Antonello Soro (Presidente del Garante per la Protezione dei Dati personali)
Dal 25/05/2018 il GDPR entra in vigore, la scadenza è unica in tutta Europa. Il Garante avrà sin da domani un rapporto “amichevole e collaborativo” al fine di raggiungere l’obiettivo comune: la tutela dei dati personali. Il Garante cercherà quindi di essere alla guida di questo cambiamento di prospettiva dell’economia, che sempre di più si basa sui dati. Il processo non sarà immediato e richiederà lo sforzo di tutti gli attori.
Saranno quindi da ripensare anche i vari ruoli, compresi quelli di vigilanza dello stesso Garante.
Gli “Interessati” sono i cittadini europei e non le persone giuridiche, ecco perché il Garante stesso finora non ha ascoltato le “campane” delle associazioni imprenditoriali, ferma restando l’attenzione, l’interesse e l’impegno di arrivare a breve per la redazione di misure di semplificazione per le aziende piccole e medie italiane.
Sempre di più è da tutelare il diritto di protezione dei dati personali, in questa società digitale, in un ambito che continua a mutare.
Le sanzioni saranno progressive e non coercitive, proprio allo scopo di dare modo di rendere effettive queste linee di indirizzo.
Il DPO (o RPD in Italiano) dovrà quindi essere a sua volta un garante, dovrà essere autonomo (infatti non è visto di buon occhio il dipendente incaricato anche come DPO) e sarà a tutti gli effetti l’interfaccia verso gli interessati e verso il Garante.
La responsabilità del Trattamento dei Dati permane in capo al Titolare del Trattamento e non passa al DPO.
Fondamentale sarà la parte di formazione e di informazione che i Titolari del Trattamento dei Dati dovranno fare al loro interno, sempre tenendo l’obiettivo degli interessati (persone fisiche, non giuridiche).
Francesco Modafferi (Direttore Dipartimento Realtà Pubbliche e Dipartimento Sanità e Ricerche)
Per le P.A. la priorità numero 1 è la nomina del DPO, ma la maggior parte non ha ancora provveduto.
Viene chiesto ai DPO di “fare rete”, di evitare singoli interpelli al Garante, condividendo prima le informazioni tra di loro (questa affermazione è peraltro sembrata forse un po’ troppo “interessata” alla maggior parte dei presenti).
Nella bozza del decreto legislativo di accompagnamento al GDPR (che non è riuscito a vedere la luce prima della scadenza del 25 maggio) si parla di flessibilità e a questo scopo sono previste specifiche clausole per poter mantenere “vivo” quanto presente nell’attuale Codice Privacy e non in contrasto con il GDPR. Ad esempio saranno mantenute le Autorizzazioni Generali (anche se in futuro non saranno più compito del Garante, ma del Ministero di Giustizia) ed i vari provvedimenti (si cita, ad esempio, quello sulla videosorveglianza).
La flessibilità è riaffermata tenendo contro dell’impostazione della tutela dei dati delle persone fisiche (concetto rimarcato più volte). Per meglio dire, non è l’adempimento che deve essere verificato in sé,
piuttosto la presenza costante in tutti i processi della motivazione principe, cioè la “libertà delle persone fisiche”.
Chi tratta i dati deve essere:
− Autorizzato, designato, incaricato, nominato…non importa come, ma deve risultare
− Formato ed istruito adeguatamente a cura del Titolare del Trattamento dei Dati.
Prende quindi molto importanza non il singolo processo, ma l’organizzazione ed il “sistema” in sé.
NOTA IMPORTANTE: rispetto al precedente Codice Privacy, il Responsabile del Trattamento dei Dati non risponde solo all’obbligo dei compiti che gli sono impartiti dal Titolare, ma, come previsto dall’art. 28 del GDPR “devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”. Ecco il perché del “valore giuridico” del contratto che deve essere predisposto a tale proposito per i Responsabili di Trattamento dei Dati, anche per una precisa definizione delle responsabilità delle figure della privacy nell’ottica del principio generale dell’accountability.
Nulla invece è stato detto relativamente all’inquadramento di alcune figure chiave aziendali, come ad esempio quella del Commercialista. Ad oggi esistono due scuole di pensiero, una che li vuole come Responsabili del Trattamento di Dati, l’altra (è questo il caso del Garante Europeo, dott. Giovanni Buttarelli) che li vuole come Titolari autonomi di trattamento di dati:
Antonio Caselli, Servizio relazioni internazionali e con l’Unione europea
Il trasferimento dei dati verso paesi terzi è ormai consuetudine nel momento in cui ad esempio pensiamo a servizi cloud di storage.
Sebbene non sia presente nel GDPR la definizione di “Trasferimento di dati verso paesi terzi”, la giurisprudenza identifica chiaramente il concetto. Il principio è quello della “libera circolazione del dato” in UE ma deve esserci la garanzia che se questo dato “esce” dai confini europei venga comunque tutelato.
Ad esempio una forma di regolamentazione è il cosiddetto Privacy Shield che consiste in un accordo che facilita alle aziende USA il trattamento dati personali di cittadini dell’Unione europea.
Altro aspetto di dimensione europea del GDPR è il principio dello sportello unico (one stop shop). Tale principio stabilisce che le imprese avranno a che fare con una sola Autorità di vigilanza (Garante Privacy), e cioè quella del paese dove hanno la sede principale, piuttosto che con le autorità di 28 Stati europei.
Questo principio, fortemente auspicato dalle imprese, porta alla semplificazione delle procedure e dovrebbe garantire una maggiore coerenza delle decisioni. Di contro consente all’azienda di scegliersi l’Autorità di vigilanza con la quale avrà a che fare, potendo ovviamente decidere dove stabilire la sede nell’ambito del territorio dell’Unione.
Cosimo Comella (Dirigente Dipartimento tecnologie digitali e sicurezza informatica)
Misure di sicurezza
Cosa cambia per la Sicurezza Informatica? Dal 25/05/2018 non ci sono più le “Misure minime di sicurezza” ma devono essere adottare “idonee misure di sicurezza” ed a questo proposito mostra alcune slide per indicare i punti salienti:
Codici di condotta
Ad oggi ci si può appoggiare a standard di certificazione come la ISO 27001, ma non esistono certificazioni approvate ai sensi del GDPR. Si attendono piuttosto framework specifici quali i Codici di Condotta previsti all’art. 40, non certificazioni “tecnologiche” ma organizzative e procedurali.
Ing. Ugo Gecchelin ENTER srl
