GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”.

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Cookie Law e GDPR

Dopo quasi tre anni dalla applicazione della famosa cookie law, il bilancio non è molto positivo.

Quasi tutti si sono abituati a bypassare il banner senza neanche leggere (facendo scroll della pagina o chiudendo con il pulsante).

Addirittura, in alcuni siti che trattano temi relativi alla privacy, vengono usati cookie di terze parti che non appaiono molto “compliant” al tema trattato.

Per non parlare di quei siti che scrivono nel banner “usiamo cookie per renderti felice e per migliorare la tua vita” e poi piazzano cookies di profilazione ed altri sistemi di tracciamento.

Dal 25 maggio, immagino che molte di queste cosette cambieranno …

Responsabili trattamento dati interni

Ho saputo che, anche recentemente, alcuni ospedali italiani hanno proceduto alla nomina, quali Responsabili Interni del Trattamento di Dati Personali, tutti i dirigenti delle varie U.O. ospedaliere.

La nomina del responsabile interno è una consuetudine prevalentemente italiana; spesso ciò è stato fatto per rafforzare, nelle organizzazioni, la consapevolezza della tutela dei dati personali, anche se nella direttiva 95/46/CE e nel Codice Privacy D.lgs 196/2003 non si riscontrano distinguo tra responsabile esterno ed interno.
In Europa, invece, la figura del responsabile è stata quasi sempre riferita ad una figura esterna.

Nel nuovo GDPR, il Responsabile del Trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Articolo 28 GDPR:
 
 ... omissis
 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
 Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
 a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento,anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; ... omissis
 b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
 c) adotti tutte le misure richieste ai sensi dell’articolo 32 (la sicurezza del trattamento);
 h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese
 le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato ... omissis

Appare chiaro che tutto questo dettato si riferisce ad un soggetto esterno; il dirigente della U.O. ospedaliera ha già un contratto di incarico subordinato, non può decidere durata, natura e finalità dei trattamenti, ne decidere in merito alla adozione delle misure di protezione richieste dal GDPR all’articolo 32 (e successivi).

Alla luce di quanto esposto, non appare più praticabile la nomina indiscriminata di responsabili interni, solo perchè ricoprono incarichi dirigenziali; oltretutto:

 articolo 82 GDPR:
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

UPDATE 25/05/2018: il Prof. Pizzetti, oggi al convegno Federprivacy, ha confermato la mia interpretazione; il responsabile del trattamento è essenzialmente un soggetto esterno.

Ruolo DPO

Chi è il Data Protection Officer?
Il Data Protection Officer (di seguito DPO o D.P.O.) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il D.P.O. (nel codice italiano indicato come R.P.D. Responsabile della Protezione dei Dati), figura già presente in alcune legislazioni europee (anche conosciuto come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura che ha un ruolo determinante nel trattamento di dati personali di una organizzazione.

Chi deve nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Quali sono le organizzazioni private che ricadono nelle ultime due indicazioni?
IL Garante ha precisato quali tipologie di organizzazioni private debbono nominare un Data Protection Officer o Responsabile della Protezione dei Dati Personali (ulteriori dettagli qui).

Compiti del DPO
I compiti primari del Data Protection Officer sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
  5. essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
  6. supportare il titolare del trattamento nelle attività susseguenti ad un eventuale data-breach.

Chi può essere nominato DPO?
In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di D.P.O. ; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua.
La organizzazione che procede alla nomina del DPO dovrà allegare alla stessa le risultanze della valutazione di adeguatezza, in base alla quale è stato designato il candidato tra tutti gli altri; si presti quindi molta attenzione a motivare la scelta, in quanto la nomina di una figura inadeguata o in conflitto di interessi potrebbe configurare il reato in eligendo.

La figura DPO esterna
Le organizzazioni di dimensioni limitate o che non hanno figure da investire dell’incarico di DPO-RPD possono nominare una figura esterna, che abbia i requisiti indicati, di rivestire il ruolo di DPO. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari. Occorre fare attenzione a che non sussistano conflitti di interessi (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali ed amministrativi già incaricati).

Autonomia del DPO
Il regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

La nomina del DPO rileva il board aziendale dalle responsabilità GDPR?
No, la figura del DPO è intesa come “facilitatore  e controllore” delle procedure e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le responsabilità.

Il DPO deve essere formalmente nominato?
La risposta è affermativa; nell’ipotesi di incarico ad un team o una società, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente opererà come RPD, riportandone espressamente le generalità. E’ poi necessario che nell’atto di designazione o nel contratto di servizi risultino indicate le motivazioni che hanno indotto il management a scegliere quel soggetto per svolgere la funzione di RPD. La nomina dovrà essere comunicata al Garante, indicata sulle informative e sul sito web aziendale.

Per le organizzazioni seriamente motivate a dotarsi di un framework di protezione dei dati personali conforme al GDPR, ho la competenza e l’esperienza necessarie ad assumere l’incarico ed il ruolo di DPO in Toscana e in tutto il centro-Italia.
Arezzo Firenze Grosseto Lucca Livorno Massa Carrara Pistoia Prato Siena Pisa Città di Castello Perugia Gubbio Foligno Fabriano Assisi Orvieto bibbiena poppi sansepolcro san giustino torrita di siena città di castello monte san savino rapolano terme sinalunga foiano cortona camucia montevarchi levane bucine figline incisa valdarno radda greve panzano in chianti