Benvenuto, RGPD

Oggi, 25 maggio 2018, è una data storica.

Dalla mezzanotte ha effetto il nuovo Regolamento Generale sulla Protezione dei Dati Personali, il famoso GDPR … oops RGPD (il Garante Soro ha detto “se vogliamo usare gli acronimi, almeno usiamo quelli italiani”).

Non ci sono stati rinvii, come avevo anticipato, a più riprese, a tutti.

Il “Regolamento” rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto della rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese Internet, ma non solo.

L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati personali; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo affinché la tutela dei dati personali diventi un leitmotiv delle organizzazioni.

Il nuovo Regolamento:

  • impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
  • introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
  • determina un flusso più consapevole e accorto sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
  • obbliga le organizzazioni ad implementare nuove architetture di trattamento sicure e ad effettuare maggiori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breach.

Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a quelle con sede legale fuori dall’UE che trattano dati di cittadini europei; questo nuovo concetto di “extra-territorialità” si basa su di un concetto chiaro: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni Internet che trattano dati di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).

Ieri, all’incontro del Garante con i DPO … oops RPD, ho appreso che sono oltre 10.000 i miei “colleghi” italiani; a tutti loro auguro buon lavoro, sperando che avremo modo di incontrarci e fare rete, come ci è stato richiesto.

Ma sopratutto auguro buon lavoro a tutti i Titolari del Trattamento, ai loro Responsabili ed Incaricati, con l’auspicio che il nuovo Regolamento costituisca, per loro, non un peso aggiuntivo ma una risorsa ed una opportunità di crescita.

Da ultimo, un pensiero non può che andare alla Autorità Garante per la Protezione dei Dati Personali, che tanto ha fatto in questi 20 anni per la tutela dei dati dei cittadini italiani; da domani essa scomparirà, per lasciare il posto alla nuova Autorità di Controllo.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.

Studi medici e DPO

Domanda: uno studio medico deve nominare un DPO?

Aggiornamento
Il Direttore FNOMCeO De Pascale ha chiarito che uno studio medico associato ha l’onere di nominare il D.P.O., qualora sussista “una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi”.

Tale obbligo non sussiste (attualmente) per i singoli medici che lavorano in uno studio medico.

Occorre quindi valutare il tipo di struttura, ma sopratutto le architetture di trattamento dei dati personali ed i relativi flussi informativi.

DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (diventerà il suo punto di contatto con l’organizzazione); verrà predisposta una apposita procedura per l’invio telematico, quindi si consiglia di attenderne l’implementazione.

Corso Privacy GDPR

Sono aperte le iscrizioni per il prossimo corso privacy GDPR relativo alla formazione degli addetti (ex incaricati) autorizzati al trattamento dei dati personali.

Aggiornamento: corso per incaricati, area amministrativa, il giorno 30 maggio, ore 17:00 presso la nostra aula didattica, durata 2 ore; iscritti 12/15 posti disponibili.

Si ricorda che la formazione è un obbligo, pre-esistente già nel D.Lgs. 196/03, poi abrogato nel 2012 dal famigerato Governo Monti, ed adesso reintrodotto dalla normativa GDPR; essa (formazione) dovrebbe essere fatta prima dell’inserimento nel ruolo.

I prossimi corsi sono previsti in maggio e giugno, si terranno presso la nostra aula di formazione, in orario lavorativo oppure oltre (il sabato mattina o in tarda serata) per venire incontro alle varie esigenze delle organizzazioni.

Sono già previste due tipologie di “corso di formazione privacy” secondo il regolamento GDPR:

  • per addetti (ex incaricati) al trattamento di dati personali GDPR (2 ore);
  • per responsabili e titolari del trattamento di dati personali GDPR (4 ore).

I relativi corsi partiranno al raggiungimento del numero minimo di partecipanti (6 persone) e saranno organizzati per mansioni compatibili (non metteremo assieme impiegati ed operatori sanitari).

Contattateci per i costi e le date calendarizzate; per le organizzazioni che hanno aderito al servizio di consulenza privacy GDPR, la formazione dei loro incaricati è già prevista e compresa nel costo globale.

A seguito del corso verrà rilasciato attestato di partecipazione, valido a dimostrare formalmente la formazione svolta, ai termini del GDPR; sarà messo a disposizione il materiale utilizzato ed un apposito manuale degli incaricati al trattamento, aggiornato al nuovo regolamento 2016/679 GDPR.

Informiamo altresì che si realizzano corsi di formazione ad-hoc per le organizzazioni che dispongono di una struttura in-house oppure che vogliono organizzare un evento riservato, in tutta la Toscana e nelle regioni limitrofe.

Workshop “GDPR – Il nuovo volto della privacy”

Stasera, a Torrita di Siena, il seminario di lavoro “Regolamento UE sulla protezione dei dati personali: il nuovo volto della privacy”, organizzato da due studi commerciali del luogo.

Avrò onore ed onere di essere il relatore; parlerò delle novità introdotte dal nuovo GDPR in riferimento al D.Lgs. 196/03, della “nuova” figura del D.P.O. e di quali sono gli adempimenti più importanti (che io ho definito V.I.G.A. – Very Important GDPR Articles).

Data la tarda ora, speriamo che non mi si addormenti la platea.

UPDATE: sala piena, ottimo pubblico e nessuno addormentato.
Ottimo risultato.

Locandina workshop privacy

Istituti di Vigilanza e GDPR

Avevo già accennato, in un articolo recente, che anche gli istituti di vigilanza dovranno nominare il Data Protection Officer.

Ulteriore conferma proviene da un recente workshop organizzato dalle maggiori associazioni di operatori di sicurezza e vigilanza a Roma.

Nel convegno, al quale ha partecipato anche il Garante Italiano, si è evidenziata la grande quantità di dati personali “particolari” trattati dalle aziende di vigilanza privata e si è ribadito l’obbligo di nominare il D.P.O. e di definire il percorso di adeguamento al GDPR.

Vorrei inoltre precisare che anche le aziende di installazione di impianti di sicurezza, qualora abbiano sistemi informatici di controllo e gestione remoti dei sistemi di allarme o videoregistrazione di terzi, sono soggetti alle stesse norme delle agenzie di vigilanza.