MINDBOOK si occupa del GDPR e della sua applicazione nelle aziende e nel mondo della scuola, attraverso i suoi consulenti che affiancano le imprese e le istituzioni scolastiche o svolgono le funzioni di RDP-DPO.
Dal 25/05/2018 è diventato operativo a tutti gli effetti il Regolamento Europeo N. 679/2016, meglio conosciuto come GDPR (o RGPD in italiano), riguardante la Protezione dei Dati Personali, cui tutte le organizzazioni (aziende, PA, associazioni, ecc.) debbono attenersi per trattare i dati personali, definiti da quattro elementi:
→ “qualsiasi informazione”;
→ “concernente” (nel GDPR “riguardante”);
→ “persona fisica”;
→ “identificata o identificabile”.
Che cosa si intende per “trattamento”?
Nel GDPR è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto”. Pertanto, con tale definizione, è chiaro come tale Regolamento impatti profondamente su molteplici organizzazioni (aziende, PA come ad esempio le scuole, associazioni, ecc.).
Una delle principali novità introdotte riguarda l'eventuale nomina di un RPD (Responsabile della Protezione dei Dati) o DPO (Data Protecton Officer), anche attraverso l’affidamento di una prestazione di servizio esterno all'organizzazione, così come previsto dallo stesso regolamento. Infatti, in base al GPRD, alcuni titolari del trattamento e responsabili del trattamento sono tenuti a nominare un RPD. Ciò vale, in particolare, per tutte le autorità pubbliche e tutti i soggetti pubblici (ad esempio gli Istituti scolastici), indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali.
L'Organismo italiano deputato a controllare l'applicazione del GDPR nelle organizzazioni ed eventualmente sanzionarle è il Garante per la Privacy. Il Garante ha individuato, ad esempio, nella sua scheda normativa “Le priorità per le PA” tre adempimenti cruciali, da implementare in via di assoluta urgenza:
1. La designazione del Responsabile della Protezione dei Dati – RPD o DPO, che deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali anche nella
delicata fase di transizione.
2. L’istituzione del Registro delle attività di trattamento.
Il Garante sottolinea come sia “essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle
categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all’istituzione del registro.”
Tra l’altro, quest’attività di ricognizione è fondamentale per “verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell’idoneità della base
giuridica, artt. 6, 9 e 10) nonché l’opportunità dell’introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso (Cons. 171).”
3. La notifica delle violazioni dei dati personali (cd. data breach).
La corretta e puntuale attuazione delle nuove misure relative alle violazioni dei dati personali è fondamentale quale risposta alle minacce, sempre più frequenti, di violazione dei dati personali, che spesso riguardano anche sistemi di interesse pubblico. Ciò impone anche alle pubbliche amministrazioni di introdurre efficaci procedure organizzative, che consentano di attivarsi negli strettissimi tempi richiesti dalle nuove disposizioni.
Sviluppando nel dettaglio le indicazioni del Garante, e costruendo una vera e propria roadmap da implementare, possiamo sintetizzare gli adempimenti nei seguenti punti, che dovranno essere posti in essere a tutti i livelli (per la PA, ad esempio, a partire dal MIUR e fino agli istituti scolastici).
1. Censimento e identificazione dei trattamenti di dati personali, sia automatizzati che non automatizzati, compresi i flussi di scambio di dati, individuando quantomeno la base legale, le
categorie di dati, le categorie di interessati e il periodo di conservazione dei dati stessi;
2. Identificazione delle situazioni di eventuale contitolarità dei trattamenti, e regolamentazione delle stesse;
3. Nomina del Responsabile della Protezione dei dati personali;
4. Individuazione dei responsabili esterni del trattamento, e adeguamento dei procedimenti di evidenza pubblica ai principi contenuti nell’art. 28 del GDPR;
5. Verifica, per tutti i trattamenti, dell’adeguatezza delle misure tecniche e organizzative adottate,nonché delle misure di sicurezza;
6. Creazione del Registro dei trattamenti;
7. Implementazione dei processi di privacy by design e privacy by default nei sistemi utilizzati, introducendo questi principi anche nella formulazione dei documenti di gara (bandi e capitolati);
8. Revisione delle informative agli interessati e delle procedure di riscontro alle richieste di questi ultimi;
9. Revisione di tutti i documenti e procedure di governance dei dati personali (regolamenti/direttive/circolari) in maniera tale da conformarli al GDPR;
10. Aggiornamento del Piano di formazione attività formative;
11. Verifica (o introduzione) di una procedura specifica per la notificazione delle violazioni di dati personali al Garante e per la comunicazione agli interessati;
12. Effettuazione della valutazione d’impatto sul trattamento dei dati personali, per i trattamenti in ordine ai quali sia necessaria.
Data la delicatezza della materia, nonchè gli obblighi in tal senso previsti, la figura dell'RDP-DPO riveste un ruolo importante di consulenza e supporto, in quanto fornisce i seguenti servizi:
• informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento generale su trattamento dei dati (GDPR UE/2016/679) nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• sorvegliare l’osservanza del regolamento generale su trattamento dei dati (GDPR UE/2016/679), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
• fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione relativa;
• collaborare con il titolare del trattamento (per le scuole è il Dirigente Scolastico, per le aziende è il Legale Rappresentante), al fine di realizzare nella forma idonea quanto stabilito dall’art. 31 del Codice in materia di protezione dei dati personali, secondo il quale i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta;
• dare atto di indirizzo alla predisposizione delle misure adeguate di sicurezza dei dati (informatiche, logiche ed organizzative) in collaborazione con il titolare del trattamento;
• garantire, anche attraverso opportune verifiche periodiche, l’applicazione costante delle misure di sicurezza per il trattamento dei dati personali effettuato con strumenti elettronici;
• redigere il registro di trattamento dati previsto dal regolamento in base ad una attenta analisi dei trattamenti svolti dall’istituto;
• sorvegliare l’osservanza del regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
• collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
• cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento.
Finora abbiamo elencato gli obblighi normativi e gi eventuali rischi connessi, mentre vale la pena evidenziare come tale occasione possa essere vista anche come un momento di innovazione e riorganizzazione dei processi, per abbandonare pratiche e tecnologie obsolete e pericolose a beneficio degli utenti e del personale interno.
Le attività necessarie per mettere e mantenere in regola le organizzazioni non sono solo adempimenti o fonte di rischi, ma possono essere un'occazione importante di innovazione dei processi e responsabilizzazione, quindi un'opportunità.
Basta solo avvalersi di consulenti esperti come quelli di Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo..
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., infatti, offre servizi di consulenza per le aziende e per le PA, in particolare per gli Istituti scolastici, singoli o raggruppati in Reti, oltre ad offrire il servizio esterno di RDP-DPO. In questo ambito, ha iniziato a operare dal 2017 per le aziende e poi per diversi Istituti scolastici, di ogni ordine e grado.