Tutela delle Informazioni

Il nuovo quadro normativo formato dal Regolamento Europeo 2016/679 (GDPR) e dal Codice Privacy D.lgs. 196/03, modificato dal D.lgs 101/2018, disciplina gli obblighi privacy che ogni azienda deve obbligatoriamente adempiere per non incorrere in pesanti sanzioni amministrative e penali.

Il team di SoloPrivacy.it è in grado di supportare i clienti in tutti gli obblighi previsti dal Regolamento Europeo e dal nuovo Codice Privacy attraverso un percorso di affiancamento per la creazione, la gestione e il mantenimento di un Sistema di Gestione Privacy e per l’adempimento di tutti gli obblighi normativi.

Per offrire ai clienti l’opportunità di adeguarsi n maniera semplice e veloce agli adempimenti, SoloPrivacy.it ha creato un Pacchetto Globale di Consulenza, Formazione e Servizi Privacy per implementare e mantenere aggiornato un idoneo Sistema di Gestione Privacy e Sicurezza dei Dati e delle Informazioni.

Il servizio di SoloPrivacy.it, effettuato da professionisti esperti sia per gli aspetti legali sia per gli aspetti tecnici e certificati in materia di privacy e sicurezza dei dati, è basato sulla consulenza e sugli interventi personalizzati per ogni singolo cliente, include le attività e i servizi di adeguamento, le procedure operative, gli aggiornamenti normativi, la formazione, l’assistenza continuativa e le verifiche periodiche.

Dal Garante Privacy la prima Guida al Nuovo Regolamento Europeo

DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” integrato con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”

Videosorveglianza

Fonte: Garante Privacy

Videosorveglianza: Sistemi di videosorveglianza in crescita costante ma attuabili sempre e solo nel rispetto di specifiche garanzie per la libertà delle persone.

L’adozione di sistemi di videosorveglianza è in crescita costante. Questi sistemi trattano dati personali come la voce e l’immagine che sono da considerarsi, in base alla Direttiva 95/46/CE ed alla normativa italiana, informazioni riferite ad una persona identificata o identificabile.

Le dimensioni assunte dal fenomeno, soprattutto grazie alle possibilità offerte dalle nuove tecnologie, hanno spinto il Garante ad intervenire per individuare un punto di equilibrio tra esigenze di sicurezza, prevenzione e repressione dei reati, e diritto alla riservatezza e libertà delle persone.

Nel luglio del 2000 è stata portata a termine la prima indagine sulla presenza di telecamere visibili in Italia.

Nel novembre 2000 il Garante ha emanato delle linee guida contenenti gli indirizzi per garantire che l’installazione di dispositivi per la videosorveglianza rispetti le norme sulla privacy e sulla tutela della libertà delle persone, in particolare assicurando la proporzionalità tra mezzi impiegati e fini perseguiti.

La materia è stata poi ulteriormente regolata da due provvedimenti generali del Garante, emanati rispettivamente nel 2004 e nel 2010, che contengono prescrizioni vincolanti per tutti i soggetti che intendono avvalersi di sistemi di videosorveglianza e precise garanzie per la privacy dei soggetti i cui dati vengano eventualmente raccolti e trattati tramite tali sistemi.

Il provvedimento del 2010, in particolare, sostituisce il precedente e lo integra tenendo conto delle più recenti disposizioni normative in materia e delle possibilità offerte dalla nuove tecnologie. Una speciale attenzione è dedicata alle garanzie sul fronte dell’informazione ai soggetti che transitano in aree videosorvegliate (sempre obbligatori i cartelli informativi, salvo nel caso di telecamere installate a fini di sicurezza pubblica) e ai limiti per la conservazione dei dati raccolti tramite telecamere e videosorveglianza, che può superare le 24 ore solo in casi particolari (indagini di polizia e giudiziarie, sicurezza degli istituti di credito, ecc.).

Phishing

Il Phishing è una tecnica illecita per “pescare” i dati in Rete.  Dal sito del Garante Privacy una scheda informativa che spiega le varie modalità in cui avviene la truffa e i consigli per proteggersi.

Il Regolamento Unico Europeo per la protezione dei Dati Personali aggiorna completamente le norme in materia di privacy in tutti gli stati membri della UE.
E’ entrato in vigore il 24 maggio 2016 e direttamente applicato il 25 maggio 2018.

La nuova legge ha richiesto oltre quattro anni di gestazione ed ha l’obiettivo di adeguare la normativa in materia di protezione dei dati personali al contesto tecnologico attuale, anche e soprattutto per i rischi legati alla Rete ed alla circolazione dei dati che questa ha scatenato: oggi Internet non è più solo informazione ma le nuove tecnologie ci fanno partecipare, ci fanno costruire , ci fanno condividere…. (attraverso i social , i blog, le app, ) anche dal mobile…, ma d’altro canto le nuove tecnologie aumentano notevolmente i rischi che incombono sui dati, rischi dei quali spesso non siamo nemmeno consapevoli.

Le nuove regole segnano un vero cambio di prospettiva: il Legislatore ha deciso di allargare le tutele per l’Interessato che godrà così di nuovi ed importanti diritti, mettendo i dati personali al centro di ogni ragionamento.
Innanzitutto è stato introdotto il concetto di “Accountability” come obbligo per il Titolare di trattamento. Accountability è un termine inglese che non ha una traduzione letterale nella lingua italiana ma descrive sostanzialmente tre elementi:

  • la trasparenza come garanzia della completa accessibilità alle informazioni da parte dell’Interessato;
  • la capacità del Titolare del trattamento di rendere conto di scelte, comportamenti ed azioni, nonché di rispondere alle domande degli Interessati;
  • la compliance, cioè l’aderenza armoniosa a tutte le regole, norme e leggi vigenti.

Significa che il Titolare del trattamento deve essere in grado di rendere conto in ogni momento all’Interessato di come vengono trattati i suoi dati personali e pertanto deve dotarsi di strumenti che gli consentano di ottemperare efficacemente agli adempimenti di legge e si traducano in meccanismi adatti di protezione.

Quindi anche l’applicazione delle misure a protezione dei dati hanno subito un cambiamento sostanziale: non esiste più uno standard minimo cui bisogna uniformarsi ma viene richiesto di individuare i rischi che incombono sui dati che si trattano e mettere in atto le misure adeguate per mitigarli o eliminarli.

Questo porta ad un cambio di approccio notevole: viene richiesto al Titolare di trattamento di maturare la consapevolezza che i dati devono essere protetti attraverso misure di sicurezza adeguate ed efficaci; quindi se prima, con il Codice Privacy, il Titolare di trattamento doveva assolvere ad un obbligo di sicurezza presunta (misure minime di sicurezza, informativa, consensi, lettere di nomina) ed attraverso meri adempimenti formali, con il Regolamento Europeo deve assolvere agli obblighi con provvedimenti sostanziali, poiché le misure messe in atto dovranno risultare adeguate ed efficaci.

Il Titolare del trattamento deve adottare preventivamente le misure di sicurezza imposte dalla legge e adeguate alla propria realtà aziendale, documentarne le singole procedure organizzative e tecniche che attribuiscono le relative responsabilità a tutti coloro che trattano i dati nello svolgimento della loro attività.

Qualora il trattamento sia particolarmente invasivo o richieda l’impiego di dati personali sensibili o giudiziari o sia finalizzato alla profilazione automatizzata degli utenti, diventa obbligatoria una valutazione preventiva dei rischi che impattano sui trattamenti dei dati personali e delle informazioni, rischi che devono essere valutati già in fase di progettazione di qualsiasi attività pubblica e privata.

I principi cardine della legge dunque non cambiano rispetto al DLgs n. 196/03, il trattamento delle informazioni e dei dati personali si deve sempre svolgere nel rispetto dei diritti e delle libertà fondamentali e della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

Il Regolamento Europeo introduce nuovi diritti dell’Interessato, nuove regole che impongono maggiore trasparenza sul trattamento dei loro dati personali e garantiscano nel contempo un loro controllo totale sulla gestione dei dati e dei trattamenti, obbliga a maggiori, preventive e adeguate misure per la sicurezza dei dati per garantire che vengano utilizzati solo per gli scopi per cui sono stati raccolti ed autorizzati, obbliga a dimostrare con evidenze documentali che tutto il “sistema privacy” sia conforme alla nuova legge, con obblighi di responsabilità per tutta la “filiera” di trattamento dei dati, sia interna che esterna all’azienda.

Questo consente all’Interessato di mantenere un effettivo controllo sui suoi dati personali, controllo che gli permette di intervenire in ogni momento e durante ogni processo del trattamento dei dati.

La documentazione conforme alla normativa da produrre, aggiornare e conservare serve a consentire sia le risposte documentate agli Interessati, che è obbligatorio fornire, sia a rapportarsi con l’Autorità Garante qualora fosse necessario.

Anche il personale coinvolto nella gestione dei dati personali deve essere obbligatoriamente formato, possedere i titoli e le capacità per svolgere i propri compiti: un obbligo che non si risolve più solo formalmente ma richiede la corretta preparazione, documentabile e da mantenere aggiornata nel tempo.

In caso si verificasse una violazione in ordine ai dati personali è obbligatoria la notifica al Garante, da effettuarsi entro le 72 ore successive alla scoperta dell’evento, presentando una completa documentazione che spieghi come si sono svolti i fatti, quali sono i dati coinvolti e la quantità di Interessati oggetto della violazione.

La documentazione verrà utilizzata anche per valutare eventuali sanzioni nei confronti del Titolare del trattamento o del Responsabile del trattamento.

Nei casi più gravi di violazione di dati personali è fatto obbligo di notifica della violazione anche agli Interessati, esponendo il Titolare alla richiesta di risarcimento del danno.

Il Regolamento prevede il risarcimento di danni materiali ed immateriali, pertanto è lecito aspettarsi una maggiore quantità di richieste di risarcimento rispetto a quanto avvenuto ad oggi.

Anche le sanzioni sono state riviste per renderle effettive e congruenti anche quando viene sanzionata una grande azienda o una multinazionale, viene eliminato il “listino” relativo alle singole sanzioni, al momento uguali per tutte le aziende, e sostituito da una sanzione massima che può arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo in caso sia superiore.

Non essendoci più il listino delle sanzioni queste verranno applicate con discrezionalità anche in funzione della gravità del fatto, di quanto è perdurato nel tempo e di quanti e quali dati personali sono stati coinvolti.

Il nuovo Regolamento Europeo richiede quindi più attenzione, più adempimenti ed una verifica costante dell’efficacia delle misure di sicurezza messe in atto.

E’ necessario organizzarsi in questo percorso di adeguamento che richiede maggiore tempo e lavoro per dimostrare di essere conformi alla nuova normativa, poiché i dati sono un bene preziosissimo che deve essere difeso a tutela dell’Interessato ma i dati devono essere difesi anche perché sono la base indispensabile e preziosa per svolgere la propria attività.