Il Garante: le società di servizi informatici hanno l'obbligo della nomina del DPO.
Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.
Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento.
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.
Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano invece:
il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.
Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.
Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.
L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.
Chiarimenti del Garante della privacy
L’Autorità Garante per la Protezione dei dati personali ha chiarito l'obbligatorietà di individuazione di un Data Protection Officer (DPO) da parte dei Titolari o Responsabili del trattamento delle Società di servizi informatici.
La figura del Data Protection Officer - DPO, introdotta dal Regolamento europeo in materia di dati personali - GDPR, si è trovata al centro di numerosi dibattiti, soprattutto in riferimento a società che in maniera più o meno diretta gestivano dati ed informazioni o sviluppavano soluzioni e servizi. Con l’aggiornamento delle FAQ dello scorso maggio il Garante dissipa ogni dubbio in merito alla questione chiarendo in maniera esplicita che tra i soggetti vincolati da questo obbligo rientrano anche le società che forniscono servizi informatici. Per le società ICT, infatti, la privacy svolge un ruolo di primaria importanza sia nella fase di acquisizione del cliente che nei momenti successivi: dalla fase di sviluppo al termine del ciclo di vita del rapporto commerciale.
Gran parte delle aziende prestatrici di servizi informatici, non particolarmente strutturate, hanno ritenuto sino alle dichiarazione del Garante di non essere tenute a tale obbligo. Questo ha provocato al loro business conseguenze non banali, non tanto sul fronte dell’obbligo normativo (quella del Garante è una “precisazione” a fronte di un obbligo vigente dal 25 maggio 2018), ma soprattutto alla luce del business svolto e del mancato rischio gestito.
Qualsiasi azienda che sviluppi deve applicare un concetto di privacy by design: difatti, anche se il core del software può essere non legato direttamente ai dati, va da sé che i dati personali siano essenziali nelle fasi autenticazione o di amministrazione del sistema. Ebbene, riuscire a determinare nella fase di realizzazione l’impatto privacy and security by design equivale ad investire in modo corretto e poter andare sul mercato con le garanzie normative funzionali anche alla protezione del Cliente finale (che in qualità di titolare è sanzionabile nell’ipotesi di violazione del privacy by design anche se strutturato dal Fornitore). Proprio il DPO come figura che concilia il mondo legale con quello informatico (ovviamente possedendo conoscenze nelle tecnologie ICT) può prevenire una serie di problematiche connesse a scelte erronee: spesso nelle nomine a responsabili ricevute dalle società di servizi informatici vi sono contenuti sottovalutati che ne ampliano le incombenze: il DPO è una figura in grado di comprendere, valutare e nel caso “raccordare” i contenuti con il Cliente per evitare al Fornitore una serie di responsabilità talvolta “ciclostilate” in modo incoerente dal Cliente stesso.
L’importante per l'azienda ICT sarà selezionare un DPO che ben conosca la tematica privacy ma altrettanto conosca l’informatica nei dettagli, in modo da non costituire un fattore deterrente allo sviluppo ma incentivante per valorizzarne la competitività sul mercato. Il nostro Team Privacy può essere un valido supporto come DPO, disponendo di un Ing. Elettronico con 40 anni di esperienza nel settore ICT e referenziato nel servizio DPO dal 2018 da importanti aziende del settore.
Stante la caratteristiche degli intermediari sopra descritti, si può certamente ritenere che i soggetti iscritti alle sezioni C e E, stante la tipologia della loro intermediazione limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del DPO.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.
Entro il 25 maggio 2018 per le aziende già attive alla data. Per le aziende con inizio attività dopo il 25 maggio 2018, la nomina del RPD/DPO è obbligatoria prima dell'entrata in attività dell'azienda.
La relazione del titolare del trattamento in merito alla nomina del DPO non è necessaria in quanto il settore è già stato identificato e inserito nella lista dei settori obbligati alla nomina del DPO.
La mancanza della nomina del DPO, per le aziende dei settori in obbligo, viene sanzionata, in caso di verifiche, con l'importo pari al 2% del fatturato annuo dell'esercizio precedente.
Il Documento GDPR di conformità aziendale consiste nella elaborazione e stampa dei seguenti argomenti:
1 - Registro delle Attività di Trattamento del Titolare
2 - Inventario assets aziendali
3 - Configurazione informative e consensi
4 - Documento valutazione impatto
5 - Valutazione dei rischi
6 - Misure di minimizzazione dei rischi
7 - Gestione e nomina dei soggetti autorizzati
8 - Gestione e nomina dei Responsabili
9 - Gestione della violazione dei dati
Sono documenti e regolamenti recanti le disposizioni al personale e altri soggetti in merito alla privacy.
1 - Organizzazione aziendale Privacy
2 - Regolamento Utilizzo Sistemi ICT
3 - Data Breach
4 - Disaster recovery
5 - Business continuity
6 - Cyber Security
7 - Backup e Retention
8 - Attivazione utenze (User Access Life-cycle Management)
9 - Amministratore di sistema
Il DPO viene incaricato tramite documento di nomina. Ha il ruolo di Consulente e controllore. Le principali attività:
1 - Consulenza e supporto al Titolare
2 - Supporto al personale aziendale
3 - Supporto all'elaborazione del Documento di impatto
4 - Supporto al definizione dei trattamenti
5 - Consulenza in caso di eventi con criticità
6 - Audit periodici per la verifica della conformità
7 - Audit periodici sull'applicazione delle Policy aziendali
8 - Relazione annuale sulle attività e conformità aziendale
9 - Supporto al Titolare in caso di Ispezioni
Il Comandante del Gruppo Privacy rilascia una breve intervista riguardo al Regolamento GDPR e agli interventi in merito del Gruppo Privacy.
Il Regolamento europeo GDPR sulla Privacy
A chi è rivolto
La conformità al GDPR
Ispezioni e sanzioni
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925