Adeguamento alla Privacy Vedi le caratteristiche della nostra consulenza
Home » IL PROCESSO DI ADEGUAMENTO

IL PROCESSO DI ADEGUAMENTO

Modalità

Modalità - Adeguamento alla Privacy

Il percorso per adeguarsi al GDPR prevede i  seguenti step: 

1. ANAGRAFE AZIENDALE  
2. LE SEDI: Si indicheranno le sedi operative o di produzione dell' azienda, ed il relativo indirizzo
3. ANAGRAFICHE DEI SOGGETTI COINVOLTI: Si identificheranno i soggetti parte dell’organizzazione aziendale, persone fisiche e giuridiche, coinvolte nella gestione della privacy, indicandone le mansioni aziendali. 
4. CREAZIONE DELLA DPIA (acronimo di Data Protection Impact Assessment).

Queste sono le figure coinvolte nel trattamento

TITOLARE DEL TRATTAMENTO, ovvero la persona fisica o giuridica, l'autorità pubblica o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
RESPONSABILE DEL TRATTAMENTO,  la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
DPO – Data Protection Officer - il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. 
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:
1.quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
2.quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3.quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
SOGGETTI AUTORIZZATI, ovvero tutti i soggetti che, in funzione delle proprie mansioni aziendali entrano in contatto a vario titolo con il dati personali oggetto di trattamento. 
 

INFORMATIVA

INFORMATIVA - Adeguamento alla Privacy

 Ogni azienda che viene a contatto con dati personali deve fornire una chiara informativa agli utenti per chiarire con estrema trasparenza modalità e finalità del trattamento per essere in regola con la gestione della privacy aziendale.

Come risulta chiaro nell’esempio di informativa per il trattamento dei dati sensibili che riportiamo di seguito l’azienda è tenuta ad indicare espressamente:

  • Le finalità della raccolta dati
  • L’eventuale obbligo di fornire i dati ai fini del contratto/rapporto
  • La privacy dei dati raccolti
  • Il titolare e il responsabile del trattamento
  • I diritti dell’utente sulla Privacy

Ecco un esempio di informativa per il trattamento dei dati da inserire in fondo al modello di raccolta:

Informativa per il trattamento di dati sensibili

Gentile Signore/a,
ai sensi de golamento UE 679/2016sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, il trattamento delle informazioni che La riguardano, sarà improntato ai principi di correttezza, liceità e trasparenza e tutelando la Sua riservatezza e i Suoi diritti.
In particolare, i dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante per la protezione dei dati personali (articolo 26).
Ai sensi dell’articolo 13 del predetto decreto, Le forniamo quindi le seguenti informazioni.

  1. I dati sensibili da Lei forniti verranno trattati, nei limiti dell’Autorizzazione generale del Garante di cui al Regolamento 679/2016, per le seguenti finalità: ……………………………………………..;
  2. Il trattamento sarà effettuato con le seguenti modalità: …………………………………..; (Indicare le modalità del trattamento: manuale / informatizzato / altro)
  3. Il conferimento dei dati è facoltativo/obbligatorio (se obbligatorio specificare il motivo dell’obbligo) e l’eventuale rifiuto a fornire tali dati non ha alcuna conseguenza / potrebbe comportare la mancata o parziale esecuzione del contratto / la mancata prosecuzione del rapporto.
  4. I dati non saranno comunicati ad altri soggetti né saranno oggetto di diffusione
    o
    i dati potranno essere / saranno comunicati a: …………………………. o diffusi presso……………………………; (Scegliere l’opzione a seconda delle caratteristiche del trattamento e indicare, se presente, l’ambito di comunicazione e/o diffusione, fermo restando il divieto relativo ai dati idonei a rivelare lo stato di salute, di cui all’art. 26, comma 5 del D.lgs.196/2003).
  5. Il titolare del trattamento è: ……………………………………………………………………………………; (Indicare la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare)
  6. Il responsabile del trattamento è …………………………………………………….; (indicare almeno un responsabile, e, se vi è un responsabile designato ai fini di cui all’articolo 7 del D.Lgs. 196/2003, indicare quel soggetto; indicare, inoltre, il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l&’elenco aggiornato dei responsabili)
  7. il rappresentante del titolare nel territorio dello Stato è …………………………………………………….; (se il titolare è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea)
  8. In ogni momento potrà esercitare i Suoi diritti nei confronti del titolare del trattamento, ai sensi dell’articolo 7 del D.lgs.196/2003

 

DPIA valutazione d’impatto preliminare

DPIA valutazione d’impatto preliminare - Adeguamento alla Privacy

Al fine di limitare l’assunzione dei rischi che possano ledere i diritti e le libertà degli interessati, il titolare del trattamento effettua, una DPIA, ovvero un’autovalutazione preliminare di impatto sulla protezione dei dati personali. 

  
La DPIA (acronimo di Data Protection Impact Assessment) rappresenta  un’autovalutazione preliminare di impatto sulla protezione dei dati personali.
  
E' ,quindi, lo strumento che permette al titolare del trattamento di tracciare il rischio assunto nella gestione del trattamento stesso, determinando le misure idonee a mitigarlo, e ciò in linea con il nuovo approccio di protezione dei dati personali basato sulla responsabilizzazione (cd. principio di Accountability). 

L’articolo 35 del GDPR chiarisce che vi è la possibilità di svolgere una singola DPIA per far fronte a più trattamenti simili tra loro in termini di rischi purché siano adeguatamente considerate natura, portata, contesto e finalità del trattamento, ancor quando gestiti da titolari distinti.
  
Da quanto sopra si evince chiaramente che la redazione della DPIA  rappresenta un’attività continuativa e non un esercizio da svolgere una tantum. 
È importante quindi, che l’attività di descrizione dei trattamenti previsti e delle finalità del trattamento sia corredata di attenta analisi delle risorse,  sulle quali si basano i dati personali (ovvero hardware, software, reti, persone o canali di trasmissione in genere) e i rischi connessi, al fine di agevolare l’individuazione delle misure di sicurezza e garantire l'osservanza al Regolamento. 

Coerentemente a quanto sopra, occorre  individuare, per ciascuno rischio le vulnerabilità, ovvero le fonti di rischio, le minacce che potrebbero determinare la violazione, la probabilità e la gravità dell’eventuale violazione. 
 
Per ciascun rischio individuato occorre  definire un piano di trattamento con la mappatura delle “contromisure” adottate o in programma, calendarizzando le date di verifica.

D.P.O.

D.P.O. - Adeguamento alla Privacy

Il DPO (Data Protection Officer) è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati. 
Viene designato sistematicamente dal titolare e dal responsabile del trattamento in tre occasioni:

  • quando il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  • quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.


In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento, nonché di loro associazioni o altri organismi che li rappresentano, designare il responsabile della protezione dati che può agire per dette associazioni e organismi.

 Il DPO viene selezionato e scelto in base alle sue qualità professionali e in particolar modo il titolare e il responsabile del trattamento devono considerare la preparazione del DPO in ambito di trattamento dati, sia sul piano teorico che su quello pratico. Tale figura può essere selezionata tra i dipendenti del titolare del trattamento oppure può essere un libero professionista, esterno e autonomo, ingaggiato in base a un contratto di servizi.

In ogni caso, i dati di contatto del DPO devono essere pubblicati e resi noti agli interessati oltre ad essere comunicati all'autorità di controllo competente

L'articolo 39 del Regolamento specifica poi nel dettaglio quali sono i compiti minimi del DPO:

 - informare e fornire consulenza al titolare e al responsabile del trattamento in merito agli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative interne o europee in materia di protezione dati;

- sorvegliare l'osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa al trattamento;
- fornire su richiesta pareri in merito alla valutazione d'impatto e sorvegliarne lo svolgimento;
- cooperare con l'autorità di controllo fungendo, tra le altre cose, da punto di contatto per questioni connesse al trattamento effettuando consultazioni di ogni tipo, con particolare riguardo e attenzione ad un'eventuale attività di consultazione preventiva

Infine è un diritto degli interessati contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati

È chiaro come l'introduzione di tale figura serva non solo a spostare da un soggetto (titolare/responsabile del trattamento) ad un altro (il DPO appunto) tutta una serie di responsabilità in ambito di protezione dei dati, ma anche e soprattutto per permettere ad un soggetto specifico, specializzato, esperto in materia di occuparsi esclusivamente della protezione dei dati personali, rimanendo sempre aggiornato sui rischi, i problemi e le misure di sicurezza necessarie a garantire un livello di tutela adeguato. Il tutto in linea con l'importanza, la diffusione e la complessità che l'ambito della privacy e del trattamento dei dati (soprattutto in campo digitale e tramite web) sta sempre più acquisendo

Le imprese dovranno quindi, se vorranno garantire standard di sicurezza adeguati, nominare tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento (sebbene anche questi ultimi siano suoi superiori), e nonostante le garanzie di autonomia e indipendenza sancite dalla legge, bisogna chiedersi effettivamente quanti dipendenti sarebbero pronti a denunciare comportamenti o valutazioni errate del titolare e del responsabile del trattamento al top manager.