Toscana, necessari almeno 500 ruoli DPO

Secondo una ricerca effettuata da toscana24 del quotidiano economico Sole24Ore, necessiterebbero almeno 500 posizioni di DPO nelle aziende pubbliche e loro partecipate della Regione Toscana.

Nel frattempo, la confusione regna sovrana.

Update: infine i DPO sono saltati fuori; nelle scuole i professori, negli ospedali i  medici, negli enti pubblici i responsabili dei servizi I.T. oppure i dirigenti, mentre in alcune aziende i titolari stessi.

DPO e CIO ruoli incompatibili

In Germania il ruolo di DPO esiste da anni; il loro Federal Data Protection Act impone, da anni, alle aziende tedesche che hanno almeno 10 persone coinvolte nel trattamento automatizzato di dati personali la nomina del Data Protection Officer.

Recentemente il Garante per la Protezione dei Dati tedesco ha multato una società che aveva designato il proprio Chief Information Officer come Data Protection Officer, e questo nonostante la normativa consenta la possibilità di nominare sia un dipendente che un professionista esterno.

Si tratta, nello specifico caso, della più palese forma di conflitto di interessi, in quanto uno dei compiti del D.P.O. è quello di verificare che i trattamenti realizzati nei sistemi informatici (quindi decisi dal C.I.O.) siano rispondenti alle norme.

 

GDPR e software house

Il nuovo codice Europeo sulla Protezione dei Dati Personali impatta in modo rilevante sulle organizzazioni che producono software (software house).

In primo luogo, perché dovranno garantire che il software da loro prodotto (o commercializzato) sia compliant ai dettami del GDPR.

I più rilevanti sono quelli derivanti dall’articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita:

  1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
  3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Quindi il nuovo approccio dettato dal GDPR è basato non più prevalentemente sulla persona ma sulla protezione del dato personale in sé.

Cosa significa Privacy by Design?
Il concetto indica che, in ogni sistema di trattamento, occorre prevenire (prima) invece che intervenire (poi); significa progettare un sistema (ambiente software, servizio SAAS, Cloud Platform, …) che metta alla base delle proprie funzioni la protezione dei dati.
La maggior parte degli incidenti di data security, nel GDPR definiti con il termine poco calzante di Data Breach, derivano da ambienti e sistemi software con bug o vulnerabilità, oppure mal progettati e/o mal configurati.

Cosa significa Privacy by Default?
Il concetto di Privacy by Default determina che per impostazione predefinita i sistemi di trattamento devono trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati personali; nel definire il periodo strettamente necessario, occorre quindi anche considerare il nuovo diritto all’oblio.

Scuola, insufficienza in sicurezza

Stavolta tocca alla SCUOLA prendersi un bel 4 in sicurezza informatica.

Pare che i soliti anonimi abbiano violato alcuni server di agenzie correlate al MIUR.

Copione già visto lo scorso anno in occasione dell’attacco hacker a Unicredit.

Eppure, mi ricordo che AgID, nella circolare 18 aprile 2017, n. 2/2017 dal titolo: “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, da attuarsi tassativamente entro il 31 dicembre 2017

Come sempre, la resistenza della intera catena dipende dall’anello più debole.

Dal 25 Maggio un evento del genere si chiamerà Data Breach.

GDPR ed associazioni di volontariato

“Ma le organizzazioni No-Profit, devono mettersi in regola con il nuovo regolamento sulla protezione dei dati personali?”

Il GDPR vale per ogni organizzazione che tratti dati personali, e non sono attualmente previste esenzioni o semplificazioni, neanche per le attività di volontariato senza scopo di lucro.

Dobbiamo tener conto che tali attività trattano molti dati personali, perlopiù di levatura sensibile o particolare, come vengono adesso definiti (i dati sanitari, ma spessissimo anche altro).

Inoltre, tali organizzazioni hanno spesso convenzioni con USL, enti ed amministrazioni pubbliche, le quali dovranno obbligatoriamente richiedere il rispetto della normativa GDPR nel trattamento dei dati personali a loro affidati.

Ritengo che il percorso di adeguamento di una piccola organizzazione no-profit sia possibile (oltre che doveroso), anche con investimenti contenuti; il cambiamento rilevante dovrà essere principalmente organizzativo e di consapevolezza. Talvolta basta eliminare i trattamenti in eccesso o cambiare le modalità di trattamento, per risolvere una non conformità.

La base di partenza sarà comunque la consapevolezza e la responsabilizzazione; esse si fondano sulla conoscenza, quindi da una buona formazione, e dalla definizione e gestione delle opportune misure organizzative.

UPDATE: sono giunte moltissime richieste di chiarificazione in merito a questo post; ciò dimostra il grande interesse delle varie organizzazioni per l’adeguamento.

Cercherò di rispondere a tutti, qualora il quesito posto possa essere argomentato con una risposta e-mail.

 

Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.