Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo n.679/2016 in tema Privacy, il quale ha introdotto un nuovo modello organizzativo nell’ambito della gestione del trattamento dei dati personali.
In particolare, per le Pubbliche Amministrazioni ci troviamo di fronte ad un nuovo sistema di protezione dati, fondato sul principio della Responsabilizzazione (Accountability).
La norma infatti prevede i seguenti adempimenti obbligatori:
- Mappatura dei trattamenti dei dati
- Analisi del Rischio
- Valutazione del Rischio (DPIA)
- Definizione, attuazione e monitoraggio delle misure tecniche ed organizzative per ogni Titolare
- Individuazione e Nomine delle nuove figure richiamate nel Regolamento: DPO – Data Protection Officer
- Individuazione ed aggiornamento dei Contratti con i vari Responsabili esterni individuati ai sensi dell’art.28 del GDPR
È importante rispettare quanto previsto dalla normativa in materia di protezione dei dati personali per non incorrere nelle rilevanti sanzioni di natura amministrativa, nonché penale, previste in caso di violazioni.
In particolare, se la violazione genera un danno agli interessati, il titolare, insieme al responsabile del trattamento, dovranno provvedere al risarcimento dei danni, materiali e morali.
L’ente che effettua le attività di controllo ed accertamento è l’Autorità Garante per la Protezione dei Dati Personali.
Le sanzioni amministrative previste ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Il Titolare del trattamento è il rappresentante dell’autorità pubblica (il Comune o altro Ente Locale) che singolarmente o insieme ad altri determina finalità e mezzi del trattamento di dati personali.
Il Responsabile del trattamento è la persona fisica, giuridica, Pubblica Amministrazione o Ente che tratta i dati personali per conto del Titolare del trattamento (nel caso di Enti Locali o aziende ad esempio il Responsabile può essere rappresentato dalla società che svolge i servizi informatici, dalla software house o dallo stesso consulente del lavoro).
Il Sub-Responsabile del trattamento è incaricato dal Responsabile del trattamento, per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento (elabora o utilizza materialmente i dati personali).
Il Responsabile per la protezione dati – RPD è il dipendente della struttura organizzativa del Comune, il professionista privato o impresa esterna, incaricati dal Titolare o dal Responsabile del trattamento il cui compito è quello di valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, affinché questi siano trattati in modo lecito e pertinente.
IL SERVIZIO OFFERTO
Il “Servizio di adeguamento Privacy” proposto dalla Fondazione Logos P.A. è finalizzato a consentire ai titolari del trattamento (siano essi soggetti pubblici o privati) di rispettare pienamente tutti i vincoli normativi in materia di Data Protection, così come previsti sia dal Regolamento Generale UE sulla protezione dei dati personali n.679/2016 (“GDPR”) che dal Decreto Legislativo 30 Giugno 2003 n.196, recante il Codice della Privacy così come novellato e coordinato al Regolamento.
Il Servizio (oltre quindi all’affidamento alla Fondazione Logos P.A. dell’incarico di RPD) si compone delle diverse fasi di attuazioni al fine di rendere conforme l’Ente/azienda a quanto previsto dalla normativa vigente in materia di protezione dei dati personali:
FASE I: ANALISI E VALUTAZIONE DEL CONTESTO
La Fase I consiste nell’analisi e nella valutazione del sistema organizzativo dell’Ente con riferimento al trattamento dei dati personali e della privacy al fine di determinare i settori e le attività a rischio, in adeguamento della norma UNI EN ISO 31000 e conforme al Regolamento UE n.679/2016.
A tal proposito verrà realizzato un “assessment” tramite l’ausilio di un questionario, elaborato sulla base di uno studio approfondito della materia e dell’esperienza acquisita nel corso degli anni.
Inoltre, tale fase prevederà interviste al personale interessato e la relativa analisi dei processi organizzativi dell’Ente sulla base della documentazione esistente.
In genere le aree che necessitano di maggiori interventi sono quelle relative ai settori che trattano dati personali di cui all’art.9 del GDPR (es. per gli Enti Locali, Servizi Sociali, ICT, Polizia Locale, ecc.).
Ciò consentirà la predisposizione di una relazione finale di “Insediamento, Analisi e Valutazione del contesto” utile al fine di avviare attraverso la fase II la creazione di un Modello implementato “ad hoc” per l’ente/azienda di riferimento.
FASE II: IMPLEMENTAZIONE MODELLO ORGANIZZATIVO PRIVACY
La Fase II si compone principalmente delle seguenti attività:
- formazione ed aggiornamento del personale coinvolto;
- mappatura dei trattamenti dei dati personali dell’Ente (Registro delle Attività di trattamento dei dati personali);
- predisposizione della Documentazione (Atti amministrativi, Piano di Protezione dei dati, Organigramma, Registro Accountability, Registro delle Violazioni, Procedure, Istruzioni operative, Informative e Modulistica Analisi del Rischio e nel caso relativa DPIA-Valutazione di Impatto);
- supporto nella predisposizione del relativo Elenco delle Misure di Sicurezza (Organizzative, fisiche, logiche e tecnico informatiche).
FASE III: MONITORAGGIO, CONTROLLO E AZIONI DI MIGLIORAMENTO
La Fase III consiste nel verificare la corretta applicazione del Modello e delle procedure organizzative adottate e valutarne l’efficacia. Verranno a tal proposito eseguiti Audit con relativi report per tutti i vari settori/aree interessate al fine di individuare, almeno con cadenza annuale, delle azioni di miglioramento del sistema.
ULTERIORI SERVIZI
I Servizi erogati dalla Fondazione Logos P.A. sono coperti da relativa polizza assicurativa (RC).
I nostri Clienti saranno seguiti nelle attività di realizzazione ed in quelle successive di monitoraggio del Piano anche attraverso sessioni virtuali mediante piattaforme in modalità business che consentono lo scambio di informazioni documentali in tempo reale.
Ai nostri Clienti saranno fornite credenziali di accesso per poter inviare sul sistema “Esperto risponde” della Fondazione, sul “Forum” eventuali quesiti in materia e per ricevere aggiornamenti normativi o regolamentari attraverso l’accesso alla Libreria Online e la Newsletter periodica.
I nostri clienti potranno ricevere inviti di partecipazione a corsi formativi tematici erogati su Webinar.
ESPERIENZE
Attraverso il nostro Team di esperti supportiamo circa 30 enti/imprese, per lo più Pubbliche Amministrazioni.
