DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni ed aziende private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (tra le altre incombenze, diverrà il suo punto di contatto con l’organizzazione); è stata predisposta una apposita procedura di comunicazione del RPD.

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.

Corso Privacy GDPR

Sono aperte le iscrizioni per il prossimo corso privacy GDPR relativo alla formazione degli addetti (ex incaricati) autorizzati al trattamento dei dati personali.

Si ricorda che la formazione è un obbligo, pre-esistente già nel D.Lgs. 196/03, poi abrogato nel 2012 dal famigerato Governo Monti, ed adesso reintrodotto dalla normativa GDPR; essa (formazione) dovrebbe essere fatta prima dell’inserimento nel ruolo.

I prossimi corsi sono previsti in maggio (due effettuati) e giugno, si terranno presso la nostra aula di formazione, in orario lavorativo oppure al di fuori (il sabato mattina o in tarda serata) per venire incontro alle varie esigenze delle organizzazioni.

Sono già previste due tipologie di “corso di formazione privacy” secondo il regolamento GDPR:

  • per addetti (ex incaricati) al trattamento di dati personali GDPR (2 ore);
  • per responsabili e titolari del trattamento di dati personali GDPR (4 ore).

I relativi corsi partiranno al raggiungimento del numero minimo di partecipanti (6 persone) e saranno organizzati per mansioni compatibili (non metteremo assieme impiegati ed operatori sanitari).

Contattateci per i costi e le date calendarizzate; per le organizzazioni che hanno aderito al servizio di consulenza privacy GDPR, la formazione dei loro incaricati è già prevista e compresa nel costo globale.

A seguito del corso verrà rilasciato attestato di partecipazione, valido a dimostrare formalmente la formazione svolta, ai termini del GDPR; sarà messo a disposizione il materiale utilizzato ed un apposito manuale degli incaricati al trattamento, aggiornato al nuovo regolamento 2016/679 GDPR.

Informiamo altresì che si realizzano corsi di formazione ad-hoc per le organizzazioni che dispongono di una struttura in-house oppure che vogliono organizzare un evento riservato, in tutta la Toscana e nelle regioni limitrofe.

GDO Grande Distribuzione Organizzata e DPO

Domanda: la grande distribuzione organizzata (GDO) deve nominare il Data Protection Officer ?

Occorre valutare se la GDO, il centro commerciale, il supermarket, il discount, outlet village, ecc… :

  • adotta uno o più strumenti di fidelizzazione (es. le carte punti);
  • esegue attività di profilazione degli utenti (es. sito web promozionale, e-commerce, app per cellulari che raccolgono dati personali, ecc…);
  • impiega strumenti di pubblicità comportamentale;
  • dispone di sistemi che realizzano attività di monitoraggio della clientela;
  • ha soci tra i suoi clienti e offre loro servizi finanziari, telefonici ed altro (es. la Coop).

Qualora anche una sola delle condizioni sia presente, dovrà essere nominato il responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).

Ultimamente quasi tutte le realtà della grande distribuzione rilasciano delle fidelity card che consentono di profilare scelte di consumo dei clienti; dalle pregresse esperienze, tali particolari trattamenti di dati personali possono produrre gravi violazioni della privacy, anche a seguito di accadimenti banali; è quindi necessario che l’organizzazione implementi un sistema di protezione adeguato al grado di rischio, che deve essere sempre valutato con una D.P.I.A.

Privacy, l’allarme di Soro

“Le imprese sono troppo deboli nelle difese contro gli hacker”

Intervista ad Antonello Soro, Presidente della Autorità Garante per la Protezione dei Dati Personali italiana (di Francesco Condoluci, Economy, 26 marzo 2018)

… “L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!” … Una nuova regolamentazione europea, in vigore dal prossimo maggio imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.

Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.

Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.


E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.

E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali

Il Garante della Protezione dei Dati Personali italiano ha predisposto una apposita Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali nel proprio sito.

Per tutti coloro che iniziano a chiedersi “di che si tratta”, in buon punto di partenza.