08/02/2018
Caro Associato,
NON HO INTENZIONE ALCUNA DI TEDIARTI CON QUESTA EVOLUZIONE DELLA LEGGE SULLA RISERVATEZZA, Ti chiedo però di approfondire l'argomento nell'interesse Tuo e della Tua azienda.
Io, con questo articolo, cerco di "fartela prendere bassa" visto che, una volta tanto, noi italiani eravamo "veramente avanti", rispetto a tanti altri stati membri, già con la vecchia legge sulla riservatezza e quindi, anche la Tua azienda, dovrebbe aver già fatto molto in questa direzione.
Ora Ti basta fare in modo che la Tua azienda si aggiorni sui nuovi adempimenti che Ti chiede il GDPR (che è l'acronimo in Inglese di: General Data Protection Regulation), perché comunque a questa legge Ti devi adeguare (dura lex, sed lex)
Partiamo subito dal fatto che se oggi memorizzi dei dati personali nel computer della Tua azienda, questo avviene solo ed esclusivamente per uno dei motivi "legittimi" stabiliti nel GDPR, che possono essere a titolo esemplificativo: l'esecuzione di un contratto, il rispetto di un obbligo legale (pensa ai dati che devi rilevare per compilare il consenso informato nel caso di un rapporto di lavoro dove il consenso deve essere comunque specifico, informato ed inequivocabile, oltre che ovviamente dato liberamente) piuttosto che per il perseguimento di un Tuo interesse legittimo (Il fatto che Ti serva il numero del conto corrente bancario di un Tuo dipendente per liquidargli lo stipendio è un Tuo interesse legittimo). A tal riguardo, anche se non sei obbligato a includere i motivi legittimi nel registro dati, è consigliato farlo per motivi di responsabilità.
Ed ora eccoci a quello che
DEVI assolutamente fare entro il prossimo 25 MAGGIO 2018 (cioè: domani)
In sintesi devi:
a) Proteggere i dati dei Tuoi clienti da violazioni di sorta (breach) per accessi
NON autorizzati
b) Scolarizzare o meglio, istruire, tutto il Tuo personale dipendente sulla nuova normativa in
questione (GDPR)
c) Adottare una politica di governance e di adeguata protezione dei dati in modo proporzionale al
rischio in caso di violazione degli stessi
d) Introdurre la nuova figura del DPO (Data Protection Officer/ Responsabile della Protezione dei
Dati) che puoi essere Tu stesso o che puoi individuare all'interno della Tua azienda, se non
addirittura nominandolo come consulente all'esterno della Tua azienda
e) Fare in modo che la Tua azienda sia dotata di sistemi tecnologici necessari per monitorare e
prevenire gli attacchi informatici
TENENDO CONTO CHE I PROPRIETARI DEI DATI POSSONO:
1) accedere in qualsiasi momento ai loro (propri) datyi personali
2) chiedere di essere informati su come vengono utilizzati e protetti i loro dati
3) chiederTi il trasferimento dei loro dati personali ad altro soggetto (questo è
per la portabilità del dato)
4) essere (e qui direi "devono>) informati nel caso di furto dei loro dati in modo
tempestivo da parte della Tua azienda:
5) avere garanzie sull'applicazione della normativa da parte dei soggetti che Tu
hai incaricato
In calce all'articolo Ti aggiungo: "L'ABC" del GDPR che altro non è che una comoda leggenda del nuovo regolamento che ho scritto perché, per quanto tutto il testo del nuovo regolamento sia stato tradotto in Italiano, vedo invalso l'utilizzo degli acronimi in inglese, piuttosto che veri e propri termini in inglese.
TIENI GLI OCCHI APERTI. E' INIZIATO IL COUNTDOWN DI QUI AL 25.5.2018
Maurizio QUARANTA
Consigliere Ancad
Vice Presidente ADDE
"ABC" del GDPR
ACCURACY - E' l'accuratezza (o precisione se preferisci) e altro non è che uno dei principi per il processamento dei dati personali che implica che il personale addetto alla raccolta degli stessi deve sempre avere, fermo restando che deve sempre e solo raccogliere sempre e solo i dati necessari
BOARD ("EDPB") - E' il Consiglio Europeo per la Tutela dei Dati e supervisiona l'implementazione e l'applicazione del GDPR
CONSENT - CONSENSO che deve essere dato liberamente, oltre che essere specifico, informato ed inequivocabile. Quando si dice che il consenso deve essere libero, significa che non ci deve essere squilibrio tra le parti, ed ovviamente quando si dice che deve essere inequivocabile significa che deve essere espresso chiaramente (ma questo vale soprattutto per quei paesi che prima del GDPR prendevano per buono il "silenzio /assenso", cosa che in Italia già prima del GDPR non era possibile)
CONTROLLER - E' la persona individuata che determina gli scopi e le modalità necessarie per il processamento dei dati
DATA BREACH - L'accidentale o illegale distruzione, perdita, alterazione,ivi inclusa la rivelazione non autorizzata rivelazione dei dati personali (cosa che include l'accesso non autorizzato ai dati da parte di persone ovviamente non autorizzate). Una simile violazione dei dati deve essere riportata entro un periodo di tempo ben stabilito ai supervisori ed al soggetto al quale i dati fanno capo)
DATA PROTECTION IMPACT ASSESSMENT ("DPIA") - La valutazione a priori del rischio di previste operazioni di processamento dei dati. Questo vale solo ed esclusivamente in situazioni ad alto rischio (per esempio nel caso di utilizzo di nuove tecnologie piuttosto che nel caso in cui si profilino dei dati con significative conseguenze per i dati dei soggetti che hanno fornito i dati)
DATA PROTECTION OFFICER (DPO) - QUESTO SERVE A TUTTI. E' LA PERSONA (interna o esterna) che verifica il rispetto del GDPR in azienda e dispone delle necessarie conoscenze, delle risorse e dell'autorità per farlo.
Un DPO è, tra l'altro, obbligatorio se il computer che processa i dati li processa regolarmente su larga scala oppure se il computer processa speciali categorie di dati personali.
DATA SUBJECT - I Soggetti ai quali si riferiscono i relativi dati personali
GDPR - General Data Protection Regulation, ovvero IL Nuovo Regolamento sulla Protezione dei Dati.
LAWFULNESS - il principio in accordo al quale possono essere trattati se esiste un motivo legale per farlo (esecuzione di un contratto, consenso informato, perseguimento di un proprio legittimo interesse)
(LEAD) supervisory authority ("DPA" O "SA") - Il garante della privacy a tutti noi, già da tempo, noto in Italia come ruolo e per i SUoi doveri.
PERSONAL DATA - Ogni informazione che serve per identificare una persona naturale, ivi incluse le indirette identificazioni (piuttosto che numeri identificativi quale il codice fiscale, la partita iva etc.etc., indici genetici, ,mentali, economici o di identità soci
PROCESSING - Ogni tipo di azione con i dati personali, ivi incluso il trattamento manuale e non automatizzato.
PROCESSOR - Il computer , o meglio ,l'entità che processa i dati personali per mezzo di un controller
PROFILING - Automatico trattamento dei dati per la valutazione delle informazioni relative ad una persona o al fine di prevederne il suo comportamento
PURPOSE LIMITATION - Il principio in accordo al quale i dati personali possono essere solamente trattati per specifici ed espliciti , oltre che legittimi scopi. Questi dati possono essere limitati a ciò che è necessario per gli scopi prefissie possono essere utilizzati solo per il temèpo necessario per gli scopi previsti.
RIGHTS OF THE DATA SUBJECT - I diritti stabiliti dal GDPR per i dati dei soggetti, quali per esempio il diritto all'informazione sui propri dati, piuttosto che all'accesso, modifica o cancellazione degli stessi, ivi incluso il diritto ad obiettarne l'uso per azioni di direct marketing, di profilazione e portabilità.
SPECIAL CATEGORIES OF PERSONAL DATA - In linea di principio è vietato il trattamento dei dati personali che rivelano la razza, le origini etniche, le opinioni politiche o il credo religioso e/o filosofico. Nono solo appartengono a questa categoria anche tutti i dati riguardanti la salute, le abitudini sessuali o l'orientamento sessuale
TRANSFERS - La trasmissione dei dati personali ad un paese aldifuori dei Paesi della Comunità Economica Europea (o ad un'organizzazione internazionale) è consentita solo in accordo con quanto stabilito dal GDPR (che prevede, per esempio, che il diretto interessato deve esserne reso edotto)
SANZIONI - La responsabilità per danni materiali o immateriali prevede un'ammenda sino a 20.000.000 di Euro o sino al 4% del totale del fatturato dell'esercizio precedente della società coinvolta, se questo dato fosse più elevato.
CONTRAST - è il consulente legale che ci supporta - come ADDE - a BRUXELLES al Consiglio Europeo piuttosto che nelle varie Commissioni Sanità. Con Contrast è stata redatto questo ABC del GDPR e CONTRAST è a disposizione degli associati ANCAD/ADDE che vogliono avere eventuali ulteriori informazioni (p.e.: cos'è il GDPR e di cosa tratta? Quali sono le sanzioni? Come evitare le sanzioni? Cosa vorremmo sapere di più sul GDPR). Inoltra le Tue domande in sede ANCAD.