Intervento di Montemagno e Pistonio al #SIOS17
22 Dicembre 2017Ma davvero Sergio Marchionne ha rovinato un’eccellenza italiana, sfruttato i contributi statali e delocalizzato tutta la produzione?
23 Luglio 2018GDPR, tutto ciò che c’è da sapere per essere in regola
Ancora imprese ed enti pubblici sono impreparati ad accogliere le novità del maggio 2018, con il nuovo regolamento sulla protezione dei dati personali. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi destreggiare nella rivoluzione
A partire dal 25
maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General
Data Protection Regulation) –relativo
alla protezione delle persone fisiche con riguardo al trattamento
e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come
indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e
maggiore semplicità delle norme riguardanti il trasferimento di dati personali
dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessarie
e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre il
WP29 ha adottato tre fondamentali provvedimenti che avranno
importanti ricadute su punti essenziali del GDPR proprio sul tema
dell’innovazione tecnologica) e dai nuovi modelli di crescita economica,
tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite
dai cittadini Ue. Vedi anche le novità previste in Legge di Bilancio 2018. A preoccupare
sono, però, le disposizioni di ratio sostanzialmente opposte che hanno
attribuito agli Stati membri la possibilità di legiferare in autonomia al fine
di “precisare” le norme contenute nel GDPR. In qualche modo si è “tradita”
l’iniziale visione dell’Ue e potrebbero sorgere contrasti tra il Regolamento e le leggi
nazionali adottate per allinearsi alle nuove indicazioni.
Cosa cambia nel regolamento generale sulla protezione dei dati e come adeguarsi alla normativa
In estrema sintesi col GDPR:
- Si
introducono regole più chiare su informativa e consenso;
- Vengono
definiti i limiti al trattamento automatizzato dei dati personali;
- Poste le
basi per l’esercizio di nuovi diritti;
- Stabiliti
criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Fissate
norme rigorose per i casi di
violazione dei dati (data breach).
Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e caso di inosservanza delle regole rischiano pesanti sanzioni.
One stop shop (sportello unico)
Per risolvere eventuali difficoltà è stato introdotto lo “sportello unico” (one stop shop), che semplificherà la gestione dei trattamenti e garantirà un approccio uniforme. Le imprese che operano in più Stati Ue potranno rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale. In realtà, almeno in Italia, oltre la metà delle aziende – ma anche tante Pubbliche amministrazioni – non è ancora pronta ad allinearsi ai provvedimenti Ue in materia di data protection nonostante le severe sanzioni previste. Un aiuto potrebbe arrivare dal Piano Industria 4.0 che permetterebbe di investire per avviare l’adeguamento al GDPR. Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:
1. La designazione in tempi stretti del Responsabile della protezione dei dati;
2. L’istituzione del Registro delle attività di trattamento;
3. La notifica dei data breach.
Portabilità dei dati
Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamentoa un altro. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi. In questo caso il diritto non potrà essere esercitato, così come è vietato il trasferimento di dati personaliverso Paesi extra Ue o organizzazioni internazionali che non rispondono agli standard di sicurezza in materia di tutela.
Il principio di “responsabilizzazione”
Vi sono altri importanti elementi di novità. E’, infatti, stata introdotta la responsabilizzazione dei titolari del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Questo nuovo diritto faciliterà il passaggio da un provider di servizi all’altro, agevolando la creazione di nuovi servizi, in linea con la strategia del Mercato Unico Digitale.
Data breach
Il titolare del trattamento dovrà comunicare eventuali violazioni dei dati personali al Garante. Rispondere in modo efficace a un data breach richiede un approccio multidisciplinare ed integrato e una maggiore cooperazione a livello Ue. L’attuale approccio presenta numerose falle che vanno corrette. Non è semplice ma occorre farlo per non perdere l’occasione fornita dal GDPR. Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali, ma prima ancora che alle beghe burocratiche, l’azienda deve comprendere l’importanza e il valore dei dati, nonché agli ingenti danni economici legati a una perdita di informazione Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone:
- Il
titolare dovrà informare in modo chiaro, semplice e
immediato anche tutti gli interessati e offrire indicazioni su come
intende limitare i danni;
- Potrà
decidere di non informare gli interessati se riterrà che
la violazione non comporti un rischio elevato per i loro diritti oppure se
dimostrerà di avere già adottato misure di sicurezza; oppure, infine, nell’eventualità
in cui informare gli interessati potrebbe comportare uno sforzo
sproporzionato al rischio. In questo ultimo caso è dovrà provvedere con
una comunicazione pubblica;
- L’Autorità
Garante potrà
comunque imporre al titolare del trattamento di informare gli interessati
sulla base di una propria valutazione dei rischi correlati alla violazione
commessa.
Le responsabilità e le sanzioni per le
aziende
Ci sono
diverse fattispecie e si va da un mera diffida amministrativa a sanzioni fino a
20 milioni di euro. Ecco tutto ciò che c’è da sapere sulle sanzioni GDPR.
La figura del DPO (Data Protection
Officer)
Non a caso
è stata prevista la figura del “Responsabile della protezione dei
dati” (Data Protection Officer
o DPO), incaricato di assicurare una gestione corretta dei
dati personali nelle imprese e negli enti e individuato in
funzione delle qualità professionali e della conoscenza specialistica della
normativa e della prassi in materia di protezione dati.
Il
Responsabile della protezione dei dati:
1. Riferisce
direttamente al vertice,
2. E’ indipendente, non
riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
3. Gli vengono
attribuzione risorse umane e finanziarie adeguate alla mission.
In realtà
persistono ancora troppi dubbi su cosa sia il DPO. E’ una figura rilevante, ma
certamente non è il “centro” del sistema posto in essere dal GDPR, che nel
nuovo ordinamento è sempre il Titolare del trattamento. Il DPO deve avere una
specifica competenza “della normativa e delle prassi in materia di dati
personali nonché delle norme e delle procedure amministrative che
caratterizzano il settore”. È non meno importante però che abbia anche “qualità
professionali adeguate alla complessità del compito da svolgere”
e, specialmente con riferimento a settori delicati come quello della
sanità, possa dimostrare di avere anche competenze
specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’
altrettanta importante l’autonomia decisionale e
l’estraneità del DPO rispetto alla determinazione
delle finalità e delle modalità del trattamento dei dati se si vuole restituire
agli interessati quella sovranità sulla circolazione dei propri dati.
LEGGI QUI
UN APPROFONDIMENTO SU DPO
I dodici
nuovi diritti per il cittadino con il Gdpr
I
cittadini devono conoscere meglio i diritti e gli strumenti che il Gdpr conferisce loro per tutelare i dati personali. Questo articolo è una guida sui nuovi diritti Gpdr per i cittadini ue
e in generale l’impatto delle nuove regole su di loro.
I poteri
dell’autorità di controllo (Garante privacy)
All’autorità
di controllo, il nostro Garante Privacy, sono conferiti poteri di indagine,
correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni
amministrative pecuniarie. Ecco che c’è da sapere sui poteri del garante privacy nel GDPR.
Adeguare
la PA al GDPR
Diventa
prioritario per ciascuna amministrazione definire internamente quale sia
l’ufficio che si occupi stabilmente dell’adeguamento al GDPR, poi definire il
DPO (responsabile trattamento dati) la
trasparenza del responsabile trattamento dati e altre misure. Ecco la guida completa per GDPR e PA.
Privacy
e Trasparenza con il GDPR
Tra le
molte novità, il GDPR potrà aprire una nuova pagina sul tema del rapporto tra privacy e trasparenza,
anche in riferimento all’attività dei soggetti privati che svolgono funzioni di
pubblico interesse. In questo contesto, è importante
sottolineare come il nuovo regolamento non modifichi direttamente le norme
nazionali in materia di accesso ai documenti amministrativi, né quelle
attualmente applicate alle innumerevoli istituzioni europee. Si preoccupa
invece di chiarire l’assenza di un rapporto di contraddizione, in quanto i
valori di “trasparenza” e di “tutela efficace della riservatezza” sono
considerati entrambi meritevoli di efficace protezione.
GDPR e
diritto all’oblio
La vera
novità che arriva con il Gdpr sul diritto all’oblio è
nell’articolo 17: la richiesta di cancellazione rivolta a un titolare che abbia
reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che
li utilizzano. L’impatto sui diritti dei cittadini è importante, ecco perché: LEGGI LE NOVITA’ GDPR SUL DIRITTO ALL’OBLIO
Perché
il GDPR è un investimento necessario per il futuro di aziende e PA
Le imprese
e le PA devono considerare l’attuazione del GDPR non come un costo ma come un
investimento. Necessario a sostenere il proprio futuro nel mercato e
istituzionale. Proteggere i dati significa anche assicurarne la qualità,
presupposto per ogni sviluppo nell’internet delle cose e intelligenza
artificiale.