Protezione dati: approvato il Protocollo che aggiorna la Convenzione 108
Protezione dati: approvato il Protocollo che aggiorna la Convenzione 108
Dopo un lungo iter iniziato nel 2011 è stato portato a termine dal Comitato dei ministri del Consiglio d’Europa, il processo di modernizzazione della Convenzione 108 del 1981 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.
L’adozione formale è avvenuta in occasione della Ministeriale di Elsinore il 18 maggio scorso.Il Protocollo emendativo, che aggiorna la Convenzione 108, sarà aperto alla firma il 25 giugno, in occasione della sessione dell’Assemblea Parlamentare del Consiglio d’Europa.
La modernizzazione della Convenzione 108, che è tuttora l’unico strumento sulla protezione dei dati vincolante a livello internazionale, risponde alle molte sfide intervenute negli anni per l’avvento delle nuove tecnologie, assicurando la tenuta dei principi della Convenzione e rafforzandone i meccanismi per la sua effettiva implementazione.
Il Protocollo contiene diverse novità rispetto all’originario. In particolare: il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento; l’ampliamento dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento; maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach, e di assicurare un approccio di privacy by design. Il Protocollo rafforza inoltre i compiti delle Autorità di protezione dati e del Comitato della Convenzione, chiamato a svolgere un ruolo nella valutazione dell’effettivo rispetto dei principi della Convenzione che deve essere assicurato dai Paesi che ne faranno parte.
Roma, 21 maggio 2018 – Garante Privacy
Gdpr [General Data Protection Regulation], ispezioni alla porta: ecco cosa fare
I controlli della Guardia di finanza o del Garante per il trattamento dei dati personali saranno costanti e non sempre comunicati per tempo. Ecco un vademecum per evitare errori che potrebbero costare caro alle aziende. Dal numero 158 di AboutPharma
AboutPharma – 21 maggio 2018 di Alessio Chiodi
Se il padrone di casa sapesse a quale ora viene il ladro, non si lascerebbe scassinare la casa. Anche voi tenetevi pronti…” recita una nota parabola del Vangelo che può tornare utile anche per le più laiche ispezioni delle autorità in materia di tutela privacy. Perché ora che le regole del gioco stanno cambiando, anche i controlli potrebbero aumentare. E non si sa quando verranno a bussare alla porta per chiedere conto delle attività di un’azienda.
Se si dovesse immaginare un vademecum di comportamento, in questo caso, la prima regola sarebbe: essere pronti a gestire un’ispezione del Garante per la protezione dei dati personali. Generalmente le ispezioni sono precedute da segnalazioni o ricorsi. Oppure sono iniziative del Garante all’interno di una road map ben definita. Tuttavia se un’azienda viene contattata dall’autorità preposta per avere informazioni specifiche sulla propria attività, allora è probabile che di lì a poco ci sarà una visita ispettiva. Magari di persona. Nei casi meno gravi, delle visite di routine è la Gdf a occuparsene. In quelli più gravi sono gli ispettori del Garante. E senza il supporto del nucleo della Guardia di finanza. Secondo quanto scritto dall’avvocato Gianluigi Marino, partner di OsborneClarke (AboutPharma n°154, pagine 90-91), se l’ispezione è condotta in prima persona dagli ispettori, è possibile aspettarsi che la situazione diventi controversa. L’ispezione potrebbe portare alla luce altre possibili violazioni. Quindi, in base al soggetto che provvede agli accertamenti, si comprende il maggiore o minore livello di consapevolezza dell’autorità riguardo i problemi dell’azienda ispezionata.
Secondo punto: trovare le risposte giuste
I controlli possono essere comunicati (il giorno prima) o avvenire a sorpresa. Prima dell’ispezione viene richiesto un documento chiamato “richiesta di informazioni”. Con questo elemento, notificato al momento dell’accesso in sede, si chiede conto di tutti gli adempimenti legislativi e regolamentari in materia di dati personali. Come viene raccolto il consenso? In che modo viene data l’informativa agli interessati? Come vengono contrattualizzati i responsabili esterni del trattamento? Tutte domande a cui va trovata una risposta.
Terzo punto: avere una figura che segue le ispezioni
Le procedure interne devono essere snelle, veloci. Gli onori di casa vanno fatti subito. Generalmente, ad adempiere a questo compito sono il responsabile interno della privacy, il capo ufficio legale, il capo della funzione compliance o il Dpo.
Quarto punto: verbalizzare quanto avviene e quanto viene detto
Va tutto trascritto, registrato e controllato. Meglio riservarsi di verificare la correttezza di quanto dichiarato. Meglio ancora se a vagliare il tutto è un legale interno alla società o un consulente esterno.
Quinto punto: avere una compliance privacy ben rodata
Sarà più facile accedere alla documentazione richiesta. Tuttavia sono previsti quattordici giorni per l’invio del materiale. Niente di preoccupante se nell’immediato non vengono soddisfatte le richieste degli ispettori. Accade di frequente.
Sesto punto: considerare la durata delle operazioni
Le indagini durano circa due o tre giorni. Quindi è necessario che la figura aziendale preposta a seguirle stenda un rapporto esaustivo su quanto è accaduto.
Settimo punto: mai rilasciare documenti originali
Meglio solo le copie. Inoltre bisogna prendere nota delle banche dati ispezionate, farsi rilasciare una copia del verbale dall’ispettore, dare sempre informazioni veritiere. In caso di dubbi, meglio non rispondere e rimandare ad accertamenti successivi. Come agli esami universitari, meglio tacere che dare una risposta scorretta. In caso di documentazione riservata è bene cancellare o rendere anonimi dati sensibili che non si vogliono rendere conoscibili all’ispettore. Per esempio, i termini economici degli accordi. Marino si chiede: “le organizzazioni saranno sufficientemente responsabilizzate da reggere all’impatto del Gdpr e delle nuove ondate di ispezioni dei prossimi semestri?”.
Ottavo punto: non ci saranno deroghe
Nelle settimane scorse è circolata una notizia, poi rivelatasi falsa, su un possibile periodo transitorio da concedere alle aziende non compliant dopo la data del 25 maggio 2018. Il Garante è dovuto intervenire pubblicamente per smentire qualsiasi informazione relativa a questo “periodo ponte”. E confermare l’effettiva entrata in vigore il 25 maggio. Anzi, a dirla tutta, una sorta di periodo transitorio c’è già stato. Il Gdpr è entrato in vigore nel 2016, ma le istituzioni europee hanno deciso di concedere ulteriori due anni per consentire l’adeguamento alle aziende.
Notizie correlate: PRIVACY: Fimmg, Ecco i passaggi per mettersi in regola entro il 25
«consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’inte ressato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
Il trattamento è lecito se necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.