Blog

Privacy Countdown

Posted by:

Privacy Countdown

Al via il Regolamento UE 679/2016

Dadomani mancheranno 100 giorni al 25 maggio, data entro la quale dovrà essere applicata la  disciplina UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati, quello che fino ad oggi è stato assicurato dalla legge 196/2003. Il Regolamento UE 679/2016 in materia di privacy e data protection (di seguito GDPR), non è un mero aggiornamento della disciplina “Privacy”. Trova piena applicazione per l’intera PA e quindi ASL, ospedali e strutture socio-sanitarie. Impatta fortemente sull’intero assetto organizzativo interno, introducendo un nuovo modo di pensare e gestire il trattamento dei dati.

Il Regolamento (GDPR) richiede di effettuare una analisi del rischio al fine di implementare un sistema di gestione dei dati ed essere in grado di dimostrare l’efficacia delle scelte fatte  (il cosiddetto principio del “accountability”). Sancisce il coinvolgimento di competenze trasversali, di tipo legale, di sistema ed informatiche. Il bilanciamento degli interessi deve tener conto di economia, sicurezza e tecnologia.

Per ottemperare al principio di “protezione dei dati fin dalla fase di progettazione” (Privacy by design) (art. 35, par. 2) se l’erogazione del servizio incide fortemente sulla tutela dei dati, va effettuata una valutazione di impatto (DPIA, Data Protection Impact Assessment) che mira ad effettuare un bilanciamento tra benefici raggiungibili e rischio al quale sono esposti i dati stessi. Il titolare si consulta col “Data Protection Officer” – RPD/DPO, quando svolge una DPIA. Il RPD/DPO (art.39 par.1, lettera c) “fornisce, se richiesto un parere in merito alla valutazione di impatto sulla protezione dei dati e ne sorveglia lo svolgimento”. Il parere comprende il condurre o meno una DPIA, la metodologia, le risorse, le salvaguardie (tecniche e organizzative), la correttezza, le conclusioni raggiunte (in conformità col GDPR).

Le figure del nuovo sistema privacy.

Titolare del trattamento. Entità giuridica (impresa/ente) che decide motivo, finalità e quali dati raccogliere, secondo il “Principio di responsabilizzazione”: adozione di comportamenti proattivi, tali da dimostrare la concreta attuazione di misure documentate, in grado di assicurare l’applicazione del GDPR (e quindi dei diritti dell’interessato).
Responsabile del trattamento. Colui che fisicamente elabora e gestisce le informative previste dal titolare.
Responsabili di secondo livello. Figure coinvolte dal Responsabile del trattamento per svolgere alcuni compiti particolari.
RPD-DPO. Il GDPR ha introdotto (obbligatoriamente, per determinate attività) la figura di Responsabile della Protezione dei dati – RPD o  Data Protection Officer – DPO nei seguenti casi: autorità e organismi pubblici, monitoraggio regolare e sistematico, su larga scala, di dati sensibili e giudiziari. La funzione DPO può essere esercitata internamente all’azienda, oppure  esternalizzata (contratto di servizi).

Anche negli altri casi, in cui non sussiste obbligo, può risultare utile la designazione di un RPD-DPO su base volontaria. Il Gruppo di lavoro  “Articolo 29”- WP 29 incoraggia tale approccio.

L’informativa (artt. 13 e 14) deve essere fornita all’interessato, prima della raccolta dei dati. Il regolamento ne specifica molto più in dettaglio, rispetto al Codice, le caratteristiche: deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice e, per i minori, è necessario prevedere annotazioni specifiche (anche considerando l’art.58). Se i dati non sono raccolti presso l’interessato, l’informativa deve essere fornita entro un mese (al massimo) dal momento della comunicazione dei dati (allo stesso interessato od a terzi), per iscritto, preferibilmente in formato elettronico. E’ ammesso l’uso di Icone (app), ma solo in combinazione con l’informativa stessa. Può essere anche fornita oralmente, su richiesta dell’interessato. I contenuti devono comprendere l’idoneità alla raccolta del titolare ed i dati di contatto del DPO (mail, ufficio, telefono, indirizzo), la finalità e la base giuridica del processo.

Il consenso, raccolto precedentemente al 25 maggio 2018, resta valido se ha tutte le caratteristiche  individuate. In caso contrario, risulta opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati, secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

Diritti degli interessati (artt. 11 e 12): periodo e criteri per la conservazione dei dati, con l’indicazione della facoltà di presentare un reclamo all’autorità di controllo; accesso (art.15); limitazione e oblio (art.15); cancellazione (art.19); portabilità (art.20).

Il Garante mette a disposizione (sul sito, vedi link)  la Guida al GDPR.

BIBLIOWEB:

Sito Gazzetta Europea
http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC
Sito Garante Privacy  http://www.garanteprivacy.it/web/guest/home
Linee guida del Garante http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1772725
Guida al regolamento UE  http://www.garanteprivacy.it/regolamentoue
Le nuove FAQ del Garante sul DPO/RPD 28 12 2017 http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7388193
Icona specifica per i sistemi di videosorveglianza
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680
Prescrizioni analoghe rispetto all’utilizzo associato di sistemi biometrici e di videosorveglianza
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1246675
Sforzo sproporzionato http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624
In tema di esonero dagli obblighi di informativa
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3864423
FSE : chiedilo al sito  http://newmicro.altervista.org/?p=3350
“Istruzioni tecniche” del FSE  http://newmicro.altervista.org/?p=3269
Privacy e lavoro il nuovo vademecum  http://amicimedlab.altervista.org/?p=6844
La consultazione del Garante http://amicimedlab.altervista.org/?p=6927

  “La Lunga Marcia della Privacy” – G. Casiraghi, 14 Febbraio 2018 (Ppt-FlipBook)

Un Click per Leggere

 Guida all’applicazione del regolamento Europeo e Linee guida sui responsabili della protezione dei dati  (PDF)

Un Click per Leggere



Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni