Proposta di un modello gestionale per la protezione dei dati sensibili in azienda in vista del nuovo regolamento GDPR – general data protection regulation 2016/679

OBIETTIVI

Negli ultimi decenni, a causa della crescente innovazione informatica e tecnologica, è divenuto necessario garantire una protezione dei dati personali, cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile direttamente o indirettamente attraverso un nome, un numero di identificazione, dati relativi all’ubicazione, a uno o più elementi caratterizzanti la sua identità fisica, genetica, economica, culturale, sociale.
Il lavoro che si propone, ha lo scopo di offrire strumenti di conoscenza e metodiche organizzative – gestionali adatte alle necessità dell’azienda di essere in grado di una gestione sicura, al fine di, garantire la protezione dei dati personali ed assolvere agli obblighi previsti dal nuovo regolamento sulla privacy GPDR 679/2016.

LAVORO

NOVITA’ INTRODOTTE DALLA NUOVA NORMATIVA.

Il 25 maggio 2018 entra in vigore il nuovo regolamento in materia di protezione dei dati personali il GPDR 679/2016 e riguarda tutte le aziende stabilite sul territorio europeo e extra UE che trattano beni o prestano servizi sul territorio europeo, il regolamento non si applica ai trattamenti dei dati personali effettuati da una persona fisica per l’esercizio di attività esclusivamente personale o domestico (i nostri device). Di seguito sono riportati i punti salienti della normativa.
La finalità della normativa è quella di garantire la tutela nel trattamento dei dati personali ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabili. I Dati Personali si suddividono in varie categorie, ognuna con una modalità differente di trattamento e differenti profili relativi alla sicurezza:

• DATI COMUNI (nominativo, indirizzo, partita iva, indirizzo email);
• DATI PARTICOLARI ( origine razziale o etnica, appartenenza sindacale, dati genetici e biometrici, vita sessuale);
• DATI GIUDIZIARI (condanne penali, reati).

Il TRATTAMENTO (qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, modifica, estrazione, consultazione, uso, comunicazione, limitazione, cancellazione) è lecito quando:

1. L’interessato ha espresso il consenso al trattamento dei dati; Il CONSENSO inteso come qualsiasi manifestazione di volontà” deve essere libero,specifico,informato e inequivocabile dell’interessato con la quale lo manifesta con dichiarazione o azione positiva inequivocabile. Non deve essere necessariamente “documentato per iscritto” ne è richiesta la “forma scritta”,anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo esplicito; il consenso può essere ritirato in qualsiasi momento.
2. Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
3. Il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
4. Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
5. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
6. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

REGISTRO DEI TRATTAMENTI: Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio devono tenere un registro delle operazioni di trattamento. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta e può essere anche elettronico.
PRINCIPIO DI ACCOUNTABILITY:Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguata al rischio di “data breach”, ovvero, la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi conservati o comunque trattati.
COMPLIANCE: Il titolare deve implementare idonee misure tecniche ed organizzative in grado di assicurare e dimostrarne la compliance. Questo può includere policy interne relative alla protezione dei dati personali (staff training, internal audit, revisione delle policy interne).
Conservare idonea documentazione relativa alle attività di trattamento.
Implementare misure che rispettano i principi di Privacy by design e Privacy by Default. Misure che includono: minimizzazione dei dati personali, pseudonimizzazione, trasparenza, possibilità di monitorare il trattamento dei dati e creare e migliorare funzionalità di sicurezza in modo continuo.
INFORMATIVA ALL’INTERESSATO: Informativa va sempre resa all’interessato prima della raccolta dei dati personali.
Nell’informativa deve essere specificato:

• I dati di contatto del DPO, ove esistente,
• La base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché, se trasferisce i dati personali in paesi terzi e , in caso affermativo, attraverso quali strumenti
• Specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione,
• Il diritto di presentare un reclamo all’autorità di controllo,
• Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche: la logica dei processi decisionali e le conseguenze previste per l’interessato.

L’informativa deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, utilizzare linguaggio chiaro e semplice. E’ data in linea di principio per iscritto e preferibilmente in formato elettronico.

I TRE PILASTRI DELLA NUOVA PRIVACY COMPLIANCE

1. ACCOUNTABILITY: il GDPR lascia maggiore discrezionalità al Titolare del trattamento nel decidere attraverso quali modalità tutelare i dati abbandonando il concetto di “misure minime” di sicurezza. Dall’altro lato però la maggiore libertà è accompagnata dall’onere in capo a tale soggetto di dimostrare le motivazioni che lo hanno portato all’adozione di una determinata decisione, oltre che di documentare le scelte effettuate.
   Il titolare ha l’onere di porre in essere una serie di adempimenti che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti.
   • CONFORMITA’ AI PRINCIPI DEL TRATTAMENTO: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
   • MISURE TECNICHE ED ORGANIZZATIVE ADEGUATE PER GARANTIRE UN LIVELLO DI SICUREZZA ADEGUATO AI RISCHI: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
2. PRIVACY BY DESIGN: la conformità dei trattamenti alla normativa e la sicurezza delle informazioni vanno garantite già in fase di progettazione di servizi o sistemi.
3. DPO – DATA PROTECTION OFFICER: oltre a favorire l’osservanza attraverso strumenti di accountability(supportando valutazioni di impatto e conducendo o supportando audit in materia di protezione dei dati), i DPO fungono da interfaccia fra i soggetti coinvolti.

FIGURE COINVOLTE

1. INTERESSATO: persona fisica a cui si riferiscono i dati personali. I dati personali sono di proprietà dell’interessato il quale alle condizioni indicate nell’informativa, può concederli in prestito ad un determinato TITOLARE.
2. TITOLARE DEL TRATTAMENTO – DATA CONTROLLER : è la persona fisica o giuridica che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
3. DPO-DATA PROTECTION OFFICER: è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’art 39. La sua nomina è obbligatoria se il trattamento è svolto da un’autorità pubblica, se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala oppure se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati. Compiti del DPO: informa e fornisce consulenza al titolare del trattamento, sorveglia l’osservanza del regolamento in particolare l’attribuzione delle responsabilità e la sensibilizzazione e la formazione del personale, fornisce pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorveglia lo svolgimento, coopera e funge da punto di contatto con l’autorità di controllo per questioni connesse al trattamento.
4. DATA PROCESSOR – RESPONSABILE DEL TRATTAMENTO: è la persona fisica o giuridica che tratta dati personali per conto del titolare del trattamento.
   Il responsabile deve dare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GPDR e garantisca la tutela dei diritti dell’interessato.
5. SUB DATA PROCESSOR: il GDPR consente la nomina di sub-responsabili del trattamento da parte di un responsabile per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; il responsabile primario risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile.

CONCLUSIONI

Questo lavoro mette in evidenza la sicurezza del trattamento dei dati personali da parte di un azienda o ente terzo. Per garantire una corretta gestione e amministrazione sicura dei dati personali trattati, oltre le figure individuate dal Regolamento, si propone la formazione di un “TEAM PER LA SICUREZZA DEI DATI”, che porti alla stesura di un modello gestionale, flessibile e dinamico,adatto alla necessità dell’azienda, per gestire al meglio il trattamento e la protezione dei dati assolvendo agli obblighi di legge.
Le figure individuate nel TEAM SICUREZZA saranno:

• “Responsabile della sicurezza delle informazioni” con i compiti:
  • Definizione e coordinamento di un piano operativo per garantire la sicurezza delle informazioni, definendo azioni e tempistiche che dovranno essere attuate congiuntamente dai singoli rami dell’azienda;
  • Esecuzione ed aggiornamento dell’analisi dei rischi di sicurezza, identificando le principali criticità a livello organizzativo, di processo e tecnologico;
  • Definizione di norme comportamentali, soluzioni procedurali e sistemi architetturali per garantire la riservatezza, l’integrità e la disponibilità delle informazioni(es. configurazione sicura dei sistemi, gestione dei data breach);
  • Supporto alla progettazione e realizzazione dei progetti di sviluppo aziendali;
  • Monitoraggio del corretto funzionamento delle misure di protezione adottate.
  • Sorveglianza delle procedure gestionali e organizzative di sicurezza del trattamento dati di un organismo terzo pubblico o privato e con i fornitori di beni e servizi che possono entrare in contatto con dati sensibili.
• Responsabile qualità e Risk Management
• Responsabile Sistemi informatici
• Responsabile Affari Generali e Legali

References

1. Soro A., Iannini A., Clerici G.B., Califano L.. Busia G.. (2017). Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali – Garante per la protezione dei dati personali – A tutela di un diritto fondamentale.
2. Decreto Legislativo 30 giugno 2003, n.19 recante il “Codice in materia di protezione dei dati personali in S.O n. 123 alla G.U. 29 luglio 2003, n.174. https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29
3. Regolamento Generale sulla protezione dei dati(UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 aggiornato alle rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione Europea 127 del 23 maggio 2018
4. Direttiva 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU L 281 del 23.11.1995)
5. Raccomandazione della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese (C(2003)1422) (GU L 124 del 20.5.2003)
6. Regolamento (CE) n. 45/2001 del Parlamento Europeo e del Consiglio, del 18 dicembre 2000 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001)
7. Direttiva (UE) 2016/80 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti, ai fini della di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAIdel Consiglio
8. Regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio, del 16 dicembre 2008, relativo alle statistiche comunitarie in materia di Sanità pubblica e di salute e sicurezza sul luogo di lavoro (GU L 354 del 31.12.2008)
9. Regolamento (UE) n. 182/2011 del Parlamento Europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del
   28.2.2011)
10. Regolamento (CE) n. 1049/2001 del Parlamento Europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento Europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001)
11. Decreto Legislativo 10 agosto 2018, n.101, recante “ Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) in G.U. 4 settembre 2018 n. 205.
12. Linee guida Regolamento UE 2016/679 e policy per la protezione dei dati personali dell’Agenzia di Tutela della Salute dell’Insubria..