DPO, chi è il Data Protection Officer, quando deve essere nominato e che funzioni svolge

DPO una figura sempre più richiesta nell’ambito della nuova normativa GDPR, scopriamo insieme perchè è così importante.

Tra le novità introdotte dal Regolamento UE 2016/679 (c.d. General Data Protection Regulation abbreviato GDPR) – ufficialmente operativo per tutti gli Stati Membri dal 25 maggio 2018 – rientra anche la figura del Responsabile della Protezione dei Dati o Data Protection Officer (DPO) secondo la terminologia anglofona. Benché il Garante italiano per la privacy abbia descritto puntualmente tale figura sul proprio sito istituzionale – pubblicando allo scopo anche un’apposita scheda informativa – l’incertezza sui casi in cui il DPO deve essere designato, sui compiti che gli sono attribuiti per legge e sul valore delle certificazioni che lo riguardano è ancora piuttosto diffusa tra le aziende e le pubbliche amministrazioni nostrane.

Appare dunque utile riassumere brevemente ciò che prevede il Regolamento UE con riguardo al ruolo del DPO.

 

NOMINA –  il GDPR stabilisce che tutte le pubbliche amministrazioni ed enti pubblici, ad eccezione delle autorità giudiziarie, hanno l’obbligo di nominare un Responsabile della Protezione dei Dati. Tale obbligo riguarda anche tutti i soggetti privati (enti e imprese) che trattano su larga scala dati sensibili, come quelli relativi alla salute o alla vita sessuale delle persone, genetici, giudiziari e biometrici, come attività inclusa tra le principali oppure che svolgano attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o di soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese che non rientrano tra i destinatari dell’obbligo di cui sopra, invece, possono decidere di dotarsi ugualmente di un DPO. Una volta designato il DPO, il Titolare del trattamento deve comunicare i dati di contatto del Data Protection Officer all’Autorità di Vigilanza attraverso un’apposita procedura online.

 

FUNZIONI – Il Responsabile della Protezione dei Dati ha il compito di informare e consigliare il Titolare o il Responsabile del trattamento dati, nonché i dipendenti dell’azienda o della p.a, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre normative UE o degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne adottate dal Titolare siano correttamente attuate ed applicate, ivi incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale ed i relativi audit.

Su richiesta, deve fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della Protezione dei Dati funge, inoltre, da mediatore sia con il Garante della Privacy che con gli interessati, che possono rivolgersi a lui anche per l’esercizio dei loro diritti. E’ consentito assegnare al DPO ulteriori compiti e funzioni, a condizione che ciò non comporti un conflitto di interessi e che abbia comunque il tempo sufficiente per l’espletamento dei compiti attribuiti dall’art. 39 del Regolamento Europeo.

REQUISITI – I Titolari del trattamento devono designare come Data Protection Officer un professionista che possieda una conoscenza specialistica della normativa e delle prassi di gestione dei dati personali e che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente interno oppure come consulente esterno all’impresa o alla pubblica amministrazione. E’ richiesto, inoltre, che il Titolare metta a disposizione del Responsabile della Protezione dei Dati personali le risorse umane e finanziarie necessarie all’adempimento delle sue funzioni.

CERTIFICAZIONI – Attualmente non esistono titoli o attestati formali che abilitino al ruolo di Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni delle competenze professionali – specialmente quando sono rilasciate da enti indipendenti – costituiscono un valido strumento ai fini della verifica del possesso del livello di conoscenza della normativa richiesto. Come ha però chiarito il Garante Privacy, il conseguimento di tali certificazioni non è obbligatorio

Il diritto alla privacy in condominio. Come tutelarlo?

Diritto alla privacy in condominio, è possibile tutelarlo?

Il Condominio non è altro che una particolare ipotesi di comunione di spazi da parte di una molteplicità di persone. La convivenza forzata che il condominio instaura, però, pone il problema di tutelare la riservatezza e la privacy in condominio e di bilanciare tali esigenze con ulteriori interessi in gioco. In prima battuta, vediamo come la tutela della privacy dei condomini passi attraverso la nomina dell’amministratore condominiale quale responsabile del trattamento dei dati personali. La decisione in oggetto spetta all’assemblea del condominio nella consapevolezza che l’amministratore può trattare solo le informazioni personali di ciascun condomino che siano pertinenti e non eccedenti le finalità di gestione e amministrazione del Condominio. Tra questi rientrano sicuramente i dati anagrafici, mentre i dati sanitari non sono normalmente dati utilizzabili dall’amministratore a meno che non siano indispensabili ai fini della gestione del Condominio (come nel caso di adozione di delibera di abbattimento di barriere architettoniche).

Sul versante opposto della trasparenza, invece, si fa obbligo all’amministratore di comunicare ai condomini i propri dati anagrafici e professionali (generalità, domicilio, recapiti anche telefonici). Ciascun condomino (o partecipante alla vita condominiale come il locatore) può inoltre accedere ai propri dati detenuti dal Condominio, in conformità a quanto stabilito dalle leggi vigenti. In base alle norme del Codice Civile, ad esempio, il condomino può ricevere informazioni sulle spese e sugli inadempimenti degli altri condomini senza il consenso degli interessati. Queste informazioni – ottenute mediante visione del rendiconto generale o dietro espressa richiesta all’amministratore – non possono essere divulgate a terzi e pertanto ne è esclusa l’affissione sulle bacheche condominiali (che sono necessariamente esposte anche terzi non condomini), a meno che ciò non sia necessario per la tutela di propri diritti in giudizio.

Va ricordato, infatti, che sulle bacheche condominiali possono essere affissi solo avvisi di carattere generale e non le comunicazioni relative a singoli condomini e, in particolare, gli avvisi sulle morosità. Le morosità possono però essere discusse in seno alle assemblee a cui partecipino soltanto i condomini e i dati degli inquilini morosi devono essere comunicati ai creditori non soddisfatti dall’amministratore (in quest’ultimo senso dispone la riforma del condominio del 2012).

Privacy di condominio e trasparenza si scontrano anche sul terreno delle telecamere di sorveglianza. Come noto, il Condominio può installare un sistema di videosorveglianza a seguito di una delibera assembleare adottata con un numero di voti favorevoli pari alla maggioranza degli intervenuti e rappresentativi di almeno la metà dei millesimi. L’installazione di questi impianti è consentita solo allo scopo di tutelare persone e beni da concrete situazioni di pericolo (di norma costituiti da illeciti già verificatisi) oppure nel caso di svolgimento di attività che comportano la custodia di denaro o altri beni.  Una volta installato, il sistema di telecamere per il controllo delle aree comuni è soggetto alle norme in materia di protezione dei dati personali. Ciò comporta che:

  • le telecamere vanno segnalate con gli appositi cartelli (informativa) che esplicitano le finalità delle riprese;
  • le registrazioni vanno conservate per un periodo limitato (24-48 ore, comunque non oltre 7 giorni nel qual caso occorre la verifica preliminare del Garante);
  • le telecamere devono essere rivolte esclusivamente sulle aree comuni (accessi, garage) evitando i luoghi circostanti (strada, esercizi commerciali);
  • le registrazioni devono essere protette in modo che solo le persone autorizzate possano accedervi.

Anche il singolo condomino può installare telecamere (o videocitofoni) purché ciò avvenga per fini personali e l’angolo delle riprese sia limitato agli spazi di propria esclusiva pertinenza. E’ cioè vietata la ripresa di immagini relative ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini. In questo caso non si applicano le norme in materia di protezione dei dati personali, ma devono comunque essere adottate cautele (come appunto limitare l’angolo delle riprese agli spazi di propria esclusiva pertinenza) per evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615 bis c.p.), come precisato anche dalla Corte di Cassazione nel 2012. In merito, il Garante Privacy ha chiarito che per domicilio del condomino si devono intendere anche le aree comuni, scontrandosi con l’orientamento maggioritario della giurisprudenza che esclude suddetti spazi dal concetto di domicilio e pertinenze.

 

Data Breach, cosa vuol dire?

Data Breach e Gdpr: con l’avvento del Gdpr siamo stati abituati a termini nuovi per indicare violazione privacy e dati, tra questo anche Data Breach. Nello specifico quando parliamo di Data Breach intendiamo la violazione della sicurezza di un data base informatico contenente dati personali ,violazione che può  portare alla perdita, modifica o furto degli stessi dati.

Il processo di violazione dei dati aziendali non è sempre relativo ad un attacco hacker esterno, ma spesso legato ad una incapacità nel gestire le misure di sicurezza interna per proteggere i database aziendali.

Ad esempio, uno dei Data Breach più rilevati è dato dalla perdita o dal furto del dispositivo nel quale sono archiviati dati personali in possesso dell’azienda o del professionista.

Oppure, il database può essere violato da soggetti autorizzati ad accedere, che però con atteggiamento malevolo, diffondono dati personali pubblicamente oppure provano a vendere gli stessi dati o li utilizzano per scopi criminosi.

Ultimo caso è elativo ai malware, attacchi informatici esterni ai data base che riescono ad impedire ai proprietari dei database l’accesso ai propri dati , se ne impossessano e chiedono pagamento di riscatto.

Come comportarsi in caso di Data Breach?

Nel caso di Data Breach, come spiegato sul sito ufficiale del Garante della Privacy è necessario che il titolare del trattamento dei dati, notifichi l’avvenuta violazione della repository dati entro 72 ore dalla scoperta del problema.

Quali tipi di violazioni comunicare?

E’ fondamentale comunicare tutti quei tipi di violazione che possono creare problemi ai soggetti di cui si posseggo i dati, esponendoli a rischi quali discriminazione, furto di identità truffe o frodi e perdite finanziarie, danni della reputazione e alla riservatezza.

Come redigere la notifica?

La notifica deve contenere le informazioni indicate nell’articolo 33 parte 3 del Regolamento UE 2016/679 come indicato nell’allegato Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951), e compilare il relativo modello  allegato da scaricare e compilare.

Il modulo poi deve essere firmato con firma digitale e inviato al Garante tramite PEC , all’indirizzo mail: protocollo@pec.gpdp.it, oppure ad email classica protocollo@gpdp.it, firmata e accompagnata da documento di identità.

Importante non dimenticare l’oggetto della mail: “NOTIFICA VIOLAZIONE DATI PERSONALI”.

Se la violazione dei dati può comportare gravi conseguenze ai titolari dei dati, questi ultimi devono essere informati, soprattutto se è risultato impossibile limitare le conseguenze relative.

Per ultimo è necessario tenere traccia di tutte le violazioni in un apposito registro.

 

 

Garante per la privacy: nuova pronuncia sulla gestione delle caselle e-mail degli ex dipendenti

Il Garante per la privacy si è nuovamente pronunciato in merito a come gestire le informazioni e le attività di un ex dipendente contenute nella propria casella di posta.

Violazione privacy: sanzioni per pubblica amministrazione e privato

Violazione privacy: pubblica amministrazione e privato colpevoli del mancato rispetto della normativa GDPR.

Nel 2019 il 48% delle ingiunzioni sul mancato rispetto della privacy è stato disposto a carico di p.a. , soprattutto scuole e enti locali. Il 52% invece è stato disposto nei riguardi di aziende e/o privati.

L’applicazione del GDPR non procede ancora nel senso sperato, soprattutto nella pubblica amministrazione.

Questi gli argomenti discussi a Roma durante l’evento di presentazione del libro “Privacy, protezione e trattamento dei dati, edito grazie a Federprivacy e Cnr di Pisa.

All’incontro c’era l’uscente presidente del collegio del Garante per la protezione dei dati personali, Antonello Soro.

Soro stesso ha scritto la prefazione del libro in cui ha tenuto a ribadire che «la protezione dati è il terreno elettivo per saggiare la tenuta del diritto rispetto alla tecnica e riportare l’uomo al centro di uno sviluppo tecnologico che rischia, altrimenti, di prescindere da ogni orizzonte di senso».

Durante l’incontro i è parlato quindi delle sanzioni applicate in assenza di rispetto GDPR, e i dati riportati sono davvero sbalorditivi.

Il 48% delle ingiunzioni hanno interessato la pubblica amministrazione, dato davvero sconcertante considerando che il 52% delle medesime è stato a carico dei privati.

Le ingiunzioni di pagamento adottate dal Garante dal 1/1/2019al 14/12/2019 sono state ben 27 e il motivo anzionatorio è stato per lo più legato alla violazione del vecchio codice della privacy, dlgs 196/2003. Nel privato i più sanzionati gli enti locali, 38%, seguiti a ruota dalle scuole, 31%.

Invece nel settore privato, il 72% delle sanzioni ha riguardato Imprese.

In merito ai compensi previsti per il DPO o RPD (se vogliamo usare la formula anglosassone o italiana) anche in questo caso gli enti pubblici si trovano in enorme difficoltà, senza seguire una unica linea guida. La gara che viene fatta infatti o è rivolta al solo servizio di responsabile protezione dati oppure all’adeguamento dell’organizzazione e delle procedure al GDPR.

Anche le gare vengono gestite in maniera diversa e senza una unica direttiva: si bandiscono gare che hanno punte minime di 1000 euro fino a 80 mila euro/anno.

Ma come mai tutta questa attenzione per la protezione dati, soprattutto per il web?

I numeri parlano chiaro.

Ad ottobre 2019 si è registrato che circa 4,48 miliardi di persone sono stati attivi sul web, con Cina, India e Stati uniti ai primi posti in classifica di più attivi in rete.

La penetrazione mondiale di Internet è del 57% e di circa il 95% per il Nord America e Nord Europa.


RESTA AGGIORNATO CON BETA IMPRESE!

Guarda la nostra offerta formativa

Privacy: troppi dati all’Agenzia Entrate secondo il Garante

Il Garante della Privacy lancia l’allarme sull’archiviazione dei dati relativi alla fatturazione da parte dell’Agenzia delle Entrate.La norma incriminata è l’art 14 del Dl 124/2019, che consente la memorizzazione dei file di fattura per 8 anni

GDPR: le prime analisi sulle sanzioni

Dopo l’entrata in vigore del GDPR, le attività ispettive da parte del garante della privacy sono iniziate, e di conseguenza anche le relative sanzioni sono state comminate.

Le nuove professioni emergenti collegate al GDPR

L’entrata in vigore del GDPR ha portato ad una crescita degli investimenti delle aziende nel settore sicurezza IT e in maggiori potenzialità di lavoro per le nuove professioni collegate al settore.