GDPR: aggiornamenti dall’incontro a numero chiuso che il Garante ha concesso per…

[ad_1]
GDPR: aggiornamenti dall’incontro a numero chiuso che il Garante ha concesso per la prima volta ai DPO (o RPD o semplicemente responsabili della protezione
dei dati)

– Informative a tutti i clienti/amici/fornitori e chi più ne ha e più ne metta, inviate per mail: NO!
Non esiste alcuna prescrizione circa il reinviare a tutto il database aziendale delle mail la nuova informativa sulla privacy. I consensi che sono stati acquisiti con la vecchia legge VALGONO CONFORMEMENTE anche con la nuova legge e non è obbligatorio richiederlo a tutti. Come non è assolutamente obbligatorio l’invio della nuova informativa.

– Informative estremamente particolareggiate: NO!
Gli esponenti del Garante hanno ancora una volta richiamato l’attenzione su come le informative debbano essere semplici e concise, con linguaggio immediatamente capibile da
chiunque, ripulite da tutte le informazioni non prettamente necessarie. Devono invece essere facilmente reperibili (anche richiedendole direttamente per mail qualora non fossero presenti su un sito) e devono essere presenti canali per l’esercizio dei diritti dell’interessato.

– Informative alle aziende: NO!
Art.1 Comma 1 del GDPR:
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
Le aziende non sono persone fisiche, per cui (e questo valeva anche con la vecchia 196) il regolamento non si applica nei casi di trattamento di dati di aziende. Quando ricevete dei
dati da parte di aziende, si presuppone che tali dati siano già stati acquisiti in modo lecito nell’ambito del contratto o del servizio richiesto a tale azienda. Per semplificare: se ricevete
una mail da parte di un soggetto di una azienda, sarà compito dell’azienda aver già formato ed istruito chi vi invia tale mail fornendogli una mail non a carattere personale e istruzioni
adeguate. Nell’ambito del contratto con tale azienda potreste casomai dover mantenere la segretezza di tali informazioni, ma un ordine o una commessa di lavorazione non è un dato
personale.

– Importanza della documentazione dei trattamenti come elemento della sicurezza
La documentazione tecnica dei trattamenti con strumenti elettronici, viste e diagrammi dei trattamenti e i rapporti con attori interni ed esterni dei trattamenti saranno FONDAMENTALI.
Questo significa che l’informativa non è il mezzo che mette al riparo da tutti i guai ma saranno fondamentali i contratti firmati con i vari fornitori di servizi (con le relative garanzie di
sicurezza come certificazioni ISO) e i rapporti stabiliti con altri soggetti che trattano dati per conto dell’azienda, sia soggetti interni (dipendenti) sia soggetti esterni (responsabili e/o
contitolari del trattamento). I fornitori di servizi che non forniscono sufficienti garanzie causano una responsabilità diretta al titolare che non cambia tali soggetti o che non esige
il rispetto di determinati standard di sicurezza. Il Garante ha espressamente chiesto che, in fase di verifica, siano facilmente dimostrabili i rapporti tra tutti i soggetti attivi nei trattamenti
e si possa facilmente tracciare tutto il ciclo dei dati.

– Compliance GDPR “pratica” e non burocratica
I controlli punteranno a verificare nel concreto i trattamenti non conformi e non ci si potrà nascondere dietro la “buona fede”. Sarà compito del titolare dimostrare di aver agito in assenza
di colpevolezza; tuttavia, citando una sentenza della cassazione, il funzionario del Garante ha ben evidenziato come sia sufficiente la coscienza e la volontà della condotta attiva o omissiva, per considerare come pienamente responsabile il titolare del trattamento.

– Controlli immediati post 25 Maggio
Nei loro interventi, gli esponenti hanno evidenziato come anche per loro ci sia una oggettiva difficoltà nel dover effettuare verifiche con un decreto attuativo ancora assente. Pertanto hanno sottolineato come i soggetti più a rischio siano quelli che abbiano necessità obbligatoria del DPO per definizione (in particolare gli enti pubblici) e quelli che trattino dati particolari, in particolar modo quelli sanitari, biometrici e legati alle nuove tecnologie. In tale scenario hanno evidenziato come l’azione ispettiva sarà tesa ad un rapporto collaborativo soprattutto in presenza dei DPO designati. Particolare attenzione sarà rivolta a come i soggetti avranno affrontato l’adeguamento alla nuova legge: il poter dimostrare di aver avviato procedure di adeguamento sarà considerato fattore estremamente positivo in fase di controllo anche se non ci sarà una compliance al 100%; di contro, il titolare che non ha minimamente avviato alcun processo di adeguamento sarà molto negativamente valutato dall’attività ispettiva.
Il concetto è stato quindi: se avete avviato un processo di adeguamento, siete sulla buona strada.

Ad oggi non c’è stata una modifica del piano ispettivo, pertanto l’attività di verifica dovrebbe continuare nelle prossime settimane nei settori di chi effettua trattamenti di dati sanitari, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing.

Quindi state tranquilli sui possibili controlli e conseguenti sanzioni ma allo stesso tempo non pensate che basti inviare le informative per essere in regola!!
Un grazie a Marco Vettori per le preziose info
[ad_2]

Pubblicato sulla nostra pagina facebook