Barzelletta sul DPO

Prendendo spunto da alcune organizzazioni pubbliche, che hanno nominato quale D.P.O. il loro responsabile dei servizi informatici, una barzelletta sul D.P.O.

Piacere, sono il sig. Verdi, responsabile dei servizi informatici. Piacere mio, sono sempre il sig. Verdi, Responsabile della Protezione dei Dati.

Il Sig. Verdi (nella sua veste di DPO) chiede allo stesso Sig. Verdi (nella sua veste di Responsabile IT) che cosa mi dice del trattamento dei dati personali di questa organizzazione?

Sig. Verdi, cosa vuole che dica? L'abbiamo progettato, realizzato, testato e certificato noi, quindi TUTTO PERFETTO!

P.S. ovviamente il Sig. Verdi è un nome comunissimo che ho utilizzato nel racconto di fantasia; ogni riferimento a fatti e persone è puramente fortuito e non voluto.

Invece non è fantasia il fatto che il Garante tedesco ha già sazionato, nel passato, una assegnazione simile, in pieno conflitto di interessi.

Benvenuto, RGPD

Oggi, 25 maggio 2018, è una data storica.

Dalla mezzanotte ha effetto il nuovo Regolamento Generale sulla Protezione dei Dati Personali, il famoso GDPR … oops RGPD (il Garante Soro ha detto “se vogliamo usare gli acronimi, almeno usiamo quelli italiani”).

Non ci sono stati rinvii, come avevo anticipato, a più riprese, a tutti.

Il “Regolamento” rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto della rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese Internet, ma non solo.

L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati personali; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo affinché la tutela dei dati personali diventi un leitmotiv delle organizzazioni.

Il nuovo Regolamento:

  • impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
  • introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
  • determina un flusso più consapevole e accorto sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
  • obbliga le organizzazioni ad implementare nuove architetture di trattamento sicure e ad effettuare maggiori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breach.

Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a quelle con sede legale fuori dall’UE che trattano dati di cittadini europei; questo nuovo concetto di “extra-territorialità” si basa su di un concetto chiaro: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni Internet che trattano dati di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).

Ieri, all’incontro del Garante con i DPO … oops RPD, ho appreso che sono oltre 10.000 i miei “colleghi” italiani; a tutti loro auguro buon lavoro, sperando che avremo modo di incontrarci e fare rete, come ci è stato richiesto.

Ma sopratutto auguro buon lavoro a tutti i Titolari del Trattamento, ai loro Responsabili ed Incaricati, con l’auspicio che il nuovo Regolamento costituisca, per loro, non un peso aggiuntivo ma una risorsa ed una opportunità di crescita.

Da ultimo, un pensiero non può che andare alla Autorità Garante per la Protezione dei Dati Personali, che tanto ha fatto in questi 20 anni per la tutela dei dati dei cittadini italiani; da domani essa scomparirà, per lasciare il posto alla nuova Autorità di Controllo.

Comunicazione del DPO-RPD al Garante

Segnalo, a coloro che ne hanno l’obbligo, che il Garante ha predisposto la procedura on-line per segnalare la nomina ed i riferimenti dei DPO incaricati dalle varie organizzazioni.

Consiglio di comunicare, nei dati di contatto del DPO, un indirizzo pec invece della “normale” posta elettronica.

Aggiornamento: la procedura richiede (verificato oggi 19 maggio da un cliente) anche l’indirizzo e-mail classico.

La procedura è composta da due fasi; la prima riguarda l’inserimento dei dati del Titolare del trattamento e del DPO nominato; in seguito, il Titolare riceverà una e-mail con un allegato xml, da firmare digitalmente e restituire al Garante.

Aggiornamento 2: dopo un paio di giorni, il Garante invia la notifica della avvenuta designazione, al D.P.O. tramite posta elettronica.

Alle aziende che mi hanno nominato, ho già inviato tutti i miei dati di contatto da inserire nella procedura telematica.