Si può ancora parlare di PRIVACY?
No! Se provi a cercare la parola privacy nel Regolamento 2016/679, non la troverai! Si parla di protezione dei dati personali ed in particolare dei requisiti da rispettare per la compliance ai nuovi indirizzi.
Valutazione dei rischi o DPIA?
La valutazione del rischio di Data breach o comunque di modifica/divulgazione/distruzione non autorizzata deve essere eseguita per ogni attività di trattamento dati. Per le attività che soddisfano due o più criteri di obbligo DPIA o hanno un livello di rischio ALTO occorre eseguire la valutazione di impatto (DPIA) che rappresenta un’analisi più specifica in cui vengono analizzati molteplici fattori così come da linea guida del gruppo WP 29.
Questo software serve anche in caso di installazione di telecamere interne in diverse imprese?
Il software non gestisce le telecamere. Nel software si dovrà inserire, quale attività di trattamento, l’uso della videosorveglianza.
Prima di tutto va richiesta l’autorizzazione per installare le telecamere e questo prescinde dal software.
Una volta ottenuta, diventa una delle attività di trattamento dati che va studiata. Andranno quindi predisposte le informative a clienti, dipendenti e fornitori e questo lo fa il software.
Le autorizzazioni per l’installazione delle telecamere di solito a chi si chiedono?
Solitamente si richiede alla direzione provinciale del lavoro.
E’ possibile elaborare un documento simile al vecchio DPS?
Rispetto ai requisiti del Regolamento non esiste un documento analogo al DPS; occorre elaborare lettere di nomina, informative, registri dei trattamenti e DPIA (ove obbligatori) così come archiviare eventuale documentazione di origine esterna nella lista dei documenti di ogni azienda/organizzazione.
A cosa serve la check list di autovalutazione?
E’ possibile inviare al proprio cliente una check list di autovalutazione per comprendere lo stato attuale della conformità normativa. Semplicemente inserendo la ragione sociale e l’indirizzo email del referente, viene inoltrata una email automatica contenente il link per l’accesso all’area di compilazione della check list. A compilazione avvenuta, oltre ad avere un’idea del grado di adeguatezza, è possibile “promuovere” l’azienda facendola entrare a far parte dell’archivio delle aziende da gestire riportando in automatico le informazioni già potenzialmente censite dal cliente (anagrafica, sedi, nomine).
E’ possibile stampare la check list compilata dal cliente?
Sì, è possibile stampare la check list compilata dal cliente ed è inoltre possibile elaborare la check list in bianco per sopralluogo.
Chi è il soggetto che esegue l’analisi dei rischi?
L’analisi dei rischi circa i trattamenti eseguiti da un’organizzazione andrebbe eseguita dal titolare e/o dai responsabili del trattamento ovviamente coadiuvati da un eventuale consulente tecnico esterno o dal DPO.
L’analisi dei rischi è soggettiva?
L’analisi dei rischi non è soggettiva. L’entità del rischio dipende dalla probabilità che si verifichi un evento pericoloso e dalla gravità del danno generato da questo evento. Pur essendo un’analisi di tipo stocastico siamo in grado di assegnare un giusto valore alla probabilità e al danno in funzione del grado di conoscenza dell’organizzazione, del trattamento effettuato, delle possibili conseguenze in caso di perdita di dati e delle misure di sicurezza intraprese.
L’informativa viene generata in automatico?
Sì, in base ai trattamenti inseriti nei registri. Individuata la tipologia di informativa (dipendenti, clienti, fornitori) il sistema genera in automatico il documento in base alle attività selezionate.
Gli archivi del software sono personalizzabili?
Sì, l’utente può arricchire e personalizzare tutti gli elementi dell’archivio messo a disposizione.
I modelli di stampa sono personalizzabili?
Sì, a breve sarà possibile usufruire dell’editor di testo che consente di personalizzare tutti i modelli di stampa.
Il software può essere utilizzato anche nelle regioni a statuto speciale e province autonome?
Sì, tutti devono uniformarsi ai principi del GDPR.
Chi può assumere il ruolo di DPO? Quale formazione deve avere?
Il DPO può essere nominato fra i dipendenti dell’azienda oppure può essere designato un soggetto esterno: un avvocato, un ingegnere o, comunque, un soggetto dotato di idonee competenze.
L’articolo 37 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO. Sono certamente qualità indispensabili la conoscenza della normativa in materia di protezione dei dati e un’approfondita conoscenza del GDPR.
E, come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di DPO, la Norma UNI 11697:2017 ha prospettato un percorso formativo di ben 80 ore.
Fortunatamente, la norma UNI ha carattere volontario e non prescrittivo come lo è invece il Regolamento UE per cui si ribadisce che non è assolutamente obbligatorio questo percorso formativo per svolgere il ruolo di DPO.
Quando è obbligatorio nominare un DPO?
In base all’articolo 37 del RGPD, la nomina di un RPD è obbligatoria in tre casi specifici:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
Quando un’attività è su LARGA SCALA?
Il concetto di “larga scala” è del tutto generico per cui, anche se il Regolamento fornisce alcune indicazioni, restano molteplici zone grigie di cui probabilmente avremo chiarimenti quando le attività saranno a regime. In linea di massima si intende per trattamenti su larga scala la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Esiste, però, un’ampia zona “di attenzione” in cui si collocano attività per cui risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.
Ad ogni modo, nel definire i propri trattamenti ed i relativi campi di azione, è buona norma considerare:
- il numero di soggetti interessati dal trattamento, rispetto alla popolazione di riferimento
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento
- la durata dell’attività di trattamento
- l’estensione geografica dell’attività di trattamento.
Di sicuro rientrano nei trattamenti su larga scala le attività di trattamento di:
- dati relativi a pazienti svolte da un ospedale nell’ambito delle ordinarie attività
- dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio)
- dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food
- dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività
- dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale
- dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Come dimostrare le competenze di un DPO?
La responsabilità della scelta di un idoneo DPO è in capo al datore di lavoro di un’organizzazione, il quale, in caso di verifica ispettiva, ha l’obbligo di dimostrare i criteri di scelta del DPO. Il curriculum di un tecnico è sicuramente la base di partenza per avere dimensione di una solida esperienza lavorativa in materia di protezione dati personali. La partecipazione a corsi di formazione specifici con relativi attestati è sicuramente l’altro fattore che determina la scelta. Una figura che abbia un’ottima conoscenza dei sistemi di gestione e del risk management sarebbe sicuramente da prendere fortemente in considerazione.
Che fine farà la notificazione dei trattamenti al Garante?
Il GDPR non contempla la “notificazione al Garante” di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE.
In effetti, la notificazione risulterebbe superata e sostituita dalla Valutazione d’impatto sulla protezione dei dati o DPIA. I titolari, infatti, sono tenuti ad effettuare tale valutazione per i trattamenti più critici e, nel caso dovessero rilevare rischi molto elevati, chiedere di propria iniziativa un parare al Garante.
Ciascun Stato, però, potrà chiedere che alcuni trattamenti non siano attivati senza il parere favorevole del Garante.
I consensi raccolti prima del GDPR restano validi?
Il Garante privacy ha precisato che i consensi raccolti prima dell’introduzione del GDPR rimarranno validi a condizione che questi abbiano tutte le caratteristiche previste dal nuovo Regolamento. In caso contrario sarà necessario chiedere nuovamente il consenso.
Le imprese sono, quindi, tenute a verificare che anche le vecchie richieste di consenso al trattamento dei dati personali siano chiaramente distinguibili, esplicite e facilmente comprensibili.
Quali sono le differenze con il software PIA del Garante francese?
Il software messo a disposizione dal garante francese si occupa di una parte di quel che invece esegue Blumatica GDPR. A fronte di quanto disposto dalle Linee Guida WP 29, Blumatica ha implementato un metodo di analisi per la DPIA, che ha ottenuto la validazione di parte terza da Ente di certificazione.
Blumatica GDPR, consentendo di censire e gestire i registri delle attività di trattamento, non necessità di duplicazione di informazioni per la DPIA; è proprio dai Registri, infatti, che il sistema identifica in automatico le attività per cui si ha l’obbligo di effettuare la valutazione di impatto.
È importante considerare, per la predisposizione di un unico elaborato DPIA, che il software PIA non permette l’analisi di più trattamenti in un unico lavoro.
Applicando il concetto di risk management alla data protection, il software Blumatica consente di analizzare l’adeguatezza delle misure applicate in funzione dei pericoli e rischi individuati.
Ordini e collegi professionali hanno l’obbligo di nomina del DPO?
Gli ordini e i collegi professionali sono enti di diritto pubblico per cui vige l’obbligo di nomina del DPO.
Sono una piccola impresa artigiana/familiare, cosa devo fare?
La prima operazione da effettuare è individuare i trattamenti di dati personali eseguiti dall’impesa e indicare le responsabilità: se l’impresa è molto piccola basta la nomina del titolare e di eventuali persone autorizzate, che trattano i dati personali per conto del titolare stesso.
Il titolare istituisce un registro delle attività, riportando tutte le informazioni obbligatorie come da disposto normativo.
L’ultima operazione da effettuare è relativa alla redazione di informative e consensi da fornire agli interessati.
Sono un commercialista, cosa devo fare?
Un commercialista, che ha lo studio senza collaboratori, deve analizzare le proprie attività di trattamento dati e censirle in apposito registro dei trattamenti. È importante individuare, inoltre, se per le attività offerte, viene gestito un sito internet, sono utilizzati software e/o servizi in cloud, sono presenti strutture di archiviazione.
Per i servizi che offre deve consegnare l’informativa ai propri clienti ed eventualmente i consensi (se vi è presenza di attività di profilazione o comunque di altri trattamenti per cui è necessario il consenso).
Se il commercialista ha dei collaboratori, invece, oltre a quanto riportato sopra, bisogna prendere in considerazione le nomine di eventuali responsabili del trattamento e persone autorizzate.
Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Sono un libero professionista, cosa devo fare?
Un libero professionista, che ha lo studio senza collaboratori, deve analizzare le proprie attività di trattamento dati e censirle in apposito registro dei trattamenti. È importante individuare, inoltre, se per le attività offerte, viene gestito un sito internet, sono utilizzati software e/o servizi in cloud, sono presenti strutture di archiviazione.
Per i servizi che offre deve consegnare l’informativa ai propri clienti ed eventualmente i consensi (se vi è presenza di attività di profilazione o comunque di altri trattamenti per cui è necessario il consenso). Se lo studio ha più collaboratori, invece, oltre a quanto riportato sopra, bisogna prendere in considerazione le nomine di eventuali responsabili del trattamento e persone autorizzate.
Con il workspace posso far inserire direttamente alle aziende mie clienti i dati dei propri dipendenti? Quali altri dati possono inserire?
La modalità di interazione del cliente nella definizione dell’anagrafica aziendale e, quindi delle eventuali nomine, avviene in prima battuta mediante la compilazione della check list dinamica di autovalutazione: i primi step della check list sono finalizzati al censimento dei dati anagrafici (sedi, titolari, responsabili, dipendenti, DPO). Una volta compilati i dati, è possibile trasferirli automaticamente nell’anagrafica dell’azienda censita nel software. Questa procedura è reiterabile.
Se, nel tempo, i dati anagrafici dovessero subire cambiamenti, il cliente può segnalarlo nell’apposita area Segnalazioni, in modo da consentire al tecnico di accettare e rendere effettivi tali cambiamenti.