Privacy e Tutela know-how

PRIVACY E TUTELA KNOW - HOW
Nuovi obblighi Reg.UE 679

Nuovo Regolamento Privacy

Il nuovo testo normativo (reg. 679/2016) non contiene una lista preconfezionata di misure di sicurezza: sono le Aziende che devono individuare quali misure porre in essere per uniformarsi agli obblighi normativi.


Perchè affidarsi a Capta?

La nostra mission è offrire la migliore consulenza al fine di individuare, mediante l’attività di intelligence e la specializzazione nel settore privacy, le misure di sicurezza necessarie per ogni Azienda in materia di trattamento dei dati personali. Questa personalizzazione è svolta da un’ équipe di esperti che hanno le competenze per gestire i dati e le informazioni nella massima sicurezza.

Il Reg. in breve

Il Regolamento introduce regole più chiare in materia di informativa e consenso definendo:

• Limiti al trattamento autorizzato dei dati personali;

• L’esercizio di nuovi diritti;

• Criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione Europea e per i casi di violazione dei dati personali.

Il campo di applicazione del Regolamento non rimane limitato/circoscritto ai Paesi dell’UE, ma si amplia, applicandosi:

• ai soggetti non stabiliti nell’Unione europea, ma il cui trattamento dei dati ricade all’interno dei Paesi UE;

• ai soggetti non stabiliti nell’Unione che tuttavia il trattamento ricade all’interno del diritto di uno Stato UE;

• ai soggetti extra- europei che trattano i dati personali dei cittadini residenti nell’UE;

Il Reg. UE 679/2016 presenta alcuni principi:

1. ACCOUNTABILITY

2. PRIVACY BY DESIGN

3. PRIVACY BY DEFAULT

Principio di Accountability

Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia,sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure analizzate ad assicurare l’applicazione del regolamento (artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene dato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Obbligo di misure di sicurezza «adeguate» (art. 32.1): (il titolare e il responsabile) «tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, campo di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche» (...) mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (...)»

Art. 32.2: «nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati da trattamento dati derivanti in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione no autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, memorizzati o comunque trattati».

Privacy by design e by default

La necessità di configurare il trattamento prevedendo fin dall’ inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto a erma l’art. 25, paragrafo 1 del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

Obbligo di Privacy By Design (= Protezione dai dati fin dalla progettazione): art. 25.1

Il titolare (...) «tenuto conto dello stato dell’art e dei costi di attuazione, nonchè della natura, campo di applicazione, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche» sia al momento di determinare i mezzi di trattamento sia all’atto del trattamento (...) mette in atto misure tecniche ed organizzative adeguate (es. minimizzazione, pseudonimizzazione, n.d.r..) volte ad attuare i principi di protezione dei dati (...) in modo efficace, e ad integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (...)»

Obbligo di Privacy By Default (= Protezione dei dati per impostazione predefinita): art. 25.2
Il titolare «(...) mette in atto misure tecniche ed organizzative adeguate (...) per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento; tale obbligo vale per la quantità di dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità (...)»

Informativa e consenso privacy

Cosa cambia?

Il Regolamento introduce regole più chiare in materia di consenso e informativa, tanto che quest’ultima diventa sempre di più uno strumento di trasparenza riguardo al trattamento dei dati personali e all’esercizio dei dirittii.


Quali sono i diritti?

• Diritto all’informativa e al consenso nei confronti dell’interessato (art. 13) il quale viene PREVIAMENTE informato oralmente o per iscritto circa:

 L’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

 I dati di contatto del responsabile della protezione dei dati, ove applicabile;

 Le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

 La natura obbligatoria o facoltativa del conferimetno dei dati

 Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

 Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

• Diritto al reclamo presso qualsiasi Autorità nazionale;

• Diritto all’oblio;

• Diritto alla portabilità dei dati (ricezione in formato strutturato, di uso comune e leggibile da dispositivo automatico, trasferimento a nuovi terzi titolari);

• Diritto alla comunicazione del Data Breach (se si colpisce i suoi diritti e le libertà fondamentali).

Il linguaggio dell’informativa deve essere chiaro e semplice in modo da spiegare al meglio:

 La base giuridica del trattamento;

 Legittimi interessi del titolare – ove esistenti;

 L’esistenza o assenza di una decisione di adeguatezza

della Commissione EU o indicazioni di adeguate garanzie;

 Periodo di conservazione o criteri per determinarlo.

L’Analisi dei rischi privacy e DPIA

L’Analisi dei rischi privacy: come affrontarla?

L’Analisi dei rischi privacy – IT è il primo passo operativo che fornisce Capta al fine di attuare gli obblighi previsti nel Regolamento UE 679/2016 e prevede:


• L’identificazione dei rischi presenti e potenziali;

• L’identificazione degli impatti;

• La valutazione dei rischi privacy mediante un meccanismo di attribuzione di una scala numerica (da 1 a 4) sia alle probabilità del rischio che alla gravità del relativo impatto;

• L’individuazione delle contromisure per arginare i rischi;

• L’identificazione e la valutazione dei gap di conformità;

• L’identificazione di una base misurabile e monitorabile nel tempo (accountability) per pianificare, attuare e verificare periodicamente le azioni di adeguamento della gestione privacy.

Il passo successivo dell’Analisi dei rischi è l’esecuzione – supportata dal team di Capta – della Mappatura dei trattamenti di dati operati dal titolare:

 Database (archivi dati e tipologie di dati);

 Modalità di trattamento informatiche e cartacee;

 Finalità di trattamento;

 Ambiti di comunicazione e diffusione;

 Profili di autorizzazione degli incaricati.

Capta attraverso l’Analisi dei rischi e la Mappatura dei trattamenti riesce ad individuare, adottare e aggiornare le misure di sicurezza adeguate.

Cosa prevede il DPIA?

Il DPIA (Data Protection Impact Assessment), previsto all’art. 35 del Reg. UE 679/2016, è una procedura che il titolare del trattamento deve compiere qualora i trattamenti, allorché prevedano in particolare l'uso di nuove tecnologie, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

A cosa serve il DPIA?

La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.
In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.


Quando e a chi spetta la responsabilità?

La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a Capta. Il titolare ne monitora lo svolgimento consultandosi con il GDPR e il responsabile IT.
Il servizio offerto da Capta permette di adempiere all’obbligo dell’Analisi periodica dei rischi e di provare l’efficacia delle misure di sicurezza, come previsto all’interno dell’art. 30 (Accountability):
“Il titolare mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra l’altro (…) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

Data Protection Officer

Responsabile della protezione dei dati

Capta supporta l’Azienda nell’affrontare il tema della privacy, mettendo a disposizione i propri professionisti specializzati in materia, diventando il partner ideale per l’adeguata applicazione delle novità previste nel Regolamento e proponendosi come una delle figure chiavi per la tutela dei dati: il Data Protection Officer.


Chi sono i protagonisti del trattamento dei dati personali?
Titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Una delle novità introdotte dal Regolamento è la possibilità che vi siano più titolari del medesimo trattamento, come previsto all’art. 26. Il loro rapporto di contitolarità deve essere determinato in modo trasparente attraverso un accordo interno: i contitolari devono suddividersi tra loro le diverse responsabilità in merito all'osservanza degli obblighi derivanti dal Regolamento, facendo particolare attenzione ai diritti dell'interessato e alle rispettive funzioni di comunicazione previste dalla legge europea (artt. 13 e 14).

L’altra novità introdotta dalla normativa europea riguarda la possibilità da parte del titolare di NOMINARE il responsabile del trattamento, definito come la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Deve essere il titolare del trattamento che, attraverso un contratto scritto o altro atto giuridico a norma del diritto dell'UE o degli Stati membri, ricorre ad un responsabile del trattamento che presenti garanzie sufficienti a garantire un trattamento dei dati che soddisfi i requisiti del Regolamento e di conseguenza sia in grado di tutelare i diritti degli interessati.


La nomina del DPO

Il DPO (Data Protection Officer), una figura già presente in alcune legislazioni europee, è una figura obbligatoria e che ha un ruolo chiave all’interno dell’Azienda in quanto professionista e con competenze.
• giuridiche;

• informatiche;

• risk management;

• di analisi dei processi.

Quali sono le funzioni da svolgere?
Il DPO, nominato per iscritto in funzione delle qualità professionali dal Titolare, deve:

• Verificare l’attuazione e l’applicazione del Regolamento e delle politiche aziendali in materia di privacy;

• Fungere da punto di contatto per gli interessati – in relazione ad ogni problematica connessa al trattamento dati o all’esercizio dei diritti – e con il Garante della Privacy.

Perché scegliere Capta come DPO per l’Azienda?

Capta ha un’eccelente conoscenza della normativa in materia di privacy, accompagnando l’Azienda nell’attuazione degli obblighi previsti all’interno del nuovo Regolamento europeo.
L’Azienda scegliendo Capta ha a disposizione un team/équipe, di professionisti specializzati e competenti che operano in piena indipendenza, neutralità e senza conflitti di interesse al fine di fornire la migliore consulenza in tema privacy.

L’attribuzione del ruolo di DPO a Capta permette un’azione di controllo e di supporto operativo in termini di privacy: non ci limitiamo ad elaborare soluzioni di DPO adeguate alle effettive esigenze aziendali, in quanto siamo in grado di individuare, osservare ed analizzare le zone d’ombra dell’Azienda, al fine di ridurle se non eliminarle.

Capta rappresenta l’innovazione del concetto di investigazione attraverso l’unione sinergica di attività investigative, tecnologiche, consulenziali e formative, rivolte alla tutela del patrimonio informativo ed economico aziendale nel senso più ampio del termine. Ci avvaliamo di professionisti specializzati nei singoli settori d’interesse, quali avvocati, commercialisti, analisti, periti, consulenti e investigatori con formazione specifica in dinamiche aziendali.

L’attività di intelligence e la competenza in materia di privacy ci permettono di ridurre al minimo lo scostamento tra ciò che l’imprenditore desidera per la sua azienda e ciò che questa è realmente.

Modello 231

Cos'è il Modello di organizzazione e gestione, ( Modello 231)?

É un modello organizzativo volto a prevenire la responsabilità penale degli enti.
Il D.Lgs 231/2001 introduce la RESPONSABILITÀ PENALE per gli illeciti amministrativi dipendenti da reato delle persone giuridiche e degli altri enti.


A chi si rivolge?

• Imprese, Società, Azioni di OGNI DIMENSIONE E SETTORE.

Come?

L’ente risponde se il reato è stato commesso dall’autore materiale, nell’interesse (valutazione EX ANTE) o a vantaggio dell’ente stesso (valutazione EX POST).

Prevenire è meglio che curare: perché è importante attuare/adottare il Modello 231?

L’attuazione del modello di organizzazione e di gestione è fondamentale per prevenire le sanzioni ed essere ESENTE da responsabilità.
Le sanzioni possono essere:

• Pecuniarie, da € 25.823 a €1.549.371

• Interdittive, da 3 mesi a 2 anni

• Confisca del prezzo o del profitto del reato

• Pubblicazione della sentenza.

Le conseguenze ricadono direttamente sui soci, sul brand, sull’attività produttiva e sugli amministratori, provocando un DANNO al PATROMINIO AZIENDALE.

Perché affidarsi a Capta?

Capta vanta un team di professionisti specializzati nei singoli settori e che, coinvolgendo la stessa azienda, analizzano i processi aziendali e le fattispecie di rischio, al fine di predisporre il modello 231 maggiormente adatto all’impresa.
Affidarsi a Capta per la realizzazione del Modello Organizzativo 231 permette il rispetto degli adempimenti normativi attraverso la gestione sistematica delle attività impattate dai reati e il rispetto del Sistema Privacy.