Benvenuto, RGPD

Oggi, 25 maggio 2018, è una data storica.

Dalla mezzanotte ha effetto il nuovo Regolamento Generale sulla Protezione dei Dati Personali, il famoso GDPR … oops RGPD (il Garante Soro ha detto “se vogliamo usare gli acronimi, almeno usiamo quelli italiani”).

Non ci sono stati rinvii, come avevo anticipato, a più riprese, a tutti.

Il “Regolamento” rappresenta un traguardo importante per la tutela della dignità dei cittadini europei, nel contesto della rapida evoluzione tecnologica che pone il dato personale al centro del business delle grandi imprese Internet, ma non solo.

L’obiettivo che il Regolamento si pone è principalmente quello di incrementare le tutele ai diritti fondamentali dei cittadini europei, creando regole uniformi tra i Paesi membri. Si tratta di un cambio di passo fondamentale, che richiede necessariamente una nuova gestione proattiva della sicurezza dei dati (non più reattiva come in precedenza), permeando tutti processi aziendali che trattano dati personali; tra le righe del nuovo testo traspare l’auspicio del legislatore europeo affinché la tutela dei dati personali diventi un leitmotiv delle organizzazioni.

Il nuovo Regolamento:

  • impone alle organizzazioni una raccolta e un utilizzo più trasparente dei dati personali, allineato alla normativa fin dalla progettazione (Data Protection by Design-Default);
  • introduce regole più chiare in merito alla informativa da fornire ed al consenso da ottenere, stabilendo precisi limiti al trattamento automatico dei dati;
  • determina un flusso più consapevole e accorto sulla gestione e conservazione dei dati, regolando rigorosamente anche il trasferimento e l’interscambio con paesi extra-UE;
  • obbliga le organizzazioni ad implementare nuove architetture di trattamento sicure e ad effettuare maggiori e frequenti controlli nell’ottica di prevenire eventuali violazioni e data-breach.

Il Regolamento si applica a tutte le organizzazioni con sede in Europa, ma anche a quelle con sede legale fuori dall’UE che trattano dati di cittadini europei; questo nuovo concetto di “extra-territorialità” si basa su di un concetto chiaro: i dati personali dei soggetti europei non possono essere trattati con regole diverse in base alla localizzazione geografica delle organizzazioni che li trattano; in questo senso, il GDPR avrà forte rilevanza sulle grandi organizzazioni Internet che trattano dati di milioni di persone (come per esempio fanno Amazon, Google, FaceBook, Apple, Microsoft, eBay ed altri).

Ieri, all’incontro del Garante con i DPO … oops RPD, ho appreso che sono oltre 10.000 i miei “colleghi” italiani; a tutti loro auguro buon lavoro, sperando che avremo modo di incontrarci e fare rete, come ci è stato richiesto.

Ma sopratutto auguro buon lavoro a tutti i Titolari del Trattamento, ai loro Responsabili ed Incaricati, con l’auspicio che il nuovo Regolamento costituisca, per loro, non un peso aggiuntivo ma una risorsa ed una opportunità di crescita.

Da ultimo, un pensiero non può che andare alla Autorità Garante per la Protezione dei Dati Personali, che tanto ha fatto in questi 20 anni per la tutela dei dati dei cittadini italiani; da domani essa scomparirà, per lasciare il posto alla nuova Autorità di Controllo.

Workshop “GDPR – Il nuovo volto della privacy”

Stasera, a Torrita di Siena, il seminario di lavoro “Regolamento UE sulla protezione dei dati personali: il nuovo volto della privacy”, organizzato da due studi commerciali del luogo.

Avrò onore ed onere di essere il relatore; parlerò delle novità introdotte dal nuovo GDPR in riferimento al D.Lgs. 196/03, della “nuova” figura del D.P.O. e di quali sono gli adempimenti più importanti (che io ho definito V.I.G.A. – Very Important GDPR Articles).

Data la tarda ora, speriamo che non mi si addormenti la platea.

UPDATE: sala piena, ottimo pubblico e nessuno addormentato.
Ottimo risultato.

Locandina workshop privacy

Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.

Il registro delle attività di trattamento

Il nuovo regolamento sulla protezione dei dati personali prevede che ogni titolare di trattamento che abbia oltre 250 dipendenti, debba tenere un registro delle attività di trattamento.
Ritengo che tale strumento possa costituire un valido aiuto anche per quelle realtà che ne sarebbero esonerate.
Il registro delle attività di trattamento costituisce il riferimento primario per tutte le attività di valutazione, auditing, supervisione, valutazione del rischio del titolare del trattamento e non da ultimo le attività ispettive e di controllo delle autorità incaricate.
Le moderne organizzazioni trattano molti dati personali, in diversi luoghi e con molti stumenti; inoltre intrattengono dei flussi informativi con altri titolari di trattamento.
Un registro che indichi chiaramente dove sono i dati, quali sono le finalità, come vengono trattati, da chi, quali sono i flussi, per quanto tempo verranno conservati e le misure di sicurezza applicate è uno strumento fondamentale, specialmente in caso di eventuali problemi.

Che sia realizzato con strumenti self-made (es. foglio di calcolo) oppure aquistando un applicativo ad-hoc, rimane lo strumento principale nelle mani del titolare del trattamento per capire i processi di trattamento dei dati personali, in essere presso le proprie strutture.

Accountability nel GDPR

Il nuovo regolamento europeo 679/2016 modifica radicalmente l’approccio finora adottato, introducendo il concetto di accountability (tradotto come responsabilizzazione, ma che significa “dover rendere conto del proprio operato”).

Con la regolamentazione attuale e precedenti, l’approccio alla sicurezza era di tipo “reattivo“; si determinavano misure di sicurezza, spesso minime, e si reagiva quando esse non erano sufficienti.

L’esperienza ha dimostrato l’inadeguatezza di questo schema; adesso viene richiesto a titolari e responsabili un approccio proattivo, con comportamenti che prevengano (e/o riducano) in modo effettivo il possibile evento dannoso.

Infatti, con un parere del Gruppo di Lavoro Articolo 29, si è specificato che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy.”

Quindi non più misure minime di sicurezza, ma l’introduzione e l’applicazione di un sistema di misure (giuridiche, organizzative, di sicurezza, …) definite dal titolare come adeguate e rispondenti alle norme del nuovo codice di protezione.

Senza dimenticare la responsabilizzazione e la formazione dei responsabili e degli incaricati al trattamento dei dati personali.

La nuova figura del DPO nel GDPR

Mancano pochi mesi alla entrata in vigore della nuova regolamentazione europea in materia di protezione dei dati personali.
Una delle novità introdotte dal codice è la figura del Data Protection Officer (D.P.O.) oppure Responsabile Protezione Dati (R.P.D.); tale ruolo sarà obbligatorio nelle maggioranza delle organizzazioni pubbliche.
Molti non hanno ben chiaro quali siano le caratteristiche di tale figura;  sicuramente dovrà avere competenze multidisciplinari, relative a conoscenza giuridiche, dei processi informativi, amministrativi e gestionali della propria organizzazione, ma anche concetti di sicurezza informatica e dei rischi derivanti.
Alcuni credono che il superamento di un processo di certificazione abiliti allo svolgimento del ruolo.
Purtroppo per loro, il Garante per la Protezione dei Dati personali italiano ha ribadito come, allo stato attuale, non esista alcun schema di certificazione che abiliti al ruolo di D.P.O.
Come indicato dal nuovo codice:
“il responsabile della protezione dei dati è designato in funzione delle qualità professionali,in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (Compiti del responsabile della protezione dei dati).
Il D.P.O. è un soggetto con un ruolo misto di consulenza e controllo: deve verificare l’applicazione del G.D.P.R., supportare, informare e consigliare la sua organizzazione, fungere da punto di contatto per le Autorità di controllo e gli interessati; in taluni contesti complessi, il ruolo di D.P.O. potrà essere ricoperto da un pool di persone che assommano tutte le competenze necessarie al ruolo.
La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di controllo priva di responsabilità esecutive, che esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali. Come precisato dal Gruppo dei Garanti europei, il Responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR: “Data protection compliance is a corporate responsibility of the data controller, not of DPO”.