DPO aaS & GDPR

Ai sensi del regolamento Generale sulla Protezione dei Dati (GDPR), applicabile dal 25 maggio 2018, in casi specifici è necessario nominare un Data Protection Officer, DPO.

<bold>DPO aaS & GDPR</bold>

Perché dovresti rivolgerti a un DPO?

Non tutte le aziende devono nominare un Data Protection Officer (DPO).
Risulta però obbligatorio nominarne uno se siete:

Autorità Pubblica

Le vostre attività principali richiedono un monitoraggio su larga scala, regolare e sistematico degli utenti (ad esempio, il monitoraggio dei comportamenti online)

Azienda Privata

le vostre attività principali consistono nel trattamento su vasta scala di categorie particolari di dati o dati relativi a condanne penali e reati. 

Il DPO aaS in qualità di DPO esterno

Riconosciamo che un buon numero di aziende che devono nominare un DPO non dispongono di competenze e/o budget. Inoltre, un DPO deve avere un ruolo autonomo e indipendente all’interno di un’organizzazione.

Abbiamo quindi sviluppato il nostro concetto di Data Protection Officer as a service (DPOaaS) come servizio pensato per essere flessibile e che permetta di gestire le vostre esigenze e ottemperare al GDPR.

 

I professionisti del nostro team vantano esperienze lavorative nel settore pubblico e privato e operando on-site e/o da remoto, possiamo allineare i nostri servizi ai vostri obiettivi

Cerchiamo il profilo più adatto alla vostra organizzazione;

Possiamo prevedere i livelli di servizio (back-up);

Modelliamo i nostri servizi in base alle vostre esigenze;

Forniamo i nostri servizi in loco e/o a da remoto;

Abbiamo esperienza in tutti i compiti di DPO definiti.

Tale servizio comprende i seguenti compiti:

E se non vi servisse un DPO?

Nel caso un cui non necessitaste di un DPO in base alla normativa europea GDPR, Nais è  in grado di fornire un ruolo di Data Protection Director/Manager avvalendosi del servizio di Data Protection Management aaS (DPM aaS).

Che cosa c'è da sapere sul GDPR

Ci sono voluti quattro anni di difficili negoziati ma, nel 2016, il regolamento dell’Unione europea sulla protezione dei dati (“GDPR”) ha finalmente visto il giorno. Il GDPR sostituisce la precedente direttiva 95/46/CE (“la direttiva”). Le disposizioni del GDPR si applicheranno effettivamente solo a partire dal 25 maggio 2018, lasciando alle imprese il tempo sufficiente per adottare misure di conformità. In una società sempre più orientata ai dati, l’obiettivo principale del GDPR è quello di offrire a tutti i cittadini europei garanzie complete a livello europeo in materia di protezione dei dati e della vita privata. Questo articolo fornisce una panoramica degli elementi chiave che dovreste conoscere in merito al GDPR.

I Principi della Protezione dei Dati

I principi cardine del trattamento dei dati personali, pur essendo aggiornati, rimangono, nel complesso, invariati. Come breve richiamo, il trattamento dei dati personali deve seguire i principi di: correttezza, liceità e trasparenza; limitazione delle finalità; minimizzazione dei dati; qualità dei dati; sicurezza, integrità e riservatezza. Tali principi sono ribaditi nell’articolo 5 del GDPR. Di seguito, ci concentriamo su ciò che crediamo sia una delle modifiche più degne di nota apportate nell’ambito del GDPR: l’interpretazione del consenso, che forse una delle basi giuridiche più diffuse, se non la più diffusa, utilizzate dai controllori nella pratica. 

 

Affinché il trattamento dei dati personali sia lecito, esso deve soddisfare le condizioni di cui all’articolo 6, paragrafo 1, del GDPR, che per la maggior parte riproduce motivi identici a quelli della direttiva9. L’articolo 4, paragrafo 11, del GDPR definisce il “consenso” come qualsiasi indicazione libera, specifica, specifica, informata e inequivocabile della volontà dell’interessato, con la quale egli, con una dichiarazione o con una chiara azione positiva, esprime il consenso al trattamento dei dati personali che lo riguardano. Con questa definizione, il GDPR adotta un approccio al “consenso” più restrittivo della direttiva. In particolare, esso mira a garantire che il consenso sia specifico per finalità o trattamento distinti.

 

Un’ulteriore aggiunta alla definizione di consenso è la necessità di una “indicazione inequivocabile” del consenso dell’interessato al trattamento dei suoi dati personali. Ciò può essere indicato da una dichiarazione scritta, anche per via elettronica, o da una dichiarazione o azione orale. Ai sensi del considerando 32 del GDPR, ciò comprende la spunta di una casella quando si visita un sito Internet, la scelta delle impostazioni tecniche per i servizi della società dell’informazione un’altra dichiarazione o condotta che indica chiaramente, nel contesto, l’accettazione del trattamento proposto da parte dell’interessato [….]. Il considerando 32 precisa inoltre che il silenzio, le caselle prestampate o l’inattività non costituiscono pertanto consenso. 

L’articolo 7 specifica inoltre le condizioni di “validità” del consenso. Ad esempio, quando parte di una dichiarazione scritta più ampia, deve essere distinguibile da altri elementi della dichiarazione, deve essere revocabile in ogni momento e non deve essere subordinata alla fornitura di un contratto se non è necessaria per l’esecuzione di tale contratto. 

Infine, esistono casi particolari. Il trattamento di “dati sensibili”, quali l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’orientamento sessuale, è strettamente condizionato ai sensi del considerando 51 e il consenso deve essere fornito esplicitamente. L’articolo 8 del GDPR stabilisce anche condizioni specifiche per il consenso dei minori.

 

Nuovi Diritti degli Interessati

Il GDPR rafforza i diritti già concessi ai sensi della direttiva, come il diritto di accesso, il diritto di rettifica, il diritto di opposizione e il diritto di prendere decisioni individuali non automatizzate. Esso comprende anche un ulteriore livello di protezione degli interessati sotto forma di nuovi diritti. Questi nuovi diritti, elencati di seguito, dovranno essere attuati e applicati dai responsabili del trattamento e dagli incaricati del trattamento nelle loro attività quotidiane.
Diritto all’informazione e all’accesso (articoli 12-15 del GDPR): la portata delle informazioni che il responsabile del trattamento deve fornire ai dati.

In occasione della raccolta dei dati personali di quest’ultimo viene ampliato. Inoltre, su richiesta degli interessati, i responsabili del trattamento hanno l’obbligo di fornire loro una copia dei dati personali oggetto del trattamento;

Diritto alla cancellazione (articolo 17 del GDPR), noto anche come “diritto all’oblio”: in determinate circostanze, tra l’altro quando i dati non sono più necessari, quando il consenso è stato ritirato o quando i dati sono stati trattati illecitamente, il responsabile del trattamento è tenuto a cancellare i dati personali che ha avuto o sta trattando;

Diritto alla limitazione del trattamento (articolo 18 del GDPR): in circostanze specifiche, come contestare l’esattezza dei dati personali o mettere in discussione la legittimità del trattamento, gli interessati hanno il diritto di chiedere la limitazione del trattamento da parte del responsabile del trattamento. In tal caso, il trattamento dovrebbe essere limitato alla sola conservazione dei dati;
Diritto alla portabilità dei dati (articolo 20 del GDPR): se il trattamento dei dati personali è effettuato automaticamente ed è stato autorizzato12 o è necessario per l’esecuzione di un contratto13 , l’interessato può chiedere che il responsabile del trattamento trasmetta i dati personali direttamente ad un altro responsabile del trattamento, in un formato leggibile a macchina.

GDPR e Tecnologia

Sotto molti aspetti, il GDPR mette in discussione le attuali pratiche di gestione dei dati che dipendono fortemente dalla tecnologia di base. Tale revisione normativa, probabilmente il regolamento di protezione dei dati più rigoroso a livello mondiale, comporta sfide e opportunità per il mondo della tecnologia.

L’attuale panorama informatico finanziario è frammentato e spesso deriva dalla fusione di sistemi informatici dopo le acquisizioni, e come tale, il controllo della raccolta e della propagazione dei dati attraverso i sistemi, nonché la sicurezza dei dati in tutto il territorio, potrebbe mettere a dura prova tali sistemi. Il cammino verso un modo migliore e più sicuro di gestire i dati personali inizierà con la mappatura dei dati. La mappatura dei dati deve rispondere alla domanda su come i dati si propagano attraverso i sistemi aziendali.

Sulla base di tali conoscenze, sarà fondamentale elaborare strutture di governance dei dati, supportate da soluzioni tecnologiche. La governance dei dati dovrebbe affrontare la questione della natura dei dati raccolti ed elaborati, nonché il loro livello di sensibilità, l’ubicazione dell’archiviazione dei dati e la gestione delle autorizzazioni sia per l’accesso che per il consenso.

La governance dei dati dovrà comprendere anche l’attuazione e la gestione degli strumenti di sicurezza dei dati. Le banche hanno già familiarità con alcuni di questi strumenti, come la crittografia e la segregazione, e potrebbero dover familiarizzare rapidamente con altri, come la pseudonimizzazione. Anche la protezione delle perdite di dati è fondamentale ed è probabile che riceva un esame normativo.

Diverse organizzazioni si sono inoltre orientate verso la creazione di “data dashboard” di facile utilizzo per i clienti, sulla falsariga dei centri di preferenza. Tali dashboard consentono ai clienti di gestire i contenuti e il consenso dei dati forniti durante l’intero ciclo di vita.
Esistono soluzioni tecnologiche a supporto di questa governance dei dati, anche come componenti aggiuntivi di un ERP più grande o di un software di gestione dei dati. Inoltre, le soluzioni tecnologiche sono sempre più spesso progettate come componenti aggiuntivi leggeri che vengono collegati ai sistemi di gestione dei dati esistenti delle aziende e che istruiscono o estraggono i dati dal sistema sulla base di un insieme definito di requisiti normativi. I vantaggi sono evidenti per chiunque abbia familiarità con le costose e dispendiose trasformazioni IT che le aziende intraprendono. Tuttavia, possono rimanere delle sfide quando si tratta di interfacce fluide tra sistemi, che non è mai un dato di fatto, o della capacità di un software di gestire i cambiamenti normativi.

Tutte le soluzioni presenti sul mercato tendono a combinare tecnologie mature con quelle nuove. Due tendenze chiave, che vanno oltre la riservatezza dei dati, sono l’automazione dei processi e l’uso della tecnologia a catena di blocco. L’adozione di queste nuove soluzioni tecnologiche può tuttavia rappresentare una sfida a sé stante ed è probabile che l’attuale contesto normativo non sia stato completamente creato per questo tipo di soluzioni.
Il progresso, i cambiamenti tecnologici e l’adozione da parte di un pubblico più ampio possono costringere il regolamento ad adeguarsi. In tal caso, la tecnologia a catena di blocco costringerà l’industria a ripensare la riservatezza e la gestione dei dati e porterà con sé un’altra mini rivoluzione.

© Copyright by Nais srl 
C.F. e P.IVA 07134430011