Elaborazione di sistemi privacy

Elaborare un “Sistema Privacy” diventa l’occasione per tracciare i flussi informativi aziendali, intervenendo nei riguardi di eventuali criticità e/o lacune identificate.

Di seguito vengono brevemente descritte le principali disposizioni che il Regolamento UE 679/2016 introduce e/o modifica rispetto a quanto indicato dal D. Lgs. 196/03. In buona sostanza viene introdotto un approccio basato sull’analisi del rischio e sulle misure di “accountability” (responsabilizzazione) di titolari e responsabili.

Le novità introdotte possono essere schematizzate come segue:

1.    Istituzione del Registro dei trattamenti

Tutti i titolari e i responsabili di trattamento devono tenere un registro delle operazioni di trattamento (art. 30 Regolamento UE 679/2016). Si tratta di uno strumento fondamentale, non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro può essere tenuto anche in modalità elettronica e, su richiesta, deve essere esibito al Garante. A tal proposito, il giorno 8 ottobre 2018, il Garante ha pubblicato una nota di chiarimento, che illustra nel dettaglio e chiarisce questo aspetto, finendo per includervi però anche quei soggetti che prima si pensava fossero esentati.

In questa nutrita lista di soggetti figurano:

  • « […] ESERCIZI COMMERCIALI, ESERCIZI PUBBLICI O ARTIGIANI CON ALMENO UN DIPENDENTE (BAR, RISTORANTI, OFFICINE, NEGOZI, PICCOLA DISTRIBUZIONE, ECC.) E/O CHE TRATTINO DATI SANITARI DEI CLIENTI (ES. PARRUCCHIERI, ESTETISTI, OTTICI, ODONTOTECNICI, TATUATORI, ECC.);
  • LIBERI PROFESSIONISTI CON ALMENO UN DIPENDENTE E/O CHE TRATTINO DATI SANITARI E/O DATI RELATIVI A CONDANNE PENALI O REATI (ES. COMMERCIALISTI, NOTAI, AVVOCATI, OSTEOPATI, FISIOTERAPISTI, FARMACISTI, MEDICI IN GENERALE);
  • ASSOCIAZIONI, FONDAZIONI E COMITATI OVE SI TRATTINO “CATEGORIE PARTICOLARI DI DATI” E/O DATI RELATIVI A CONDANNE PENALI O REATI (I.E.ORGANIZZAZIONI DI TENDENZA; ASSOCIAZIONI A TUTELA DI SOGGETTI C.D “VULNERABILI” QUALI AD ESEMPIO I MALATI, PERSONE CON DISABILITA’ , EX DETENUTI, ECT.; ASSOCIAZIONI CHE PERSEGUONO FINALITÀ’ DI PREVENZIONE E CONTRASTO DELLE DISCRIMINAZIONI DI GENERE, RAZZIALI, BASATE SULL’ORIENTAMENTO SESSUALE, POLITICO O RELIGIOSO ECC.; ASSOCIAZIONI SPORTIVE CON RIFERIMENTO AI DATI SANITARI TRATTATI; PARTITI E MOVIMENTI POLITICI; SINDACATI; ASSOCIAZIONI E MOVIMENTI A CARATTERE RELIGIOSO);
  • IL CONDOMINIO OVE TRATTI “CATEGORIE PARTICOLARI DI DATI” (ES. DELIBERE PER INTERVENTI VOLTI AL SUPERAMENTO E ALL’ABBATTIMENTO DELLE BARRIERE ARCHITETTONICHE AI SENSI DELLA L.N.13/1989; RICHIESTE DI RISARCIMENTO DANNI COMPRENSIVE DI SPESE MEDICHE RELATIVE A SINISTRI AVVENUTI ALL’INTERNO DI LOCALI CONDOMINIALI) […]».

In questo caso si parla quindi dell’adempimento minimo che deve essere attuato dal Titolare, ovvero – come sopra – quello di redigere e mantenere aggiornato il registro dei trattamenti, il quale serve sostanzialmente ad avere un quadro realistico di tutti i trattamenti (reali o potenziali) che vengono effettuati.

2.    Progettazione di Misure di sicurezza Calzate sulla realtà aziendale

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Per lo stesso motivo, non possono sussistere obblighi generalizzati di adozione di misure “minime” di sicurezza (come era nelle previsioni dell’art. 33 del D. Lgs. 196/03) poiché tale valutazione viene rimessa, caso per caso, al titolare e al responsabile, in rapporto ai rischi specificamente individuati secondo quanto previsto dall’art. 32 del Regolamento UE.

3.    Gestione e Notifica delle violazioni di dati personali (Data Breach)

Tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico – devono notificare all’Autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

4.    Individuazione del Responsabile della protezione dei dati

Anche la designazione di un “Responsabile della Protezione Dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del regolamento, essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/responsabile. Fra i compiti del RPD rientrano “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35 (v. punto seguente). La sua designazione è obbligatoria in alcuni casi e il regolamento identifica in indipendenza, autorevolezza, competenze manageriali le caratteristiche soggettive e oggettive necessarie a questa figura.

5.    Redazione della Valutazione di Impatto

Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel Regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente il trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti devono essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

L’Audit iniziale, nella nostra offerta comprendente la mappatura dei trattamenti effettuati in Azienda, è fondamentale per contestualizzare nella specifica realtà termini e modalità di applicazione del Regolamento UE 679/2016.

In conclusione, essendo la categoria dei soggetti oramai obbligati così tanto ampia, è bene che ci si cominci ad adeguare quanto prima.