GDPR ed associazioni di volontariato

“Ma le organizzazioni No-Profit, devono mettersi in regola con il nuovo regolamento sulla protezione dei dati personali?”

Il GDPR vale per ogni organizzazione che tratti dati personali, e non sono attualmente previste esenzioni o semplificazioni, neanche per le attività di volontariato senza scopo di lucro.

Dobbiamo tener conto che tali attività trattano molti dati personali, perlopiù di levatura sensibile o particolare, come vengono adesso definiti (i dati sanitari, ma spessissimo anche altro).

Inoltre, tali organizzazioni hanno spesso convenzioni con USL, enti ed amministrazioni pubbliche, le quali dovranno obbligatoriamente richiedere il rispetto della normativa GDPR nel trattamento dei dati personali a loro affidati.

Ritengo che il percorso di adeguamento di una piccola organizzazione no-profit sia possibile (oltre che doveroso), anche con investimenti contenuti; il cambiamento rilevante dovrà essere principalmente organizzativo e di consapevolezza. Talvolta basta eliminare i trattamenti in eccesso o cambiare le modalità di trattamento, per risolvere una non conformità.

La base di partenza sarà comunque la consapevolezza e la responsabilizzazione; esse si fondano sulla conoscenza, quindi da una buona formazione, e dalla definizione e gestione delle opportune misure organizzative.

UPDATE: sono giunte moltissime richieste di chiarificazione in merito a questo post; ciò dimostra il grande interesse delle varie organizzazioni per l’adeguamento.

Cercherò di rispondere a tutti, qualora il quesito posto possa essere argomentato con una risposta e-mail.

 

Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.

Adempimenti Privacy GDPR

Regolamento Generale UE 2016/679

Tabella dei principali adempimenti a carico del Titolare del Trattamento

Principio alla base del trattamento:
I dati personali saranno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità sono legittime, determinate ed esplicite; i dati personali sono sempre: adeguati, pertinenti, esatti ed aggiornati, limitati a quanto necessario rispetto alle finalità, e da trattare sempre in modo da garantirne un adeguato livello di sicurezza.

Informativa agli interessati:
Ogni Titolare deve fornire una informativa ai soggetti interessati, prima di acquisire i loro dati personali; è possibile fornire preliminarmente una informativa “veloce” e successivamente quella completa; l’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale; es. il titolare deve indicare il periodo di conservazione dei dati personali, ed il perché. Inoltre, il linguaggio deve essere semplice e chiaro, alla portata anche dei soggetti minorenni. Nell’informativa, trasparente ed accessibile, sono predisposti i riferimenti per agevolare l’esercizio dei diritti degli interessati.

Il consenso degli interessati:
Occorre dapprima valutare i casi nei quali, per eseguire un trattamento è richiesto il preliminare consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso è separata, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro e le icone standard appositamente previste; quando è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato realmente prestato. Per i minori di 16 anni il consenso è prestato dal genitore.

Divieto di trattamento di dati particolarmente sensibili:
Vige il divieto generale a trattare dati sensibili particolarmente rilevanti, dati genetici e biometrici senza il parere del Garante; esistono specifiche eccezioni al divieto che il Garante ha previsto e prevederà in futuro, per la tutela della sicurezza e della vita degli interessati.

Obbligo di formazione dei soggetti che trattano dati personali:
Il Titolare del Trattamento deve preliminarmente istruire tutti coloro che saranno autorizzati a trattare i dati personali (ex. incaricati al trattamento); il livello di formazione deve essere verificato e verificabile.

Contitolarità, Responsabili Esterni e Rappresentante del Titolare extra-UE:
Occorre verificare se siano presenti situazioni di contitolarità dei trattamenti di dati personali; nel caso vengano affidati trattamenti a soggetti terzi esterni dovranno essere formalizzati gli incarichi, quale Responsabile Esterno o Titolare Esterno (in base al tipo di rapporto contrattuale). Inoltre, se l’azienda ha sede extra-UE dovrà nominare un rappresentante, stabilito nella Unione Europea.

Adozione del Registro delle Attività di Trattamento:
Adempimento obbligatorio per Titolari con almeno 250 incaricati al trattamento, ma fortemente consigliato per tutti; è il successore del vecchio DPS, anche se è un documento abbastanza diverso.

Nomina del D.P.O. – R.P.D.
Gli enti pubblici ed alcuni Titolari che trattano dati particolarmente sensibili dovranno nominare la figura del Data Protection Officer – Responsabile protezione dei Dati personali, della quale abbiamo già parlato. Potranno essere incaricati dipendenti o seggetti esterni che non abbiano conflitti di interessi. Il ruolo richiede una appropriata formazione e competenze multidisciplinari verificate prima della nomina.

Redazione D.P.I.A. e consultazione Garante:
I Titolari che hanno (o iniziano) trattamenti di dati personali particolarmente rischiosi per i diritti e le libertà delle persone, devono effettuare il DPIA – Data Protection Impact Assessment; quando tale valutazione restituisce un indice di rischio elevato, prima di effettuare il trattamento occorre ottenere il consenso della Autorità di Controllo.

Cautele per il trasferimento di dati in paesi extra-UE:
Il trasferimento di dati personali verso soggetti extra-UE deve essere effettuato nel rispetto di specifiche condizioni, affinché non sia pregiudicato il livello di protezione dei dati personali garantito dal GDPR.

Misure di sicurezza necessarie:
Il titolare del trattamento deve decidere in autonomia ed adottare misure logiche, tecniche e organizzative adeguate al fine di garantire la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le misure di sicurezza ed i sistemi di protezione/controllo debbono essere dimostrabili e periodicamente testate, revisionate ed aggiornate.

Privacy by design/default:
Tenendo conto delle caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, prima del trattamento il titolare adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati come impostazione predefinita; inoltre dovrà garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento e per il tempo minimo occorrente.

Obbligo di risarcimento del danno:
Il titolare è obbligato a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento alle persone, con sanzioni sino a 20 milioni di euro o al 4% del fatturato, ove superiore; il Titolare è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Obbligo di cooperazione con l’autorità di controllo:
Il titolare è obbligato a cooperare con l’autorità di controllo, ove gliene venga fatta richiesta.

Notificazione del Data-Breach:
Ove si verifichi una violazione dei dati personali (data-breach), il Titolare è tenuto a comunicarlo al Garante entro 72 ore dal momento che ne ha avuto conoscenza.

Comunicazione della violazione dei dati personali agli interessati:
Quando la violazione della sicurezza dei dati presenta un elevato grado di rischio per i diritti e le libertà delle persone fisiche, il titolare deve darne comunicazione all’interessato senza ingiustificato ritardo; il GDPR indica i requisiti della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro.

Adempimenti privacy GDPR Toscana Arezzo Siena Grosseto Livorno Firenze Massa Carrara Pisa Pistoia Prato Lucca

Casella e-mail e cancellazione per inutilizzo

Ho ricevuto una richiesta di approfondimento, in merito ad un servizio di e-mail gratuito.

La persona lamenta il fatto che, non usando il suo indirizzo di posta elettronica personale (della tipologia nome.cognome@dominio.it) per alcuni mesi, si è trovato con la casella non funzionante.

Ha cercato maggiori informazioni tra le varie guide sul sito (che probabilmente nessuno legge prima di attivare il servizio); ha scoperto che la casella e-mail non utilizzata per due mesi viene rimossa e l’indirizzo ritorna disponibile a chiunque lo registri.

A parte le facili considerazioni pratiche, una mia riflessione: un’indirizzo e-mail, specialmente se registrato da un privato con la classica configurazione nome.cognome@dominio costituisce a tutti gli effetti un dato personale.

Che il fornitore si arroghi il diritto di cancellare (automaticamente) la casella con tutti i contenuti e di renderla nuovamente disponibile a terzi per la registrazione non pare molto compliant al regolamento sulla protezione dei dati personali.

Magari qualcuno vorrà interrogare il Garante per la Protezione dei Dati Personali ?

FaceBook e la privacy dei cittadini europei

Non è decisamente un buon momento per FaceBook, specialmente in Europa; gia in passato la società di Menlo Park ha avuto contenziosi con alcuni Stati (es. Francia), oltre a multe comminate dalla commissione antitrust europea

Il periodo di transizione al GDPR è iniziato nel peggiore dei modi; in Belgio una sentenza del tribunale ha intimato a FaceBook di cessare la raccolta dei dati eseguita senza aver correttamente informato gli utenti; l’accusa sostiene che Facebook è in grado di raccogliere i dati di navigazione anche quando un utente visita un altro sito, a patto che sia comunque loggato sul social; ciò consentirebbe a Facebook di ottenere una profilazione dell’individuo molto dettagliata e interessantissima per gli inserzionisti pubblicitari.

In Germania un tribunale di Berlino ha intimato a Facebook di accettare iscrizioni di utenti che vorranno usare uno pseudonimo.

Adesso uno studio della università spagnola Carlos III di Madrid ha evidenziato come FaceBook abbia raccolto e detenga informazioni sensibili sui propri utenti.

Chiunque ha intenzione di registrarsi in un social network deve essere consapevole che i suoi dati personali costituiscono il valore sul quale il social network si basa; inoltre la recente frontiera della profilazione utente costituisce il nuovo eldorado di internet e nessuno potrà mai bloccarlo.

FaceBook da un lato informa che si adeguerà al nuovo GDPR mentre dall’altro ricorre con i suoi avvocati contro la sentenza tedesca. Staremo a vedere cosa accadrà dopo il 25 maggio.

ItaSec18

In questi giorni si svolge un importante evento sulla CyberSecurity, ITASEC18, organizzato da CINI e Politecnico di Milano, insieme al Sistema di informazione per la sicurezza della Repubblica e AssoLombarda, in pratica gli “stati generali” della cybersecurity italiana.

Durante i quattro giorni di lavori, è stato presentato il libro bianco  “Il Futuro della Cybersecurity in Italia” curato da Roberto Baldoni, Rocco De Nicola, Paolo Prinetto; lo scenario, non solo nazionale, per la sicurezza informatica e le linee di intervento, in sintonia con la recente evoluzione della normativa italiana e in sintonia con l’applicazione delle prossime normative europee.

Speriamo che coloro che hanno/avranno compiti istituzionali almeno lo leggano.

Alcuni temi di rilievo sul tavolo:

  • metà delle aziende italiane danneggiate da attacchi;
  • mancanza di talenti nella CyberSec (quelli che ci sono se ne vanno all’estero);
  • il data-breach della piattaforma Rousseau;
  • ethical hacking: white hat vs black hat;
  • serve un piano straordinario sulla cybersecurity;
  • le minacce del prossimo futuro: Botnet, APT e RaaS.

Alcuni interventi:

Affidare esclusivamente all’acquisto di una tecnologia in ottica difensiva la sicurezza informatica di un’azienda è l’errore cui più di frequente si assiste. In presenza di attacchi sempre più human-like limitarsi a questo comporta solo una perdita di denaro.

Uno stato sovrano deve avere controllo totale di alcune tecnologie chiave. Dunque va deciso quali debbano essere sviluppate a livello nazionale e quali invece reperite su mercato estero.