• NUOVO CODICE PRIVACY: Cosa fare? A che punto siamo? •

Dimensione Sicurezza Srl consapevole dell’enorme importanza che detiene il rispetto della normativa privacy in materia di trattamento dei dati personali, con particolare riferimento ai dati immagine e di videosorveglianza, è in grado di segnalare e supportare i propri clienti nel percorso di adeguamento alla normativa privacy attualmente in vigore (Dlgs. 196/03 Nuovo Codice Privacy) con l’obiettivo del raggiungimento della “Compliance Privacy” e preparazione al recepimento del Nuovo Regolamento Europeo che introdurrà l’onere in capo al Titolare del Trattamento di dimostrare l’adozione di tutte le prescrizioni privacy (art. 22 : principio della Accountability – responsabilità verificabile -) basata su un’analisi preventiva denominata P.I.A. (privacy impact assessment : art. 33).

La consulenza in tema “Privacy” viene erogata da una figura esterna certificata da un organismo indipendente accreditato ACCREDIA (ex Sincert) al n° 68C, per la Certificazione di Auditor, Data Protection Officer, Lead Auditor e Privacy Consultant nei vari settori.

La figura certificata (Data Protection Officer Privacy Consultant & Auditor Certificated Num. Reg. DPO1529 secondo gli standard ISO UNI EC 17024:2012 e ai sensi della legge 4 del 2013) è in grado di procedere ad una sistematica verifica del corretto adempimento effettuando un’attività di consulenza per la preparazione e presentazione della corretta documentazione che attesti la corrispondenza e possesso dei requisiti richiesti dalla legge.

A che punto siamo

Il Parlamento europeo mercoledì 12 marzo 2014 ha approvato in prima lettura il progetto di legge per consolidare il lavoro fatto finora in tema di Data Protection con 621 voti a favore, 10 contrari e 22 astensioni. Il pacchetto legislativo relativo alla protezione dei dati consiste in un regolamento generale che copre la maggior parte delle norme sul trattamento dei dati personali nell’Unione Europea, sia nel settore pubblico sia nel privato, e in una direttiva relativa al trattamento dei dati personali per prevenire, indagare e perseguire i reati penali o per applicare sanzioni penali. Nel Regolamento approvato è prevista l’istituzione della figura del Data Protection Officer (Responsabile della protezione dei dati) e la sua obbligatorietà per la Pubblica Amministrazione e per aziende che trattano dati particolari.

Il Dossier privacy

La progettazione ed implementazione di un corretto ed aggiornato Sistema e Dossier Privacy è una premessa indispensabile per garantire il rispetto dei fattori di Qualità, senza il quale non è possibile conseguire la soddisfazione dei clienti. Il Sistema e Dossier Privacy ha, inoltre, la possibilità di integrarsi con altri aspetti quali la normativa 231/2001 per la responsabilità amministrativa delle imprese, la normativa ambientale, la sicurezza del lavoro, la certificazione della qualità, ecc.

Le attività poste in essere per la realizzazione del sistema e dossier privacy ai fini del rispetto totale della normativa in materia di trattamento dei dati apportano già dal loro inizio numerosi benefici; la revisione dei processi, l’individuazione dei punti critici, la razionalizzazione delle procedure e degli strumenti, il controllo e la valutazione dei fornitori, l’addestramento del personale, consentono il raggiungimento in tempi brevi dei livelli di qualità prestabiliti.

Il Data Protection officer

Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati è una figura introdotta dal Nuovo Regolamento Europeo (Il Privacy Officer art. 35) che obbliga le imprese che hanno determinati requisiti e gli Enti pubblici ad inserire questo nuovo ruolo aziendale all’interno del proprio organigramma e funzionigramma.

Il supporto del Data Protection Officer mira a presidiare l’area dei risultati, correlandoli all’efficacia ed efficienza ed applicando il principio del miglioramento continuo nella misura necessaria al perseguimento di obiettivi aziendali coerenti con le esigenze manifeste ed implicite della struttura. L’obiettivo primario è il raggiungimento della compliance privacy.

COMPLIACE PRIVACY

Cosa dobbiamo prevedere per raggiungere una corretta Compliance Privacy ?

  1. Corretta individuazione delle figure deputate alla sicurezza dei dati: Titolare, Responsabili, Amministratore di Sistema, incaricati;

  2. Corretta formazione rivolta alle figure aziendali individuate a ricoprire i ruoli previsti dalla normativa;

  3. Corretta predisposizione e aggiornamento di tutta la modulistica richiesta dalla normativa (lettere di incarico , informative, consenso etc.) dei propri dipendenti e collaboratori, fornitori ed anche clienti, in quanto la inidonea e incompleta predisposizione per il Garante è equiparabile all’inosservanza e come tale perseguibile e punibile per legge;

  4. Corretta implementazione e aggiornamento di un sistema di sicurezza informatica e telematica ex art. 34 (lett. a/b/c/d/e/f/h) Dlgs 196/2003;

  5. Corretta redazione di un regolamento interno disciplinante le modalità di utilizzo degli strumenti informatici e telematici (posta elettronica, cellulari, palmari aziendali e siti internet) e avente inoltre una specifica valenza ai fini della limitazione della responsabilità amministrativa delle società (Dlgs. 231/2008);

  6. Corretta analisi e adozione dei provvedimenti specifici emanati dal G.P.D.P.

REGOLAMENTO UE

Raggiunta una corretta Compliance Privacy continueremo il percorso per il recepimento del Nuovo Regolamento UE, che a breve verrà introdotto e il quale fra le sue novità ed attività prevede :

  • Un Check Assestment Privacy, che consiste nell’analizzare un insieme di processi funzionali che si devono mettere in atto al fine di realizzare una seria e fattiva analisi dei rischi attraverso lo studio delle modalità di trattamento dei dati presenti all’interno della propria struttura. La verifica deve individuare i rischi correlati e le misure idonee a neutralizzarli o eventualmente a gestirli: un’operazione che vede il suo logico risultato nella formalizzazione di un M.O.P. (Modello Organizzativo Privacy);

  • Corretta applicazione del principio di responsabilità (art. 22) : Il principio della Accountability (responsabilità verificabile) comporterà l’onere in capo al titolare del Trattamento dei dati di dimostrare l’adozione di tutte le prescrizioni privacy. Al fine di dimostrare l’osservanza di questo principio è stato introdotto il dovere di costituire e conservare una apposita documentazione basata sul P.I.A. (privacy impact Assestment art.33) in grado di attestare il “modello organizzativo e di sicurezza privacy “ (c.d. principio di rendicontazione) che è dato da quell’insieme di processi funzionali che si devono mettere in atto al fine di realizzare (continuativamente, art.33bis) una seria e fattiva analisi dei rischi attraverso lo studio delle modalità di trattamento dei dati;

  • Corretta applicazione dell’Art. 28, che prevede l’obbligo di predisporre, conservare e mettere a disposizione dell’Autorità di Controllo la documentazione di tutti i trattamenti effettuati;

  • L’art. 30 stabilisce che, tenuto conto dei risultati della valutazione di impatto (art. 33 P.I.A) e dell’evoluzione tecnica e dei costi di attuazione, il responsabile e l’incaricato del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire il livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta;

  • Obbligo di notificazione in caso di violazione (Personal Data Breaches artt. 31-32) : Viene introdotto l’obbligo di notifica in caso di violazione dei dati personali all’autorità di controllo e in alcuni casi l’obbligo di comunicare l’accaduto anche all’interessato; Art. 32 : Analisi dei rischi. Obbligo di effettuare un’analisi dei rischi (Risck Analysis) per il responsabile del trattamento o, se del caso, l’incaricato del trattamento. Questi procedono ad un’analisi dei rischi dell’impatto potenziale del trattamento dei dati previsto sui diritti e le libertà degli interessati per valutare se il trattamento può presentare rischi specifici;

  • Con l‘introduzione dell’art. 39 nel nuovo regolamento sul trattamento dei dati personali, l’Unione Europea intende promuovere la possibilità di predisporre meccanismi di certificazione per il rilascio di sigilli e marchi per la rapida valutazione da parte degli interessati e delle autorità coinvolte, al fine di valutare con estrema rapidità il livello di protezione, di qualità ed affidabilità dei dati gestiti.

Il testo del Regolamento europeo privacy prevede molti altri articoli e principi, che dovranno essere valutati e analizzati sulla base del “Check Up” personalizzato sul livello di adeguamento di ogni realtà.

Agostino Oliveri
Data Protection Officer, Privacy Consultant e Auditor Certificated
(UNI CEI EN ISO IEC 17024:2008 e Legge 4/2013)