento (è sostanzialmente una estensione del vecchio DPS);
- l’agevolazione di processi di “certificazione” o l’acquisizione di “marchi” o “bollini” che garantiscano la correttezza e serietà del trattamento.
- Ruolo proattivo dell’Azienda. Il Titolare del trattamento dovrà adottare politiche ed attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato è conforme (fin dalla fase embrionale) a tutte le disposizioni del Regolamento
- Aumento delle sanzioni in caso di violazioni.
- La nascita di nuovo organismo : il Comitato europeo per la protezione dei dati (considerando n. 72). All'art. 75 è previsto che "Il comitato dispone di una segreteria messa a disposizione dal garante europeo della protezione dei dati", pertanto sarà il Garante europeo per la protezione dei dati personali a gestire questo importante aspetto. Questo Comitato sostituisce il Gruppo europeo del Garanti (Gruppo articolo 29), il cui segretariato è invece attualmente affidato alla Commissione europea
- Obbligo di analisi dei rischi compresi quelli informatici circa la sicurezza dei dati. Ovvero la messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento.
- Pseudonimizzazione e la cifratura dei dati personali, ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisce l’identificazione dell’utente. A tal proposito citiamo l'articolo 30 Sicurezza del trattamento : "Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l'altro, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; d) una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."
Tra i nuovi adempimenti, è prevista una nuova figura professionale : il Responsabile per la protezione dei dati personali (Data Protection Officer).
Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati, è una nuova figura professionale che va ad inserirsi nel panorama, già nutrito, dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende
Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.
Il linea generale la qualifica di DPO – Data Protection Officer – di fatto muta l’attività del consulente privacy in azienda.
Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato:
- da una pubblica amministrazione o da un suo organismo,
- da società con più di 250 dipendenti,
- da aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l'attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici. (escluse comunque le autorità giurisdizionali)
Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all'azienda oppure esterno in forza di un contratto di servizi.
I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
1. possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
I compiti del DPO sono:
- Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
- Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
- Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l'accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un'ottica proattiva, per esempio il considerando n. 74 asserisce che "il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l'efficacia delle misure", inoltre, è previsto che "Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità" (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all'art. 34 lett. g e punto 19 dell'Allegato B del Codice della Privacy).
- Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
- Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
- Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
- Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.
I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati – regolamento europeo privacy ue 2016/679 ( ex dps) sono :
- Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
- Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi in Cloud )
- Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile.
- Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer ( DPO )
Nel nuovo Regolamento generale sulla protezione dei dati, si nota subito un cambio di definizioni, laddove la figura del Responsabile del trattamento come prevista dall’art. 29 del D.Lgs. n. 196/2003 avrà una nuova denominazione con nuovi compiti e funzioni (tra l’altro precisamente stabiliti nel testo europeo citato). Per essere più chiari possibile, la figura che, ad oggi, viene denominata come Titolare del trattamento, una volta entrato in vigore il citato Regolamento UE, assumerà il nome di Responsabile del trattamento. Si aggiunga che la figura dell’Incaricato del trattamento, così come prevista dall’art. 30 dell’attuale Codice privacy, scomparirà completamente
Altra novità sarà la possibilità (in questo caso concessa al Data Subject o Soggetto Interessato) di esercitare i propri diritti nei confronti di ciascun Data Controller Congiunto del trattamento oppure al Joint Controller.
Un elemento cruciale differenzia un Data Protection Officer o DPO da un responsabile privacy ex art. 29, mentre il primo deve essere indipendente e autonomo, il secondo deve agire seguendo solo e soltanto le istruzioni del titolare del trattamento, pertanto, un vincolo che impedisce di godere di ampia indipendenza, tipica invece del nuovo ruolo del DPO.
I testi pubblicati sulla gazzetta ufficiale ue il 4 maggio 2016
Altri documenti
Regolamento europeo - prima guida informativa
Regolamento europeo - infografica
Visualizza\Scarica l'infografica
Scheda informativa su data protection officer
Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati (Data Protection Officer)
Visualizza\Scarica Data Protection Officer- Scheda Informativa
Visite: 12536