Posts tagged "PrivacyLab GDPR"

Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.

Ma non lo può fare, per legge.

Bene. Allora come deve essere l’informativa? Cosa deve contenere?

L’interessato è la persona fisica a cui si riferiscono i dati personali.

Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante.

6) Quali sono i dati raccolti

• le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –,
• le informazioni che una volta venivano chiamate dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –,
• le informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari
• i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.

7) Se il trattamento comporta operazioni automatizzate, come la profilazione

8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)

9) Per quanto tempo saranno conservati i dati e in che modo

Il Registro delle Opposizioni è stato istituito nel 2010 con un Decreto della Presidenza della Repubblica per dare la possibilità di fare marketing tramite chiamate con operatore o con la posta cartacea alle persone che non si sono opposte.

L’informativa: cosa deve contenere

Questo era solo un assaggio!

• Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
• Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
• Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
• I tempi di conservazione: per quanto tempo tratti quei dati?
• Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM – un caso che è uscito su tutti i giornali – in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
• I trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
• I dati di DPO e Cotitolari

Registro, informativa, sistemi informatici: tutto deve essere allineato

Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato

È fondamentale che il registro dei trattamenti sia aggiornato. Perché è fondamentale? Perché, se un interessato chiede a te, titolare del trattamento, di cancellare un dato – anche se ovviamente ci sono dei limiti alle sue richieste: non può chiederti di cancellare una fattura, per esempio – tu devi sapere dov’è quel dato e a chi l’hai dato. L’hai dato ad un partner? L’hai dato al responsabile esterno? Se non hai un registro dei trattamenti, come fai a sapere a quali partner e a quali responsabili esterni l’hai dato?

Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile

Chi è obbligato a istituire il registro dei trattamenti?

Questo era solo un assaggio!

Paesi fuori dalla White List e Standard Security Clauses

Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo.

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.

La legge ci dice che il DPO deve:

• informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
• sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
• fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
• cooperare con l’autorità Garante nazionale;
• fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.

DPO: i requisiti (Ovvero cosa deve sapere)

Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?

Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.

Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.

Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.

Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.

ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.

Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.

Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.

Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?

La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?

Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.

Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.

Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.

Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.

Come posso accrescere la mia competenza?

Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.

In soldoni la formazione:

• deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
• deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
• ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.

Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab

RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/

FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:

È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!

Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.

Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.

Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.

Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.

Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.

5 – Salvataggio della temperatura corporea

Non si può fare! Te l’ho detto 70 volte, te lo dico la 71esima. Non si può fare da nessuna parte, su nessun asset digitale o cartaceo che sia.

Da nessuna parte ci deve essere scritta la temperatura di Antonio, di Francesco, di Maria.

Anche se è pseudo-anonimizzata. È importante questo.

Perché ne stanno venendo fuori veramente tantissime di situazioni dove vengono registrate le temperature come se non ci fosse un domani!

Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano

Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR

Come si verifica il fornitore del dispositivo che misura la temperatura?

Come scegliere gli strumenti digitali che registrano i questionari

• capire se salva i dati
• e se salava i dati, quali dati sono e dove li salva
• chi li vede e come
• nominare il fornitore responsabile esterno
• verificare l’adeguatezza del fornitore

Verifica anche se puoi cambiare le domande che vengono fatte nel questionario.

Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).