GDPR: il trattamento dei dati dei dipendenti da parte del datore di lavoro

Il WP29 aggiorna le regole del trattamento dei dati nel rapporto di lavoro, alla luce delle nuove tecnologie informatiche e del GDPR.

L’evoluzione tecnologica abbinata al costante cambiamento del mercato del lavoro impone un conseguente adeguamento anche in ambito legislativo. Sullo sfondo il nuovo Regolamento Europeo 2016/679, Regolamento ispirato ad una maggiore trasparenza nella gestione dei dati e finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei propri dati personali.

Tali regole si applicheranno anche al trattamento dei dati nell’ambito del rapporto di lavoro.

Nel documento, rivolto non solo ai lavoratori dipendenti ma anche a quelli autonomi, il WP29 (il provvedimento adottato dal Gruppo sulla specifica materia) ha innanzitutto sottolineato che, nell’effettuare il trattamento di tale tipologia di dati personali, i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e solo dopo, individuare le basi giuridiche di tale trattamento, precisando che queste ultime possono distinguersi, alternativamente nell’:

  • Adempimento di obblighi derivanti da un contratto di lavoro;
  • Adempimento di obbligazioni previste dalla legge e
  • Nell’interesse legittimo del datore di lavoro.

Con particolare riferimento all’interesse legittimo del datore di lavoro poi, il WP29 ricorda di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, redigendo in caso una valutazione d’impatto.

Si ricorda infine che nel caso in cui la manipolazione dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto ad assicurare agli interessati il diritto di opporsi al trattamento.

I casi

Il WP29 ha individuato 9 scenari tipici di trattamento di dati personali dei lavoratori, basati su un interesse legittimo del titolare del trattamento, che possono presentare dei rischi per i diritti e le libertà fondamentali dei lavoratori.

1. Trattamento dei dati dei candidati presenti sui social network

Il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati per finalità lavorative. Il candidato deve inoltre essere informato della procedura, anche mediante indicazione all’interno dell’annuncio di lavoro.

2. Trattamento dei dati dei lavoratori presenti sui social network

Per quanto riguarda i dipendenti, i presupposti previsti sono pressoché gli stessi di quelli per i candidati, con un’imposizione aggiuntiva, per il datore di lavoro, di provare che non ci siano altri veicoli per arrivare alla finalità del trattamento (è legittimo, ad esempio, monitorare il profilo LinkedIn di un ex dipendenti per controllare che non abbia violato il patto di non concorrenza).

3. Monitoraggio della strumentazione informatica dei lavoratori

Si ritiene che il trattamento dei dati dei lavoratori, relativo all’utilizzo della loro strumentazione informatica (mail, cronologia delle ricerche, telefonate ecc.), rappresenti la più grande minaccia alla loro sicurezza. Si incoraggia perciò l'adozione di soluzioni che limitino l'accesso indiscriminato ai dati, sia per tipologia sia per orizzonte temporale.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto invece, pur dovendo far fronte a possibili accessi da parte di terzi, le misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture”, sono considerate illegittime. 

4. Mobile Device Managment

Prima dell’inizio del trattamento di tali dati deve essere effettuata una Data Protection Impact Assessemnt (DPIA), al fine di verificare la necessità del trattamento rispetto alle finalità perseguite. I dipendenti devono inoltre essere adeguatamente informati dei controlli e delle conseguenze relative.

5. Wearable Devices

I dati personali raccolti tramite strumenti che monitorano l’attività fisica della persona, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio. Il monitoraggio da parte del datore di lavoro è considerato illegittimo.

6. Rilevazione della presenza dei lavoratori

Alcuni strumenti utilizzati dal datore di lavoro per finalità del tutto legittime, possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro. Tali trattamenti di dati sono però legittimi in quanto di interesse del titolare, finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale. I lavoratori devono essere informati di tale trattamento con un’apposita informativa.

7. Trattamenti di dati mediante sistemi di videosorveglianza

L’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

8. Geolocalizzazione dei veicoli

Il trattamento dei dati tratti dalla geolocalizzazione dei veicoli aziendali, effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza di veicoli e/o lavoratori o ancora per la pianificazione in tempo reale di alcune attività lavorative, risulta del tutto lecito. Illecito è invece monitorare i lavoratori e la loro posizione geografica nel caso in cui i veicoli aziendali possano essere utilizzati anche per finalità private. Si suggerisce di inserire un’informativa sulla privacy all’interno del mezzo.

9. Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 espone due casi: quello in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, si ritiene che il trasferimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda invece, si richiamano i principi generali per il trasferimento di dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR.

 

Fatturazione elettronica: l’evoluzione digitale delle PA che fa risparmiare 1,5 miliardi di euro

Le imprese italiane utilizzano la fatturazione elettronica più della media UE, tra i vantaggi: contenimento dell’evasione, abbattimento dei costi e controllo della spesa pubblica.

Sono oltre 55 milioni le fatture gestiste digitalmente dalla pubblica amministrazione dal giugno 2014 all’inizio del 2017. Questo ha portato un beneficio economico stimato intorno al all’1,5 miliardi di euro circa 17,00€ a fattura, secondo l’Osservatorio fatturazione elettronica del Politecnico di Milano. 

La fatturazione elettronica costituisce oggi un innesco strategico della trasformazione digitale di PA e aziende, questo processo è andato man mano concretizzandosi negli ultimi due anni, mandando quasi in pensione il vecchio sistema di logica a silos. 

La e-fattura nasce da un progetto dell'Agenda digitale italiana, un’organizzazione significativa nel contesto del monitoraggio e del controllo della spesa pubblica. Per obbligo di legge le fatture emesse nell’ultimo anno verso le PA sono esclusivamente elettroniche. Dallo scorso 1° gennaio questa possibilità è stata aperta anche al B2B; il sistema di interscambio, sviluppato da Sogei, è gestito e controllato dall’Agenzia delle Entrate.

Secondo gli ultimi dati le aziende che si avvalgono della e-fattura sono circa 900mila e il sistema gestisce fatturazioni per un volume di oltre 50 milioni.

FatturaPA è molto diffusa tra le imprese italiane, circa il 30% la utilizza quotidianamente, contro una media europea del 18%. Questi dati concorrono a collocare l’Italia al quarto posto tra i Paesi europei per l’uso della Fatturazione Elettronica, all’interno delle classifiche DESI 2017 sul tema dell’integrazione delle tecnologie digitali.

I risparmi per le organizzazioni che si avvalgono di fatturazione digitale però non si limitano solo ai costi di stampa dei documenti ma anche a quelli di manodopera per l’attività di imbustamento, gestione della relazione col cliente e conservazione documentale. 

Aumento della produttività delle imprese, monitoraggio della spesa pubblica, scalabilità dei servizi pubblici della PA, contenimento dell’evasione fiscale e riduzione dei tempi di pagamento, sono alcuni dei vantaggi derivanti dal decollo della fatturazione elettronica in Italia. Bisogna però anche citare anche gli effetti positivi in termini di miglioramento della gestione strategica della burocrazia. 

La Fatturazione Elettronica è uno dei progetti strategici dell’Agenda Digitale Italiana e ha l’obiettivo di favorire la dematerializzazione e standardizzazione dei processi di emissione e gestione delle fatture verso la PA, nonché l’interscambio tra le imprese B2B, anche attraverso particolari sistemi di incentivazione. 

Il nostro Servizio IridePlus è lo strumento ideale per la gestione del ciclo passivo delle fatture PA. Specificatamente creta per la PA, è adatto anche all’azienda privata che intende risparmiare nei processi di gestione delle fatture dei fornitori e, proprio dal Politecnico di Milano, Dipartimento di Ingegneria gestionale, è stato premiato tra i migliori prodotti della sua categoria.

Per maggiori informazioni clicca qui >>>

 

Malware, virus, trojan e ransomware, le minacce della rete: conoscerle per distinguerle

Con oltre 638 milioni di attacchi malware, le minacce del web sono sempre più pericolose e frequenti

Sempre più spesso sentiamo parlare di virus, malware e ransomware, i nuovi pericoli di internet che attaccano i computer creando danni, a volte, anche irreparabili. Queste minacce hanno però delle peculiarità e non sono proprio tutti la stessa cosa. Qui di seguito cercheremo di fare un po’ di chiarezza e di spiegarne bene le differenze. 

Cosa sono i malware

Malware è un’abbreviazione di “MALicious softWARE” ed è un software creato per ottenere l’accesso ai computer degli utenti colpiti, inducendoli con l’inganno a salvare determinati programmi.

Una volta installato quel software, il malware può tracciare tutto ciò a cui l’utente sta effettuando l’accesso, disturbandolo, rubando dati sensibili o mostrando pubblicità indesiderata. 

Malware è quindi la macro-categoria, che si suddivide in vari tipi di minacce, che attaccano le macchine in modo diverso, creando danni differenti. Principalmente si suddividono in:

  • virus: un software che, una volta eseguito, infetta alcuni file in modo da fare copie di se stesso, generalmente senza farsi rilevare dall'utente, contagiando tutti i computer a cui si connette. Questo specifico malware, per le sue caratteristiche di pratica inutilità e per il fatto che può diffondersi solo attraverso mezzi fisici (come chiavette USB), è oggi praticamente scomparso; 
  • keylogger: uno strumento hardware o software in grado di effettuare lo sniffing della tastiera di un computer, cioè di intercettare e catturare segretamente tutto ciò che viene digitato senza che l'utente se ne renda conto;
  • trojan: letteralmente Cavallo di Troia, è un malware che, proprio come l’omonimo omerico, nasconde un codice maligno all’interno di un altro programma apparentemente innocuo. Eseguendo questo programma, l’utente ignaro installa il malware contenuto e tutto ciò che ne consegue; 
  • spyware: un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente, numeri di carte di credito, siti web visitati, credenziali di accesso ai siti e alla posta elettronica ecc., senza il suo consenso;
  • worm: uno dei malware più pericolosi che, come il virus, è in grado di replicarsi nelle reti LAN ma per farlo non necessita di legarsi ad altri programmi eseguibili o mezzi fisici, poiché usa protocolli di rete e alcune sue falle;
  • ransomware: un tipo di malware che blocca l'accesso del dispositivo che infetta e richiede un riscatto (ransom in Inglese) all’utente, solitamente in bitcoin (una moneta elettronica distribuita e gestita completamente nella rete, ciò rende impossibile a qualunque ente governativo il blocco dei trasferimenti). 

Come si diffondono i malware

I malware si diffondono principalmente via mail, attraverso link che portano gli utenti meno accorti a cliccare, promettendo informazioni che questi potrebbero trovare interessanti. Una volta fatto il click si viene reindirizzati a un sito internet falso ma che appare uguale a quello desiderato. Qui l’utente sarà invitato a scaricare un software e, una volta eseguito il download, il computer verrà infettato.

Siti internet e popup che offrono contenuti come musica o film gratis sono la principale risorsa dei cyber attacchi. 

Come proteggersi

Il primo passo da fare per proteggersi dalla perdita di dati è quello di fare backup frequenti di tutti i dispositivi. Utilizzando inoltre un VPN, cioè una rete di telecomunicazioni privata, si può aumentare il livello di sicurezza, poiché permette agli utenti di accedere in modalità anonima, rendendo più difficile tracciare i computer. Tutti i dati che vengono condivisi online usando un VPN sono inoltre criptati.

La formazione costante degli utenti è un altro strumento di prevenzione molto utile. Una maggiore consapevolezza riguardo le minacce permetterà di agire in maniera più conscia e quindi sicura.

In ogni caso rimane sempre importante prestare particolare attenzione ai file che si ricevono, inviano e a cosa si sta cliccando.

IKARUSdilapidated: il ransomware che attacca le aziende sfuggendo agli antivirus

IKARUSdilapidated, una probabile variante del più famoso ransomware Locky, ha iniziato una campagna mail pericolosa e difficile da contrastare.

All’inizio di agosto, per tre giorni, un nuovo ramsomware chiamato IKARUSdilapidated ha attaccato migliaia caselle di posta, con messaggi che contenevano poco contenuto e un allegato che si è rivelato essere molto pericoloso. 

Questo file ha un’estensione che può essere un .doc, un .vbs, un .tiff, o un file zippato, con un nome poco chiaro, che riporta una E seguita da una data e un numero a tre cifre tra parentesi.

In caso di apertura del documento, ci si troverà di fronte a un foglio di word, con stringhe di caratteri incomprensibili e un avviso che sprona l’utente ad attivarne la decodifica tramite macro. Questa è la tecnica ingegneristica utilizzata in determinati tipi di attacchi phishing. Non appena l'utente farà come indicato, le macro salveranno ed eseguiranno un file binario che scaricherà il vero trojan di crittografia.

Per gli utenti più esperti il trucco è quasi obsoleto ma per il fruitore medio la trappola è sicuramente ben congegnata. Avviando il file si permette a uno script di scaricare un vero e proprio ransomware, IKARUSdilapidated appunto, che pare essere in grado di evitare la protezione degli antivirus. Grazie a una sorta di collaborazione con gli autori di Dridex, il trojan in grado di sfuggire alle analisi di sandbox, IKARUSdilapidated riesce a rimanere, per ora, sconosciuto ai maggiori programmi di antivirus, agendo così indisturbato sulla macchina infetta. 

Post-infezione, viene visualizzato sul desktop della vittima un messaggio, che chiede di scaricare il browser Tor e visitare un sito di pagamento, in cui viene poi estorto un riscatto tra 0.5 e 1 bitcoin (da 600 a 1200 dollari) per i file da decrittografare.

L'analisi su un campione di 62.000 email collegate alla campagna IKARUSdilapidated di Comodo ha rivelato un sofisticato avversario che utilizza, grazie a una sofisticata botnet, 11.625 diversi indirizzi IP distribuiti in 133 paesi diversi, come il Vietnam, l'India, il Messico, la Turchia e l'Indonesia.

I ricercatori dicono che questo ransomware è una variante di Locky, il virus che negli scorsi due anni ha estorto più di 7,8 milioni di dollari alle vittime degli attacchi, poiché ne condivide molte caratteristiche, come i nomi di file crittografati convertiti in una combinazione unica di 16 lettere e numeri con l'estensione file .locky.

Come sempre quindi invitiamo gli utenti a tenere alto il livello di allerta e ad essere molto attenti sui file di dubbia provenienza, cercando di non aprire gli allegati con leggerezza e noncuranza.

GDPR: il Regolamento Generale per la Protezione dei Dati

Regolamento UE 2016/679: come cambia la protezione dei dati personali a livello Europeo.

Il General Data Protection Regulation o GDPR, è il regolamento generale per la protezione dei dati personali n° 2016/679, la normativa che riforma la legislazione europea in materia di protezione dei dati. Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale Europea ed è entrato in vigore il 24 maggio 2016. Per dare tempo agli stati membri di mettersi a norma con la compliance, l’attuazione del Regolamento è stata posticipata di due anni, cioè il 25 maggio 2018.

Trattandosi di un regolamento non sarà necessario un recepimento, cioè un’inclusione nel proprio ordinamento, da parte degli Stati membri dell’Unione Europea, ma verrà attuato allo stesso modo in tutti i Paesi UE, senza margini di libertà nell’adattamento. Questo è proprio uno dei fini del regolamento: armonizzare il disciplinamento in materia di protezione dei dati personali all'interno dell'Unione europea. In tal senso perciò l’Italia, come d’altronde tutti gli altri Stati, potranno limitarsi ad emanare chiarimenti in relazione ad alcuni aspetti, senza avere una vera e propria loro normativa. 

Da sottolineare che il nuovo regolamento è più esplicito della direttiva 95/46 e proclama, già all’Art.1 par. 2, la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche.  

“Art. 1 par. 2

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.”

Base giuridica del trattamento: il consenso

Con il GDPR i titolari del trattamento dovranno identificare la base giuridica del trattamento (ad esempio il consenso dell'interessato) e documentarla, in quanto in relazione alla base giuridica possono variare i diritti. Il consenso per essere valido deve essere formulato in un linguaggio semplice e chiaro e deve sottolineare le finalità in modo esplicito, legittimo, adeguato e pertinente, per i quali i dati verranno trattati (Art. 7 definiti in Art. 4). É stato inoltre rafforzato il diritto alla cancellazione nel caso di trattamenti basati su consenso. La base giuridica inoltre è tra gli elementi sostanziali dell'informativa e deve essere evidenziata in riscontro ad una istanza di accesso.

Ambito territoriale

Il regolamento generale si applica a tutti i titolari (controller) e ai responsabili (processor) del trattamento dei dati personali, stabiliti sul territorio dell’Unione Europea m anche, in generale, a quelle figure extracomunitarie, che offrono beni e servizi a persone fisiche residenti nell’UE (Art. 3).

Non si applica nei seguenti casi: 

- trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione; 

- trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza); 

- trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse; 

- trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.

Responsabilizzazione

La responsabilizzazione, o accountability, è un punto particolarmente importante del Regolamento. Lo scopo è infatti quello di responsabilizzare il titolare del trattamento, che dovrà concretamente adottare comportamenti proattivi a dimostrazione della pratica adozione del regolamento. Nello specifico si evidenzia il bisogno di attuare misure di tutela e garanzia dei dati trattati, con un approccio che rimette ai titolari il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel Regolamento: 

- principio "privacy by design", in base al quale i prodotti e i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti, cioè il trattamento deve essere previsto e configurato fin dal principio, prevedendo le garanzie per tutelare i diritti degli interessati; 

- rischio del trattamento: l’approccio è basato sul rischio del trattamento e le misure di accountability di titolari e responsabili (valutazione di impatto, registro dei trattamenti, misure di sicurezza, violazioni dei dati personali, nomina di un RDP-DPO). Le nuove norme prevedono, inoltre: 

- per i cittadini un più facile accesso alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi; 

- un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online; 

- l'istituzionalizzazione del diritto all'oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, con cui l’interessato deve poter chiedere e ottenere la rimozione dei suoi dati da un qualsiasi database, con la stessa facilità con cui ha espresso il consenso al trattamento; 

- l'obbligo di notifica entro 72 ore dall’attacco, da parte delle aziende delle gravi violazione dei dati dei cittadini; 

- le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio del "one stop shop" o sportello unico); 

- multe salatissime, fino al 4% del fatturato globale delle aziende, in caso di violazioni delle norme.

La Guida 

L'Autorità di controllo italiana (Garante Privacy) ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. 

Sono presenti raccomandazione specifiche e suggerite azioni, oltre alla segnalazione delle principali novità, in vista della preparazione all'attuazione del nuovo regolamento.

Conservazione elettronica: arriveremo al traguardo?

La nuova scrittura delle norme archivistiche che il governo sta avviando lascia un velo di incertezza su quanto costruito negli ultimi vent’anni.

Con l’approvazione del nuovo CAD nell’agosto del 2016, pensavamo di aver raggiunto la piena maturità nell’ambito della gestione documentale digitale e solo una modesta revisione delle regole tecniche, ci separava dal raggiungimento del traguardo auspicato da quasi un ventennio: un quadro normativo aggiornato, omogeneo, coordinato, non legato alle tecnologie ma ai principi.

Questa revisione però sembra sia stata attesa invano. Tutto faceva pensare che sarebbe stata emanata entro gennaio 2017 eppure, adesso, sembra imminente una completa riscrittura del CAD che, con tutta probabilità, porterà a rimettere in discussione principi, processi, termini, e chissà cos’altro. 

Ma possono le aziende che hanno deciso di investire in questo ambito mettere continuamente in discussione i propri obiettivi?

Come può la nostra informaticamente fragile PA pianificare un adeguato piano di modernizzazione e avvicinamento dei servizi al cittadino in un quadro in eterna evoluzione e comunque mai chiaro e definito?

Da questo punto di vista ci troviamo perfettamente in linea con i principi espressi dall’autorevole Prof.ssa Mariella Guercio (Università Sapienza di Roma), nell’articolo pubblicato recentemente nel portale Agendadigitale.eu.

Per quanto infatti sia impossibile, per ora, una valutazione in merito, visto che le informazioni si limitano alle indicazioni programmatiche del Piano Triennale per l’informatica nella PA 2017-2019, è il metodo di lavoro che non sembra essere rassicurante. A differenza degli scorsi anni infatti, la stesura di questo piano non ha coinvolto le amministrazioni e i professionisti del settore ai quali si darà, presumibilmente, giusto un breve periodo di prova. 

Il punto quindi sembrano non essere le soluzioni specifiche che verranno adottate, quanto l’opacità del processo decisionale. 

La valutazione delle proposte operative che il Piano Triennale individua invece desta preoccupazioni, in quanto appare incerto e poco dettagliato.

La professoressa Guercio afferma nel suo articolo che “La classificazione archivistica ha una funzione originaria essenziale di organizzazione e definizione di relazioni stabili, giuridicamente rilevanti. Non è uno strumento di ricerca e di indicizzazione anche se può fornire basi solide per sostenere processi qualificati di ricerca semantica.” e, come noi, si augura che la revisione del CAD possa includere quindi delle soluzioni soltanto integrative e non completamente sostitutive dei principi archivistici. 

In attesa quindi di chiarimenti sulla materia, non possiamo che attendere.

DPO – Data Protection Officer: il responsabile della protezione dei dati personali

Chi è il DPO, il Responsabile della protezione dei dati, previsto dal già in vigore Regolamento (UE) 2016/679 che diventerà definitivamente applicabile il 25 Maggio 2018.

Il DPO è una figura esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione, all'interno di un'organizzazione, affinché questi siano trattati in modo lecito.

La storia

La prima comparsa di questo responsabile negli ordinamenti giuridici è stata in Europa, nella legislazione della Germania nel 1970 (Datenschutzbeauftragter). In seguito la sua figura fu istituita per la prima volta negli Usa nell'agosto 1999 dalla società AllAdvantage, specializzata in servizi pubblicitari attraverso Internet. Essa fu creata per rispondere alla preoccupazione dei consumatori sull'utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. In Italia all’interno del Codice della Privacy (D.Lgs. n. 196/2003) non si fa riferimento al Responsabile della protezione dei dati, ma lo fanno le Linee guida in materia di Dossier sanitario del 4 giugno 2015 dove, in ragione della particolare delicatezza dei dati contenuti nel dossier sanitario, il Garante italiano auspicava che i Titolari del Trattamento individuassero una figura di Responsabile della protezione dei dati che svolgesse il ruolo di referente con il Garante anche in caso di “Data Breach”.Il 24 maggio 2016 è stato approvato il Regolamento (UE) 2016/679, che uniforma la legislazione in materia di protezione dei dati in tutta l’Unione Europea e che, all’art. 37, designa l’obbligatorietà per enti e aziende di nominare un DPO ufficiale. 

Requisiti e compiti

Secondo il testo del regolamento europeo sulla protezione dei dati personali, una volta designato il responsabile, l’organizzazione deve assicurarsi che sia prontamente coinvolto e che possa adempiere alle sue funzioni in piena indipendenza allo scopo di non creare un conflitto di interessi nello svolgimento del suo compito di vigilanza sull'attuazione e l'applicazione della normativa. Il responsabile della protezione dei dati riferisce direttamente alla dirigenza e risponde gerarchicamente ad essa. Il titolare e i responsabili del trattamento sostengono il DPO nel suo ruolo per l'esecuzione dei suoi compiti, fornendogli tutte le risorse necessarie quali risorse finanziarie, personale, locali, attrezzature e quanto necessario per adempiere alle sue funzioni. A seconda dell'organigramma stabilito dall'azienda o dall'ente, può esserci anche più di un responsabile, specialmente nei casi di grandi organizzazioni e multinazionali, nelle quali la mole di lavoro prevedrebbe l’impiego di più soggetti.

Ai sensi dell'art. 39 del Regolamento europeo sulla protezione dei dati, il DPO:

a. deve essere adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

b. deve essere sostenuto dal titolare del trattamento e dal responsabile nell'esecuzione dei compiti assegnati;

c. deve avere le risorse necessarie per adempiere ai compiti assegnati;

d. deve poter accedere ai dati personali e ai trattamenti che riguardano la struttura in cui è inserito;

e. deve mantenere la sua conoscenza specialistica (corsi di aggiornamento);

f. deve essere indipendente nell'esercizio delle sue funzioni;

g. non deve essere penalizzato o rimosso per l'adempimento dei propri compiti;

h. è tenuto al segreto e alla riservatezza in merito all'adempimento dei propri compiti;

i. non può svolgere altre funzioni o compiti che determino un conflitto di interessi.

L'articolo 39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del DPO, che sono almeno i seguenti:

a. informare e consigliare il titolare del trattamento o il Responsabile nonché i dipendenti;

b. sorvegliare l'osservanza del Regolamento e delle altre leggi vigenti nell'Unione Europea in materia nonché delle policy;

c. fornire se richiesto un parere sulla valutazione di impatto sulla protezione dei dati personali e sorvegliarne lo svolgimento;

d. fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento di dati personali.

Quando si nomina un DPO

In base al Regolamento il DPO deve essere nominato quando:

a. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico: il WP29 dà un’interpretazione estensiva di organismo pubblico e raccomanda, come una buona pratica, la nomina del DPO anche da parte delle organizzazioni private che svolgono incarichi pubblici o che esercitano pubblici poteri. La sua attività dovrebbe però coprire tutte le operazioni di trattamento, comprese quelle che non sono legate alla esecuzione di un compito pubblico o esercizio del dovere ufficiale (ad esempio la gestione di un database dei dipendenti).

b. Le attività principali (cd. core business) del titolare del trattamento o del responsabile del trattamento consistono in processi che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati. Per “attività core” si intende un’operazione necessaria per raggiungere lo scopo, appunto, del titolare o responsabile. 

c. Terzo ed ultimo punto: nel caso di trattamento su larga scala di speciali categorie di dati personali o di dati relativi a reati e condanne penali. Il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri quali, ad esempio, il numero di interessati coinvolti, la durata del trattamento e la sua estensione geografica. Tra i trattamenti non su larga scala sono invece compresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato.

Qualora non vi sia obbligo (Art. 37.4 GDPR) il titolare o il responsabile del trattamento possono designare facoltativamente un Responsabile della protezione dei dati riconoscendo il ruolo centrale nella gestione della Data Protection a prescindere dagli obblighi normativi.

Addirittura le linee guida del WP29 incoraggiano le organizzazioni a designare volontariamente un DPO, anche perché è necessario documentare le valutazioni compiute per stabilire se si applica o meno l’obbligo di nomina.

Il DPO, in sostanza, è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa in materia di protezione dei dati e può essere tanto un dipendente quanto un libero professionista.

In merito a questo punto però il Regolamento sottolinea che i suoi compiti e le sue funzioni non devono dar adito a possibili conflitti di interessi: ciò comporta in particolare che il DPO non può mantenere una posizione decisionale in materia, all’interno dell’organizzazione che lo porti a determinare le finalità e gli strumenti del trattamento dei dati personali. 

L’art. 37 non specifica le competenze professionali che dovrebbe avere un DPO, tuttavia appare chiaro che il responsabile della protezione dei dati dovrebbe avere esperienza sulla legislazione relativa alla protezione dei dati personali sia nazionale che europea, nonché conoscenza del settore di business delle imprese, informatiche e, nel caso di un ente pubblico, dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.

La mole del lavoro e la specifica richieste di così ampie competenze portano a pensare che, nella pratica, il DPO sarà una figura composta da più persone fisiche anziché un unico individuo.

logo sito

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Codice SDI fatturazione:  T04ZHR3
(il secondo carattere è uno zero)

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

 

Modifica il tuo consenso ai cookie

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2019 TECSIS S.r.l. All Rights Reserved.

Search