Privacy Countdown

stampa

Al via il Regolamento UE 679/2016

Dadomani mancheranno 100 giorni al 25 maggio, data entro la quale dovrà essere applicata la disciplina UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati, quello che fino ad oggi è stato assicurato dalla legge 196/2003. Il Regolamento UE 679/2016 in materia di privacy e data protection (di seguito GDPR), non è un mero aggiornamento della disciplina “Privacy”. Trova piena applicazione per l’intera PA e quindi ASL, ospedali e strutture socio-sanitarie. Impatta fortemente sull’intero assetto organizzativo interno, introducendo un nuovo modo di pensare e gestire il trattamento dei dati.

Il Regolamento (GDPR) richiede di effettuare una analisi del rischio al fine di implementare un sistema di gestione dei dati ed essere in grado di dimostrare l’efficacia delle scelte fatte (il cosiddetto principio del “accountability”). Sancisce il coinvolgimento di competenze trasversali, di tipo legale, di sistema ed informatiche. Il bilanciamento degli interessi deve tener conto di economia, sicurezza e tecnologia.

Per ottemperare al principio di “protezione dei dati fin dalla fase di progettazione” (Privacy by design) (art. 35, par. 2) se l’erogazione del servizio incide fortemente sulla tutela dei dati, va effettuata una valutazione di impatto (DPIA, Data Protection Impact Assessment) che mira ad effettuare un bilanciamento tra benefici raggiungibili e rischio al quale sono esposti i dati stessi. Il titolare si consulta col “Data Protection Officer” – RPD/DPO, quando svolge una DPIA. Il RPD/DPO (art.39 par.1, lettera c) “fornisce, se richiesto un parere in merito alla valutazione di impatto sulla protezione dei dati e ne sorveglia lo svolgimento”. Il parere comprende il condurre o meno una DPIA, la metodologia, le risorse, le salvaguardie (tecniche e organizzative), la correttezza, le conclusioni raggiunte (in conformità col GDPR).

Le figure del nuovo sistema privacy.

Titolare del trattamento. Entità giuridica (impresa/ente) che decide motivo, finalità e quali dati raccogliere, secondo il “Principio di responsabilizzazione”: adozione di comportamenti proattivi, tali da dimostrare la concreta attuazione di misure documentate, in grado di assicurare l’applicazione del GDPR (e quindi dei diritti dell’interessato).
Responsabile del trattamento. Colui che fisicamente elabora e gestisce le informative previste dal titolare.
Responsabili di secondo livello. Figure coinvolte dal Responsabile del trattamento per svolgere alcuni compiti particolari.
RPD-DPO. Il GDPR ha introdotto (obbligatoriamente, per determinate attività) la figura di Responsabile della Protezione dei dati – RPD o Data Protection Officer – DPO nei seguenti casi: autorità e organismi pubblici, monitoraggio regolare e sistematico, su larga scala, di dati sensibili e giudiziari. La funzione DPO può essere esercitata internamente all’azienda, oppure esternalizzata (contratto di servizi).

Anche negli altri casi, in cui non sussiste obbligo, può risultare utile la designazione di un RPD-DPO su base volontaria. Il Gruppo di lavoro “Articolo 29”- WP 29 incoraggia tale approccio.

L’informativa (artt. 13 e 14) deve essere fornita all’interessato, prima della raccolta dei dati. Il regolamento ne specifica molto più in dettaglio, rispetto al Codice, le caratteristiche: deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice e, per i minori, è necessario prevedere annotazioni specifiche (anche considerando l’art.58). Se i dati non sono raccolti presso l’interessato, l’informativa deve essere fornita entro un mese (al massimo) dal momento della comunicazione dei dati (allo stesso interessato od a terzi), per iscritto, preferibilmente in formato elettronico. E’ ammesso l’uso di Icone (app), ma solo in combinazione con l’informativa stessa. Può essere anche fornita oralmente, su richiesta dell’interessato. I contenuti devono comprendere l’idoneità alla raccolta del titolare ed i dati di contatto del DPO (mail, ufficio, telefono, indirizzo), la finalità e la base giuridica del processo.

Il consenso, raccolto precedentemente al 25 maggio 2018, resta valido se ha tutte le caratteristiche individuate. In caso contrario, risulta opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati, secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

Diritti degli interessati (artt. 11 e 12): periodo e criteri per la conservazione dei dati, con l’indicazione della facoltà di presentare un reclamo all’autorità di controllo; accesso (art.15); limitazione e oblio (art.15); cancellazione (art.19); portabilità (art.20).

Il Garante mette a disposizione (sul sito, vedi link) la Guida al GDPR.

BIBLIOWEB: