GDPR, ovvero General Data Protection Regulation è il nuovo Regolamento Europeo sulla protezione dei dati personali.
È importante ricordare che non decadono i Provvedimenti del Garante, gli accordi internazionali e le Decisioni della Commissione UE. Fra le novità introdotte dal GDPR (registro dei trattamenti, DPIA, misure adeguate, entità delle sanzioni, DPO, accountability) assumono particolare rilevanza la figura del DPO – Data Protection Officer e le Certificazioni.

Il Data Protection Officer è una figura professionale introdotta daL Regolamento Generale sulla Protezione dei Dati 2016/679 GDPR, pubblicato sulla Gazzetta Ufficiale Europea L. 119 il 14 maggio 2016, ovvero un professionista in grado di avere competenze informatiche, giuridiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali all’interno di un’azienda pubblica o privata con la finalità che i dati vengano trattati nel pieno rispetto della normativa privacy in vigore.

L’art. 39 del Regolamento Europeo elenca i principali compiti del Data Protection Officer che sono dare consulenza e informare il Titolare o il Responsabile del Trattamento e tutti coloro che effettuano il trattamento in merito agli obblighi derivanti dal Regolamento, sorvegliare che le disposizioni in merito alle attività di controllo vengano rispettate, fornire pareri sulla valutazione d’impatto sulla protezione dei dati sorvegliandone il corretto svolgimento (di cui l’art. 35), collaborare con le autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva (di cui l’art. 36).
Dovranno obbligatoriamente dotarsi di un Responsabile della Protezione dei Dati personali tutte le pubbliche amministrazioni ed enti pubblici (eccetto le autorità giudiziarie), e tutti i soggetti (enti e imprese piccole, medio e grandi) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui I trattamenti richiedono il monitoraggio regolare e sistematico degli interessati.

Le imprese, che non ricadono nell’obbligo di legge, potranno dotarsi ugualmente di un Data Protection Officer di supporto al titolare del trattamento per garantire le misure prescritte dal Regolamento Europeo.

La designazione del DPO è obbligatoria per:

• Enti pubblici;
• Titolari di trattamento le cui attività principali consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
• Titolari di trattamento le cui attività principali consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili e dati relativi a condanne penali).

Le “attività principali” vanno intese in senso lato: per un ospedale è la sanità, che non può essere erogata senza un massiccio trattamento dati, quindi scatta obbligo DPO.
Il “trattamento su larga scala” non è definito ma occorre tenere in considerazione alcuni aspetti quantitativi: numero degli interessati, percentuale della popolazione, durata/permanenza, estensione geografica.
Il “monitoraggio regolare e sistematico” non è definito, include essenzialmente la profilazione online, ma non solo.

Il Responsabile della protezione dei dati, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

• possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
• adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
• operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio. Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Maggiore è la complessità del trattamento, maggiori dovranno essere le competenze e l’esperienza del DPO, il quale dovrà comunque possedere qualità professionali, conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e capacità di assolvere i compiti previsti.

Il principale compito del DPO è il controllo del rispetto del GDPR”, azione nel corso della quale il DPO può raccogliere dati, analizzare la compliance e infine “informare, consigliare e formulare raccomandazioni al Titolare o al Responsabile”. Il WP29 chiarisce: “Il controllo della conformità non significa che sia il DPO ad essere personalmente responsabile nel caso in cui vi sia una non conformità. Il GDPR rende chiaro che è il Titolare, non il DPO, ad essere tenuto all’attuazione di misure tecniche e organizzative che garantiscano e che dimostrino che il trattamento viene eseguito in conformità al GDPR”.
In conclusione, il rispetto della protezione dei dati è una responsabilità aziendale del Titolare del trattamento, non del DPO“.

Il Responsabile della protezione dei dati dovrà:

• informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
• fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;.
• fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
• fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

Il DPO deve essere coinvolto in tutte le questioni che si riferiscono alla protezione dei dati.
Il GDPR prevede esplicitamente il coinvolgimento del DPO in alcune attività specifiche, come ad esempio nello svolgimento delle Valutazioni di Impatto sulla Protezione dei Dati, specificando inoltre che il Titolare deve chiedere il parere del DPO su questi temi.
Il Titolare e il Responsabile del trattamento restano tuttavia responsabili del rispetto della normativa sulla protezione dei dati e devono essere in grado di dimostrare la conformità al GDPR.
Il DPO può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

Dovranno designare obbligatoriamente un Responsabile della protezione dei dati:

1. amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Un titolare del trattamento o un responsabile del trattamento possono comunque designare un Responsabile della protezione dei dati anche in casi diversi da quelli sopra indicati.

Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati.

Per approfondimenti: http://www.garanteprivacy.it/pacchettoprotezionedati

Il Gruppo WP29, istituito dall’art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il WP29 adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Il WP29 incoraggia l’adozione del DPO anche quando non è obbligatorio, poiché lo individua come un elemento fondamentale nel processo di compliance, nonché un intermediario fondamentale per diversi interlocutori.
La figura del DPO era già prevista dalla normativa privacy adottata da alcuni stati membri.

In una parola: RID

La Sicurezza delle informazioni si deve scomporre in tre aspetti fondamentali: la riservatezza delle informazioni, l’integrità delle informazioni e la disponibilità delle informazioni.
La riservatezza è la proprietà di un’informazione di non essere disponibile a individui, entità e processi non autorizzati.
L’integrità è la proprietà di un bene [e, quindi, di un’informazione]di essere protetto per quanto riguarda l’accuratezza e la completezza;
La disponibilità è la proprietà di essere accessibile e utilizzabile[entro i tempi previsti] su richiesta di un’entità autorizzata.

COSTRUZIONE DI UN SISTEMA DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI: IMPORTANZA DEL CONTESTO

Per la costruzione di un Sistema di Gestione della Sicurezza delle informazioni è necessaria la definizione del contesto dell’organizzazione che si compone di fattori interni ed esterni e di aspettative delle parti interessate.
I fattori interni ed esterni rilevanti da identificare sono quelli che hanno un’influenza sul raggiungimento degli obiettivi di sicurezza delle informazioni dell’organizzazione.
Esempi di fattori interni sono la struttura organizzativa, le caratteristiche delle sedi e delle infrastrutture in cui sono trattate le informazioni, la tipologia di informazioni trattate.
Esempi di fattori esterni sono la normativa applicabile e l’evoluzione della stessa (Regolamento Europeo Privacy, necessità di nuove figure aziendali come il DPO), l’evoluzione tecnologia dei sistemi di comunicazione delle informazioni.
Le aspettative delle parti interessate (clienti, fornitori, enti di controllo) sono un ulteriore aspetto da considerare per avere una chiara definizione del contesto.

OBIETTIVO DELLA SICUREZZA DELLE INFORMAZIONI: GESTIRE IL RISCHIO

La gestione del rischio parte dall’individuazione degli Asset informativi che si vogliono proteggere.
Su ciascun Asset possono incombere minacce che creano eventi negativi per l’organizzazione se sono presenti vulnerabilità, punti di debolezza nella struttura organizzativa, tecnica e infrastrutturale di un’organizzazione.
Le Minacce possono derivare da comportamenti di soggetti malintenzionati e non e da eventi naturali.
Gestire il rischio comporta l’individuazione delle contromisure adeguate a ridurre le vulnerabilità interne.

Nella gestione del rischio si parte dall’individuazione ed analisi dei rischi con l’obiettivo di poterli stimare e classificare per poter definire le azioni di trattamento più adeguate.
Una volta trattati i rischi è opportuno definire un livello di accettazione dei rischi residui, che deve essere coerente con il profilo di rischio dell’organizzazione.
Uno standard per la gestione del rischio è rappresentato dalla ISO/IEC 27005.