Decreto Privacy Europea (ex Dlgs 196/2003 Legislazione Italiana), perchè è così importante per un professionista e per un’azienda
Il DECRETO PRIVACY EUROPEA ex Dlgs 196/2003 (per chi è di nazionalità italiana) ora Rel 2016/679/EU, anche detto Legge sulla Privacy, indica le misure minime da adottare da parte di tutti coloro che detengono dati anagrafici, dati inerenti il trattamento contabile, dati medici, dati civili e/o penali, insomma qualsivoglia elemento riconducibile alla persona, ente o segreto industriale trattato a livello meccanizzato (informatico) e non meccanizzato.
La SHADOIT CONSULTANCY GROUP, ha preso in esame seriamente il problema della sicurezza e della privacy dei propri clienti, soprattutto per le attività di riservatezza che deve rispettare per garantirgli la tranquillità che cercano e meritano, a tutela delle imprese e dei managers.
L’allegato “B” del decreto prevedeva che tutte le ditte di qualsivoglia natura, comprese quelle individuali, dovevano dotarsi di un documento che contenesse le “misure minime in materia di sicurezza” denominato D.P.S. (DOCUMENTO PROGRAMMATICO SULLA SICUREZZA).
Il DPS. era obbligatorio (Art. 34 del Testo Unico – Atto legislativo italiano) solo per quelle organizzazioni che trattano dati personali (anche non sensibili) con l’impiego di elaboratori elettronici.
Chi trattava i dati solo manualmente su supporto cartaceo, non era tenuto ad avere il documento programmatico della sicurezza.
Era esplicitamente richiesto dal comma 19.6 dell’Allegato B del D.Lgs. 196/2003 per tutte le organizzazioni che trattavano dati sensibili con l’ausilio di elaboratori elettronici.
Secondo logica deduzione e secondo gli analisti della SHADOIT CONSULTANCY GROUP, la crescita del fenomeno rete/rischio porta con sé due fattori apparentemente contraddittori: con lo sviluppo della rete aumenta la sofisticazione necessaria per mettersi al riparo da eventi spiacevoli, ma l’ampliamento del mercato rende meno costose le soluzioni di base e a larga diffusione.
Oggi è molto meno dispendioso attuare un’efficiente politica di protezione informatica: dunque, perché correre rischi?
La SHADOIT CONSULTANCY GROUP, vi invita sempre a tenere ben presente, inoltre, che qualunque fosse la spesa da sostenere, vi costerebbe sempre meno di un danno causato da un’improvvisa perdita o alterazione dati, di una intromissione indesiderata, di un furto di notizie, di una mancanza di servizio al vostro cliente, perché quando il danno è fatto, diventa difficile correre ai ripari.
Il Decreto 196/2003, con l’entrata in vigore del Decreto Privacy Europea, ha di fatto abrogato il Documento Programmatico sulla Sicurezza (DPS, art. 34 del Codice sulla Privacy Italiano), che non dovrà quindi essere aggiornato entro il 31 marzo di ogni anno ed il suo mantenimento e relazione restano facoltativi ma consigliabili, in quanto le richieste del Garante alla Privacy rimangono inalterate anche seguendo gli standard europei che tra l’altro, sono meno permissivi.
Il DPS, ricordiamo, è un manuale dove viene pianificata la sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. e sempre secondo il Decreto Privacy Europea, dovrebbero essere riportati in una pagina a parte anche per chi esercita attività di business online, quindi via internet.
Il Garante alla privacy italiana ha individuato una figura responsabile per il trattamento dei dati più una serie di punti per i quali l’azienda deve adottare tutte le misure necessarie per l’espletamento della legge.
E’ stato inoltre eliminato il dettato della regola 19 dell’Allegato B – Disciplinare tecnico in materia di misure minime di sicurezza del Codice in materia di protezione dei dati personali, concernente il contenuto del DPS e la regola 26 dello stesso, che prevede l’obbligo di riferire, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Occorre tuttavia osservare che quanto per l’ex Decreto 196/2003 (Italian Law) che per il nuovo Decreto Privacy Europea, le misure minime di sicurezza la cui efficace realizzazione era sottesa alla redazione del DPS sono rimaste invece inalterate, e in particolare nel settore dei trattamenti informatici.
Molte parti che facevano già parte del decreto privacy italiano, sono state riprese ed estese anche nel Decreto Privacy Europea, quali:
a) l’autenticazione informatica;
b) l’adozione di procedure di gestione delle credenziali di autenticazione;
c) l’utilizzazione di un sistema di autorizzazione;
d) l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) l’adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Inalterate sono anche le misure minime nel campo dei trattamenti cartacei:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Il parere degli esperti in sicurezza e degli analisti informatici e legali della SHADOIT CONSULTANCY GROUP, per impedire eventuali problemi alle aziende ed ai managers, sia di natura tecnica che di natura legale, e continuare a tutelare l’interesse alla privacy dei propri clienti, è:
E’ PREFERIBILE CHE LE AZIENDE CONTINUINO A TENERE UN DOCUMENTO SCRITTO (D.P.S.) CHE CONTENGA LE MISURE DI SICUREZZA ADOTTATE IN AZIENDA, LA LORO EVOLUZIONE NEL TEMPO, E GLI EVENTUALI EPISODI DI CONTESTAZIONE DI PRESUNTE VIOLAZIONI NECESSARIAMENTE DETTATO DALL’EVENTO DI CONTROLLI OPERATI DALLE FORZE DELL’ORDINE CHE AGEVOLERANNO IL TITOLARE RESPONSABILE DELLA PRIVACY AZIENDALE E QUINDI L’AZIENDA STESSA.
CIO’ ANCHE PER CONTINUARE A TENERE SOTTO CONTROLLO IL RISPETTO DELLE MISURE DI TUTELA DELLA PRIVACY PREVISTE DAL CODICE PENALE, CHE SONO TUTTE RIMASTE IN VIGORE.
LO SCOPO DEL D.P.S., INFATTI, E’ PROPRIO QUELLO DI DESCRIVERE LA SITUAZIONE RELATIVA ALLE MISURE ADOTTATE CON RIFERIMENTO AI PUNTI STABILITI DAL GARANTE IN OTTEMPERANZA AL DECRETO PRIVACY EUROPEA.
La SHADOIT CONSULTANCY GROUP, ha accuratamente analizzato il nuovo Decreto Privacy Europea individuando che le categorie dei soggetti interessati a tale normativa sono molteplici, quali: commercialisti, consulenti del lavoro, avvocati, notai, medici, ditte di recupero crediti, assicurazioni, enti o associazioni a carattere politico, filosofico, religioso o sindacale, ditte che eseguono indagini di mercato, aziende di selezione del personale, datori di lavoro che conservano dati relativi allo stato di salute dei dipendenti, ecc.
Tutte le aziende trattano dati personali e sicuramente la Vostra azienda tratta i dati (in elettronico o su carta) dei clienti e dei fornitori o ha un database dei dipendenti che oltre ai dati personali dei vostri dipendenti contiene, direttamente o indirettamente, anche i loro dati “sensibili” (per esempio le assenze per malattia).
E’ necessario, come richiesto dal Decreto Privacy Europea, ai fini di proteggere il diritto alla privacy degli interessati a cui i dati personali si riferiscono, rendere sicuri questi database.
QUALI SONO I DATI PERSONALI
A titolo esemplificativo:
– il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati contabili, dati bancari…
– informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione…
– fotografie, radiografie, video, registrazioni, impronte…
– informazioni relative al profilo creditizio, alla retribuzione…
– informazioni relative alla salute di un soggetto, alla vita sessuale, alla partecipazione ad associazioni di categoria, a partiti, trattenute sindacali, cartelle cliniche, rilevazioni di presenze… etc..
La normativa prevedeva l’obbligo di redazione del Documento Programmatico sulla Sicurezza. La legge PRIVACY EUROPEA ex art. 196/2003 (Italian Law), prevede nuovi adempimenti in merito alla protezione dei dati personali.
Spesso la domanda ricorrente che la SHADOIT CONSULTANCY GROUP si è trovata ad affrontare e che viene posta ai nostri tecnici esperti in sicurezza ed ai nostri legali è il perché c’è la necessità di proteggere la propria attività se per vent’anni non c’e’ stato mai un problema.
Le risposte che la SHADOIT CONSULTANCY GROUP per voce dei suoi specialisti, dà a chi è titubante, specialmente pensando all’eventuale spesa, peraltro esigua, alla quale il piccolo professionista stà pensando é rivolta al suo sistema informatico, al fatto che abbia la convinzione che un’ottimo antivirus possa risolvergli tutti i problemi e spesso ci troviamo nella situazione di essere più esaustivi dicendogli:
“Spiacenti, ma anche il miglior prodotto del mondo nulla può, da solo, contro la ferocia distruttiva dei cyber-criminali o, più semplicemente, un possibile black out hardware.
Professionisti ed aziende di ogni dimensione usufruiscono regolarmente di un collegamento Internet. Queste nuove tecnologie permettono connessioni sempre più veloci e meno costose, quindi, il problema che ne deriva è che sempre più computers sono collegati alla rete in modo permanente, finendo così per diventare potenziali obiettivi di qualche pirata informatico.“
La SHADOIT CONSULTANCY GROUP ha rilevato che l’UE ha scelto di riformare la normativa sul trattamento dei dati personali principalmente a causa dell’incredibile evoluzione tecnologica degli ultimi 15 anni ed anche a causa delle difficoltà di regolamentazione relative ai rapporti tra privati cittadini e aziende europee ed aziende extra-europee.
I principali obiettivi del regolamento definito dalla Commissione Europea sono:
rendere più attuali i principi contenuti nella direttiva del 1995 ed introdurre un testo normativo unico direttamente applicabile in tutti i 28 paesi dell’Unione Europea;
definire i diritti delle persone fisiche in modo chiaro e stabilire inoltre gli obblighi di tutti quei soggetti che trattano o sono responsabili del trattamento dei dati;
stabilire le metodologie per garantire il rispetto delle norme oltre alle sanzioni previste per coloro i quali violano queste norme.
In data 18 dicembre 2015 è arrivata l’approvazione del testo di compromesso definitivo del regolamento da parte del CoRePer (Comitato dei Rappresentanti Permanenti).
Grazie al nuovo regolamento vengono rafforzati i diritti delle persone fisiche europee che avranno maggiore controllo sui propri dati grazie a:
necessità di “chiaro consenso” dell’interessato per poter trattare i suoi dati;
accesso semplificato da parte dell’interessato ai propri dati personali;
diritto di rettifica, cancellazione e “oblio”;
diritto di obiezione (anche riguardo l’utilizzo dei dati personali ai fini di profilazione)
diritto di portabilità dei propri dati personali da un fornitore di servizi ad un altro.
Nel testo del Decreto Privacy Europea, i legali della SHADOIT CONSULTANCY GROUP, hanno rilevato che nel nuovo regolamento sono specificati gli obblighi generali dei titolari del trattamento dei dati personali e di quelle figure che trattano i dati per conto di un’azienda (definiti come “incaricati al trattamento”).
I più rilevanti obblighi in questo senso sono:
obbligo di attuare misure di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati;
obbligo di comunicazione delle violazioni dei dati personali (“data breach notification”);
obbligo di nomina di un Data Privacy Officer in caso vengano svolte attività di trattamento dei dati rischiose.
Secondo quanto enunciato nel Decreto Privacy Europea, la SHADOIT CONSULTANCY GROUP ha notato che il regolamento conferma l’obbligo, già in essere per gli stati membri, di istituire un’autorità di controllo indipendente. Inoltre l’obiettivo è quello di istituire meccanismi appositi per garantire la coerenza nell’applicazione della normativa in tutti i paesi dell’Unione Europea. In particolare nelle dispute transfrontaliere, una società con controllate in diversi stati dovrà interagire solamente con l’autorità preposta nello stato membro in cui è presente lo stabilimento principale.
È prevista l’istituzione di un Comitato Europeo per la Protezione dei Dati che includerà i rappresentati di tutti gli stati membri.
È riconosciuto il diritto di presentare reclamo all’autorità di controllo, il diritto ad un ricorso giurisdizionale ed al risarcimento e responsabilità. Inoltre è previsto il diritto di ottenere il riesame da parte di un giudice nazionale delle decisioni prese dalle autorità preposte alla protezione dei dati.
Per quanto riguarda le sanzioni, sono previste multe fino a 20 milioni di €uro o fino al 4% del fatturato per i responsabili o gli incaricati del trattamento che violano le norme.
Il regolamento prevede la possibilità di trasferimento di dati personali a paesi terzi ed organizzazioni internazionali previa valutazione del livello di protezione offerto dal territorio o dal settore di trattamento del paese terzo eseguita dalla Commissione.
In caso di non adeguatezza, il trasferimento può avvenire ma solamente in casi particolari oppure se esistono adeguate garanzie (clausole di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali).
Uno degli obiettivi della riforma è la semplificazione.
Per chi è italiano, l’obbligo di notifica al Garante non sarà più obbligatorio per chi effettua particolari tipologie di trattamento (geolocalizzazione, ricerca genetica, profilazione, analisi della solidità finanziaria, ecc.), viene considerato troppo oneroso dal punto di vista amministrativo/finanziario e quindi viene sostituito da nuovi meccanismi che vanno a concentrarsi solamente sulle operazioni di trattamento che presentano potenziali rischi per i diritti e la libertà degli interessati.
Con l’introduzione del nuovo regolamento europeo diventa necessario andare a valutare il grado di impatto che il singolo trattamento può avere sulla privacy degli utenti.
La SHADOIT CONSULTANCY GROUP analizzando il testo del Decreto Privacy Europea, ha visto messa ben in evidenza la figura del Data Privacy Officer (o Responsabile della Protezione dei Dati Personali), obbligatoria nei casi in cui il responsabile del trattamento dei dati è un soggetto pubblico, il volume di dati trattati è rilevante oppure i dati trattati sono di tipo giudiziario o comunque sensibile.
Il Data Privacy Officer deve possedere requisiti di professionalità, indipendenza ed autonomia di spesa, può rivestire il ruolo di Amministratore di Sistema ed è figura di referimento del Garante per la privacy.
Può essere un consulente esterno all’azienda e può essere contattato dall’autorità in caso di volontà di acquisire informazioni.
I compiti fondamentali del Data Privacy Officer sono:
conoscere e informare il responsabile del trattamento in merito agli obblighi derivanti dal regolamento europeo;
verificare l’applicazione del regolamento europeo;
garantire la conservazione della documentazione relativa ai trattamenti eseguiti;
controllare che le violazioni dei dati personali siano documentate e notificate;
controllare che venga effettuata la valutazione d’impatto sulla protezione dei dati e che venga richiesta l’autorizzazione o la consultazione preventiva nei casi previsti;
porsi come intermediario tra l’azienda e il Garante per la Privacy;
controllare l’esecuzione delle richieste del Garante per la Privacy.
Questo evince l’importanza di questa figura e le responsabilità dirette ed indirette che gravano sul suo operato.
Nuove forme di privacy
Il regolamento europeo in materia di trattamento e protezione dei dati personali introduce due principi fondativi:
Privacy by design: la tutela dei dati personali deve essere pensata sin dalle prime fasi in cui si progetta la raccolta delle informazioni. Diventa quindi necessario analizzare i flussi di dati e adottare criteri per la minimizzazione dei rischi del trattamento e, ove possibile, riducano la mole di dati trattati.
Privacy by default: viene introdotto l’obbligo di “prevenire la raccolta di dati non necessari per le finalità perseguite”.
La SHADOIT CONSULTANCY GROUP, nel caso desideriate mantenere e/o ottenere un Documento Programmatico di Sicurezza per agevolarvi in eventuali contestazioni e/o controlli dagli organi preposti, vi invierà tramite e-mail, il contratto, un questionario da compilare attentamente e tutta la documentazione necessaria per adeguare la propria azienda (lettere facsimile da compilare secondo regolamentazione europea).
Il questionario ci dovrà essere rispedito immediatamente via e-mail (a cui farà seguito la telefonata di un nostro responsabile), in modo che possa essere redatto il D.P.S. e fornite tutte le specifiche per adeguare la vostra attività.
OFFERTA COMMERCIALE
Il pacchetto Decreto privacy europea è stato studiato ed elaborato dai nostri tecnici in virtù della regolamentazione in vigore negli Stati europei ed è fondamentale per il manager evitare sanzioni ben più costose dello studio e redazione della piramide documentale ricordandosi che tutte le pagine verranno firmate dall’amministratore della SHADOIT CONSULTANCY GROUP che sarà responsabile di quanto scritto nella documentazione fornita.
Servizio redazione Privacy Europea € 800,00 (annuale) da corrispondere anticipatamente alla richiesta dell’attivazione del servizio
La consegna del documento e dei documenti relativi avverrà in formato elettronico con archiviazione presso la nostra struttura per consentire al manager di poter eventualmente riscaricare e stampare tutta la documentazione in caso di necessità.
Il Servizio di redazione Privacy Europea e tutti i consigli per l’adeguamento aziendale non comprendono il costo dell’Amministratore di Sistema che sarà invece responsabile di tutte le informazioni, raccolta evidenza non conformità e richiesta al manager del loro adeguamento.
Siamo a ricordare che solo il manager o Amministratore dell’azienda è responsabile della mancata osservanza della regolamentazione europea rispondendone anche in solido.
I nostri consulenti sono a vostra completa disposizione, se siete seriamente interessati non pensateci e contattateci.