GDPR: Regolamento Generale sulla Protezione dei Dati

1. PREMESSA
Il nuovo regolamento Europeo (GDPR) ha imposto nuovi standard di riferimento a tutte le Aziende/Enti/PA che trattano DATI personali, sensibili e giudiziari.
La consulenza sul tema privacy comprende una serie di attività volte a valutare l’acquisizione, il trattamento e la conservazione dei dati, migliorandone l’efficacia e garantendone il completo rispetto dell’attuale normativa.
Per svolgere efficacemente tale compito, la nostra società ha definito una serie di attività atte a risolvere in modo organico il tema, affiancando il cliente nell’opera di adeguamento, mantenimento dei processi e della relativa gestione documentale, e soprattutto idonea ad offrire strumenti di controllo e di monitoraggio indispensabili per la gestione nel tempo della sicurezza e del parco IT.

2. INTRODUZIONE
PRINCIPALI NOVITÀ INTRODOTTE DAL GDPR
La maggior incidenza ed impegno si avrà nell’Area organizzativa. Il regolamento è costruito sul principio della responsabilizzazione (accountability) di titolari e responsabili del trattamento, il che si traduce in una serie di comportamenti proattivi da parte di chi tratta dati personali. L’intervento delle autorità di protezione dati è soprattutto ex post, non ex ante; non ci sono più obblighi di notifica preventiva o autorizzazione preventiva da parte dell’autorità. Il bilanciamento di interessi (rispetto all’interesse legittimo del titolare) spetta al titolare stesso, assistito da linee-guida delle autorità europee, ma che opera autonomamente”.

2.1 REGISTRO ATTIVITÀ
Con il Regolamento UE 2016/679 il titolare deve tenere un registro delle attività svolte sotto la propria responsabilità. Tale registro, su richiesta, deve essere messo a disposizione dell’Autorità di controllo. In questo registro, fra le altre informazioni, devono essere riportate le misure di sicurezza tecniche ed organizzative adottate.
Valutazione d’impatto sulla protezione dei dati:
Il titolare prima di procedere con il trattamento è tenuto ad effettuare una valutazione di impatto; sulla medesima dovranno essere evidenziati anche i rischi e le misure previste per affrontarli, descrivendo le misure di sicurezza adottate per proteggere i diritti e gli interessi legittimi degli interessati.

2.2 ACCOUNTABILITY
Il principio dell’accountability richiede che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Per raggiungere tale obiettivo, misurato sulla valutazione del rischio, occorre dotarsi di infrastrutture che possano sostenere l’Onere della Prova.

2.3 CODICI DI CONDOTTA E CERTIFICAZIONE
Un’importante novità del Regolamento è la previsione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.
L’adesione ai codici di condotta e la certificazione del trattamento sono elementi di cui l’Autorità dovrà tenere conto, per esempio, nell’applicare eventuali sanzioni o nell’analizzare la correttezza di una valutazione di impatto effettuata dal titolare del trattamento.

2.4 PRIVACY BY DEFAULT & BY DESIGN
Con la terminologia by default e by design si intende indicare la tutela dei dati personali determinata come impostazione predefinita (by default) e pensata fin dalla progettazione di servizi, tipo quelli scolastici (by design). L’intento è quello di prevenire e non correggere. L’obiettivo è la sintesi del “By-Default + By-Design”, cioè consentire all’utente l’attività del trattamento del DATO in assoluta tranquillità, in modalità “Compliance” con il Regolamento GDPR, escludendo a priori, trattamenti non coerenti dei DATI.

2.5 MISURE IDONEE
Le novità introdotte dal GDPR, con riferimento all’analisi del rischio digitale, sono moltissime.
A seconda della tipologia di attività e trattamento effettuati dall’Organizzazione, il Titolare ha l’obbligo di individuare adeguate misure di sicurezza relative ai dati personali da essa trattati.
Si passa dalle vecchie – ormai superate – misure minime di sicurezza (ES: complessità password di almeno 8 caratteri con scadenza ogni 3 mesi se si tratta di dati sensibili.) alle attuali misure idonee. Quest’ultime non le troviamo elencate in nessuna norma o allegato, poiché cambiano a seconda dello «scenario digitale» in cui il dato «vive».
Misure idonee di sicurezza sono da intendere come la metodologia improntata sul livello di sicurezza adeguata al rischio, da analizzare, implementare, ma soprattutto, da verificare periodicamente.

3. GDPR PUNTI DI ATTENZIONE

3.1 QUALI SONO I DATI PERSONALI ?
Secondo la Commissione Europea “i dati personali sono qualunque informazione relativa ad un individuo, collegata alla sua vita sia privata, sia professionale che pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.”

3.2 PERCHE PREOCCUPARSENE ?
Esiste un vincolo di obbligatorietà per tutte le aziende che trattano DATI personali. Oltre a tale obbligo vi sono una serie di sanzioni che nascono dall’aver equiparato il trattamento dei DATI personali ad una attività di tipo pericolosa. Le sanzioni per la non conformità sono enormi e dipendono dall’infrazione.

3.3 I DIRITTI DELL’INTERESSATO

  • Notifica delle violazioni
  • Diritto di accesso ai dati
  • Diritto all’oblio
  • Portabilità dei Dati
  • Privacy by Design

3.4 LE FIGURE INTERESSATE
Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, è dotato di un potere decisionale in ordine alle tecniche da adottare ed alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento anche in outsourcing.
Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile.
Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer (DPO) meglio descritto nel seguito.

3.5 DATA PROTECTION OFFICERS
E’ un’interfaccia di riferimento preposta nei rapporti con il Garante stesso, non deve rivestire particolari responsabilità nella gestione del trattamento dei dati.
Obbligatorio in questi casi:

  • Amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziari;
  • Tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
  • Tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Deve essere nominato in base alla qualità professionali:

  • Può essere un membro del personale o un fornitore di servizi esterno
  • Riporta direttamente al più alto livello manageriale
  • Non deve svolgere eventuali ulteriori compiti.
  • Può essere una figura esterna alla scuola.

4. GDPR – DATE E CRITICITA’
Occorre ricordare le seguenti date e criticità:
Il 25 maggio 2018, entrano in vigore le sanzioni. Il Regolamento Europeo è già in vigore alla data attuale.
Il Servizio di Consulenza che offre la nostra azienda affronta in modo continuativo gli aspetti di:

  • Rinnovamento o adeguamento della documentazione a causa di nuove figure o nuovi ruoli inseriti nella scuola, modifiche ai documenti già prodotti o sviluppo di nuovi.
  • Proposte di eventuale adeguamento con nuove soluzioni all’impianto IT della scuola, per adeguarlo alle nuove mutate esigenze.
  • Operazioni di controllo periodiche trimestrali che devono essere prodotte per garantire e dimostrare agli enti esterni che sono state attuate e verificate le procedure, le informative ed i piani di formazione

La nostra azienda si affianca alla Scuola nell’opera di formazione dei dipendenti secondo i piani definiti.
Gli obblighi normativi sono molteplici ma soprattutto, occorrerà dotarsi di:

  • Procedure
  • Processi di formazione e Informative
  • L’applicazione di tali obblighi devono essere dimostrati. Ad esempio, dotandosi di relativo registro delle presenze e questionario della efficacia dell’apprendimento. Tutte cose che la vecchia legge 196/03 sulla Privacy metteva sotto la voce autocertificazione.
  • La nuova figura all’interno del GDPR: il “DPO” – Data Protection Officier – dovrà operare nelle scuole per coordinare e controllare ogni tipo di cambiamento, adeguamento, sviluppo in merito al GDPR. Fungere da contatto per il garante.

5. LA NOSTRA VISIONE
Occorre garantire il più possibile la serenità agli operatori, passando attraverso la consapevolezza che ogni attività svolta sulla rete informatica deve diventare controllabile, verificabile e quindi registrabile (ad esempio tecnicamente: Log di Accesso ai sistemi, alla navigazione Web, per la copia o spostamento di documenti).
La nostra consulenza sarà sia di tipo legale che di tipo tecnico: La scelta della tecnologia non è più facoltativa, ma diventa propedeutica a tale vincolo e pertanto occorre porre molta attenzione e scrupolosità nell’analisi degli attuali sistemi informatici e nella scelta di quelli futuri (Privacy by Design). L’attenta valutazione d’impatto e di rischio, permetterà all’Organizzazione di individuare potenziali rischi e adottare adeguate misure sin dai primi processi di progettazione ed implementazione dei sistemi.
Il nostro obiettivo è quello di creare un sistema sicuro “by design” e “by Default”, dove l’operatore può svolgere le sue attività in tranquillità perché il sistema è in grado di farlo lavorare in modo sicuro e conforme alle normative.

COSA VI ASPETTA CON IL GDPR
In questo paragrafo evidenziamo i punti di attenzione che si possono sintetizzare dal GDPR per creare un sistema di gestione della sicurezza del dato.
Ecco le 13 cose che bisogna sapere:

  1. Assicuratevi che le persone chiave siano a conoscenza della nuova esigenza;
  2. Organizzate un audit informativo (dove sono i dati, chi ha i permessi di accesso… Etc);
  3. Aggiornate la versione delle note sulla Privacy (su siti, documenti, form etc.);
  4. Assicuratevi di rispettare i diritti individuali;
  5. Pianificate come gestire le richieste di accesso;
  6. Documentate la base giuridica per il trattamento dei dati personali (perché i dati vengono trattati? trattamento basato su consenso o giustificato da leggi, legittimi interessi, ecc.)
  7. Informate ed Acquisite il consenso esplicito;
  8. Garantite procedure per gestire le violazioni dei dati;
  9. Nominate un Data Protection Officer (responsabile della protezione dei dati), se richiesto;
  10. Determinate l’autorità di controllo della protezione dei dati;
  11. Pensare come implementare un PIA o DPIA (Privacy Impact Assesment) ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali;
  12. Prepararsi a gestire la raccolta dei DATI e pensare a come elaborare la Gestione Documentale.
  13. Pensare a come adeguare l’intera infrastruttura IT coinvolta nel trattamento.

6. I NOSTRI SERVIZI
Il servizio prevede lo svolgimento dei compiti definiti dal GDPR da parte della persona fisica designata come DPO.
Durata dell’incarico: un anno dalla data di perfezionamento dell’incarico
Rinnovo: a seguito di un nuovo accordo.
Il servizio proposto include, a titolo di esempio:

  • Sopralluogo e Audit generale
  • Predisposizione e supporto alla redazione della modulistica personalizzata (nomine, registro dei trattamento, valutazione d’impatto, ecc.).
  • Fornitura di modelli e buone pratiche per l’applicazione della normava in materia di privacy, trasparenza, accessibilità, digitalizzazione e lotta alla corruzione incluse linee guida, regolamento necessarie a formalizzare gli incarichi previsti dalla normava;
  • Redazione della valutazione d’impatto (Data Protection Impact Assessment, “DPIA”)
  • Accesso riservato ad un apposito spazio web, aggiornato, contenente una sintesi dei principali adempimenti derivanti dalla normava vigente in materia di privacy, trasparenza, lotta alla corruzione, digitalizzazione (bozze dei documenti da produrre, fogli di calcolo, ecc.).
  • Piano di formazione sarà finalizzata alla preparazione del personale incaricato, sempre in materia di protezione dei dati e privacy, riguardo le operazioni da eseguire. Si prevedono circa tre ore per il personale di segreteria e collaboratori scolastici, ed altre n. 3 ore per i docenti. Si possono prevedere sedute aggiuntive ogni volta che lo si ritenga necessario: è indispensabile rendere autonomo il personale stesso nello svolgimento del compito assegnato. La formazione sarà effettuata in presenza e si metterà a disposizione una piattaforma E-Learning con webinair tematici disponibili.

7. OFFERTA ECONOMICA
Offerta Economica per la Realizzazione del Sistema di Gestione Privacy per la conformità al Regolamento UE 679/2016 (GDPR), l’offerta comprende:

  • L’auditing presso la sede della scuola
  • Il censimento, la raccolta dati e la verifica della conformità alla normativa
  • La stesura informative personalizzate e consensi
  • La gestione degli atti di nomina
  • Il data mapping (organigramma)
  • Privacy by design
  • Il registro dei trattamenti
  • L’analisi dei rischi
  • Il DPIA – Data Protection Impact Assessment -Risk Assessment – Il Workflow
  • Il diritto alla portabilità dei dati ed il diritto alla cancellazione (“diritto all’oblio”)
  • La gestione del DPO – Data Protection Officer
  • Il Data Breach
  • La redazione e consegna del report finale in forma cartacea
  • E-Learning con verifiche e test
  • Realizzazione GDPR con l’ausilio di del DPO