Data Protection Officer (DPO)

Una nuova figura in azienda: il Data Protection Officer (DPO)

Il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce una figura preposta al controllo della compliance aziendale in riferimento al trattamento dei dati personali.

 

L'introduzione da parte del nuovo regolamento del Data Protection Officer (DPO) assicura la presenza costante in azienda di un professionista con conoscenze specialistiche della normativa e delle prassi riguardanti la protezione dei dati personali. L'osservanza delle nuove norme risulta indispensabile anche alla luce della recente sentenza della Corte Europea dei Diritti dell'Uomo, che il 5 settembre ha condannato la Romania per violazione dell’articolo 8 della Convenzione europea dei diritti dell'uomo. 

Il Data Protection Officer (DPO): quando è obbligatorio?

Per essere reso effettivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) istituisce la figura del Data Protection Officer (DPO), il responsabile della sicurezza dei dati. In Italia, il Codice della Privacy (d.lgs. n. 196/2003) non lo prevedeva, motivo per cui è ora necessario introdurre una nuova figura professionale in molti enti e aziende. Il DPO è un professionista con conoscenze specifiche in ambito di trattamento dati, sul piano teorico e su quello pratico. Sebbene possa anche essere selezionato tra i dipendenti del titolare del trattamento, è consigliabile individuare un soggetto esterno: la legge garantisce l’autonomia del soggetto, ma occorre domandarsi se davvero un dipendente denuncerebbe comportamenti o valutazioni errate del titolare o del responsabile del trattamento ai vertici aziendali, a cui il DPO direttamente risponde.

Il titolare del trattamento ha il compito di designarlo in tre occasioni:

  • quando il trattamento è attuato da un'autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni);
  • nel caso i trattamenti consistano e richiedano il monitoraggio regolare e sistematico degli interessati su larga scala;
  • se il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Negli altri casi i titolari e i responsabili del trattamento, nonché loro associazioni o altri organismi che li rappresentano, devono designare il responsabile della protezione dati che può agire per le stesse associazioni e organismi.

I dati di contatto del DPO devono comunque essere resi noti agli interessati e comunicati all'autorità di controllo competente.

I compiti del Data Protection Officer

L’articolo 39 del Regolamento specifica nel dettaglio i compiti minimi del DPO:

  • fornire consulenza e informare il titolare e il responsabile del trattamento in merito agli obblighi derivanti dal Regolamento o dalle altre disposizioni legislative nazionali o europee che disciplinano la protezione dati;
  • vigilare sull’osservanza del Regolamento da parte del titolare e del responsabile del trattamento in tutte le sue parti, inclusi l’attribuzione delle responsabilità, la formazione e la sensibilizzazione del personale addetto al trattamento;
  • condividere su richiesta pareri in merito alla valutazione d’impatto e sorvegliarne lo svolgimento;
  • cooperare con l’autorità di controllo in qualità di punto di contatto con l’ente per questioni legate al trattamento di dati, con particolare riguardo a un’attività di consultazione preventiva.

È infine un diritto degli interessati potersi rivolgere al responsabile della protezione dei dati in merito al trattamento che li riguarda.

L’introduzione di questa nuova figura permette di avere un soggetto specializzato, che si occupi esclusivamente della protezione dei dati personali, restando aggiornato sui rischi, i problemi e le misure di sicurezza capaci di garantire un livello di tutela adeguato.

Attenzione alla compliance aziendale

Una sentenza della Grande Camera della Corte europea dei diritti dell’uomo del 5 settembre ha mostrato che un’azienda che non rispetta le norme sulla tutela della privacy dei dipendenti non riuscirà a far valere in giudizio le proprie ragioni nei confronti di un dipendente inadempiente. Occorre quindi che tutte le aziende predispongano un documento di valutazione dei rischi privacy e un regolamento interno sull'uso della posta e degli altri strumenti elettronici in dotazione ai lavoratori, che ne diano comunicazione ai dipendenti e che lo rispettino.

GDPR Regolamento Europeo sulla Protezione dei Dati

Regolamento Generale sulla Protezione dei Dati (GDPR): la gestione del rischio nell’era digitale

Obbligo d’informativa, diritto all’oblio e la possibilità di distinguersi dai competitor con una certificazione di rispetto della nuova normativa.

 

Il Regolamento europeo in materia di protezione dei dati personali (Gdpr), il regolamento Ue 2016/679 per la protezione delle persone fisiche in merito al trattamento dei dati personali, entrato in vigore il 4 maggio 2016, sarà direttamente applicabile in tutti gli Stati membri a partire dal maggio 2018. Dovrà essere rispettato da tutti gli enti e le imprese operanti nell'Unione Europea, compresi quelli con sede extracomunitaria che gestiscono dati di cittadini europei.

Il Regolamento

Lo sviluppo della tecnologia e di quello che viene chiamato internet of things ha reso necessaria una particolare attenzione sul trattamento dei dati e una sensibilizzazione da parte degli acquirenti. Per avere accesso a qualunque servizio siamo continuamente costretti a cedere informazioni. Le fonti di raccolta dei dati personali andranno moltiplicandosi, come la difficoltà degli utenti nel tenere sotto controllo le informazioni cedute, la correttezza delle profilazioni e dell’archiviazione in caso di contestazioni. Si pone il problema del rispetto del diritto alla privacy degli utenti, ma non solo. Il rischio di violazione dei dati personali tramite attacchi di hacker è stato recentemente messo in evidenza, tra gli altri, dal caso Unicredit. Stando ai dati raccolti dalla Commissione Europea, dal 2016 vengono sferrati 4000 attacchi al giorno, con un aumento del 300% rispetto al 2015. L’80% delle aziende europee dichiarano di essere state colpite da incidenti informatici nel 2016 e l’87% degli europei ritengono che la criminalità cyber sia un rischio considerevole per la sicurezza interna dell’UE. Per questo, l’Unione Europea ha deciso di fare della cyber security e della protezione dei dati una necessità prioritaria. Se n'è discusso al G7 Industria, tenutosi a Venaria nei giorni 25 e 26 settembre. La Dichiarazione dei Ministri del G7 ICT e Industria che punta a Rendere la prossima rivoluzione della produzione inclusiva, aperta e sicura, coniuga innovazione tecnologica, lavoro e diritti in un'ottica di collaborazione internazionale, per portare innovazione tra le imprese della old economy. Sono consultabili anche i tre allegati, riguardanti rispettivamente intelligenza artificiale, cybersecurity e PMI.

Il General Data Protection Regulation (Gdpr) armonizza le normative degli stati membri, allineandole allo sviluppo delle tecnologie digitali e della loro sempre maggiore diffusione. Enti e aziende dovranno adeguarsi alle nuove disposizioni nei prossimi mesi, evitando di incorrere in pesanti sanzioni: si arriva a multe pari al 4% del volume di affari di un'azienda, fino a 20 milioni di euro. Un modo efficace per implementare il regolamento, su cui gli esperti si esprimono positivamente. Sembra, infatti, razionalizzare la questione e spingere verso un approccio sistematico, focalizzato sulla valutazione del rischio e delle conseguenze del trattamento, a partire dalla fase di progettazione degli strumenti informatici.

Area di applicazione

Con il termine dati personali si intende qualunque informazione relativa a un individuo, collegata alla sua vita privata, professionale o pubblica. La materia può riguardare quindi nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi Ip di computer, con un forte orientamento alle nuove tecnologie e ai nuovi sistemi di comunicazione. Il regolamento non disciplina la gestione di dati per attività di sicurezza nazionale o di ordine pubblico.

Obbligo d’informativa

I diritti concessi al titolare dei dati sono molto ampi. L’azienda o la pubblica amministrazione devono informare l’interessato in merito al trattamento, alle finalità, ai destinatari e alle categorie di dati in questione.

L’interessato deve conoscere il periodo di conservazione dei dati o almeno i criteri utilizzati per determinare tale periodo. L’ente è tenuto a informare in merito all'esistenza del diritto di opporsi al trattamento o di chiedere al titolare la rettifica, la cancellazione o la limitazione dello stesso. Si ha infine diritto di reclamo all'Autorità di controllo e, quando i dati personali non sono raccolti presso l'interessato, di ottenere qualsiasi informazione disponibile sull'origine dei dati, oltre all'esistenza di un processo decisionale automatizzato, compresa la profilazione dell'utente a fini commerciali.

Diritto all’oblio

L'interessato ha diritto di ottenere senza «indebito ritardo» la cancellazione dei dati personali che lo riguardano, qualora si presentino le seguenti condizioni:

  • i dati non sono più necessari in rapporto agli scopi per i quali sono stati ceduti o trattati;
  • l'interessato ritira il consenso su cui si fonda il trattamento e non sussiste altro motivo legittimo per trattarei dati;
  • l'interessato si oppone al trattamento dei dati personali;
  • i dati sono stati trattati in maniera illegittima o devono essere cancellati in conformità a una legge dell'UE o di uno Stato membro, alla quale è soggetto il titolare del trattamento.

La certificazione Gdpr

Si stima che entro il 2020 esisteranno 30 miliardi di oggetti connessi, molti dei quali, attraverso la domotica, entreranno nelle nostre case. Il Regolamento prevede la possibilità di ottenere una certificazione di rispetto della nuova normativa e ulteriori possibilità per terzi di verificarne l’adeguamento. Sembra essere questa la strada da seguire oggi, con un mercato in crescita e la necessità di soddisfare utenti sempre più consapevoli dei rischi legati alla cessione di informazioni.

Internet - l'opinione degli europei

Internet, che cosa si aspettano i cittadini europei?

A chi interessa il futuro di internet? Solo a una piccola parte della popolazione, in maggioranza uomini fra i 25 e i 55 anni, laureati e che spesso lavorano nel settore. E’ quanto emerge dall’indagine REIsearch Internet the future Initiative condotta da Atomium – European Institute for Science, Media and Democracy e ripresa dal Sole 24 Ore.

La consultazione online ha coinvolto ben 23 mila persone ottenendo 4 mila risposte; l’obiettivo era legato al coinvolgimento dei cittadini europei sul futuro della rete e dei suoi utilizzi. A rispondere sono stati per meno del 25% donne e meno dell’1% ragazzi sotto i 16 anni, che, anche dal monitoraggio delle conversazioni social sui futuri sviluppi della rete, risultano i meno coinvolti dall’argomento.

PRIVACY E SICUREZZA DEI DATI LE PRIORITA’ PER GLI UTENTI
Neutralità della rete e accesso garantito a tutti, tutela della privacy, sicurezza e protezione dei dati di chi naviga sono le priorità dei cittadini, che attendono risposte dalle strategie digitali dell’Unione Europea e dai singoli stati Membri. La privacy risulta il valore europeo più importante da difendere per l’88% degli intervistati. Proprio a  tutela dei diritti degli utenti, dal prossimo anno, entrerà in vigore il Nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR - General Data Protection Regulation- Regolamento UE 2016/679), predisposto per definire come i dati debbano essere gestiti da aziende ed enti pubblici. Maggiori garanzie per gli utenti, nuovi obblighi per le imprese che dovranno adeguarsi con urgenza per non incorrere in multe salate.

Infografica Internet e privacy - Il Sole 24 Ore
Infografica tratta da Il Sole 24 Ore

La diffidenza verso le grandi corporation che gestiscono i dati è marcata: l’80% degli intervistati sostiene che sarebbe opportuno limitarne il potere per evitare monopoli. Il 70% ritiene inoltre che sarebbe utile che l’Europa investisse maggiormente in fondi di investimento così da realizzare piattaforme open source che riescano a porsi come alternativa ai grandi colossi.

TECNOLOGIE DIGITALI E LAVORO

Solo 1 rispondente su 5 sostiene che le nuove tecnologie potranno migliorare le condizioni di lavoro. Ma gli utenti si attendono i benefici maggiori dalla pubblica amministrazione, così che possa snellire molti dei processi legati ancora oggi a manualità o carta.

Infografica - Internet e lavoro
Infografica tratta da Il Sole 24 Ore

Molta attenzione c'è anche nei confronti delle fake news, notizie create ad arte giusto per raccimolare qualche click. Secondo l'80% dei rispondenti per arginare questa situazione occorre investire sui cittadini, aumentandone il senso critico e le competenze. La regolamentazione nell'ambito dell'informazione, infatti, non è ritenuta la strada più corretta perchè potrebbe essere bollata come censura minando le basi della democrazia e della libertà di parola.

 

 

 

GDPR - Regolamento tutela dati personali

Nuovo Regolamento UE, come cambia la tutela della privacy

Non si parla più solo di protezione dei dati personali, ma anche della loro circolazione

A distanza di 20 anni dalla prima legge italiana sulla privacy, che entrò in vigore l’8 maggio 1997, diventerà applicabile da tutti gli stati membri a partire dal 25 maggio 2018 il nuovo Regolamento Europeo (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) in materia di protezione dei dati personali.

Entrata in vigore il 24 maggio 2016, la normativa, che rientra in quello che è stato comunemente definito il “Pacchetto europeo protezione dati” insieme alla Direttiva UE 2016/680 sullo stesso tema, consentirà alla Commissione europea di adottare atti al fine di rendere operativa la disciplina. Sarà però lasciata ai singoli legislatori nazionali la facoltà di introdurre norme ad hoc che possano rispondere a specifiche esigenze.

Le novità per cittadini e aziende

Il nuovo regolamento introduce importanti novità non solo per i privati cittadini, ma anche per aziende, enti pubblici, associazioni e liberi professionisti. Lo scopo è dare una risposta concreta alle nuove sfide che le innovazioni tecnologiche e i nuovi modelli di crescita economica impongono, dando seguito a un’esigenza sempre più marcata di rispetto della privacy da parte dei cittadini.

Il GDPR mira a tutelare maggiormente i cittadini: detta nuove norme in merito a informative e consensi sul trattamento dei dati, definisce i limiti entro i quali questi possono trattati, stabilisce i criteri per il trasferimento dei dati al di fuori dell’Unione Europea. Vengono riconosciuti il diritto all’oblio (cioè a richiedere la cancellazione dei propri dati), il diritto alla trasferibilità dei dati e ad essere informati in caso di gravi violazioni, le cosiddette “data breach”.

La direttiva si concentra però non solo sui diritti dei cittadini, ma sui doveri e le responsabilità che hanno i Responsabili del trattamento dei dati. Vengono infatti definiti processi, misure tecniche e organizzative, obblighi e sanzioni.

Aziende ed enti pubblici avranno quindi nuove maggiori responsabilità, che, qualora non dovessero essere rispettate, faranno scattare un sistema sanzionatorio particolarmente aspro, con ammende fino a 20 milioni di euro o fino al 4% del fatturato annuale globale di gruppo per le multinazionali.

La strategia di gestione del rischio

Ecco perché diventa fondamentale adottare una strategia di gestione del rischio relativa al trattamento dei dati personali. Deve ad esempio essere ben evidente da dove provengono i potenziali rischi, di quale tipologia si tratta,  il grado di impatto che possono avere sull’attività e con che frequenza possono presentarsi. La protezione dei dati diventa quindi centrale non solo nelle politiche di compliance di qualsiasi azienda o ente pubblico, ma anche per garantire la continuità del business.

Il Data Protection Officer

A livello organizzativo, il GDPR lascia inalterate le categorie di soggetti che hanno oggi la responsabilità della privacy, ma introduce una nuova figura, il Data Protection Officer, ovvero il Responsabile della protezione dei dati, che dovrà essere presente in tutte le aziende pubbliche e in quelle private laddove il trattamento dei dati personali presenti rischi specifici. Un ruolo di grande responsabilità che dovrà dipendere direttamente dal CEO.

Le aziende che potranno dimostrare di aver adottato tutte le misure richieste dal Regolamento per la protezione dei dati personali potranno ottener dall’Autorità una riduzione delle sanzioni. Questo è favorito dalla richiesta di tenere un registro delle attività di trattamento e la necessità di svolgere valutazioni di impatto privacy prima di introdurre una nuova applicazione, tecnologia  o processo.