LA NORMATIVA

Il nuovo Regolamento Europeo UE 2016/679 in materia di protezione dei dati personali (noto anche come “GDPR – General Data Protection Regulation”) ha ad oggetto la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” e disciplina – senza necessità di recepimento –  i trattamenti di dati personali, sia nel settore privato che nel settore pubblico. Come è noto, trattandosi di un regolamento e non di una direttiva, esso non richiede una legge nazionale per essere recepito, ed è quindi già in vigore in tutta l’UE sin dal momento della sua pubblicazione sulla Gazzetta Ufficiale dell’Unione. Sono tuttavia previsti due anni di tempo per consentire a tutti gli Stati membri di adottarne le prescrizioni, termini che scadranno a maggio del 2018.

Il Regolamento è già in vigore e diventerà definitivamente applicabile in tutto il territorio UE a partire dal 25 maggio 2018. 

Data protection officer

Il Regolamento prevede poi l’obbligo per le pubbliche amministrazioni di nominare un DPO – Data Protection Officer (ovvero il Responsabile della protezione dei dati personali). Si tratta di una figura che deve possedere dei requisiti specifici (ad esempio in termini di esperienza e competenza) e deve occuparsi della corretta applicazione della normativa, curando con particolare attenzione della formazione del personale. Gli enti devono quindi procedere ad individuare il DPO (Data Protection Officer detto anche RDP (Responsabile della protezione dei dati), che può essere interno o esterno all’Ente e a dotarlo delle risorse adeguate.

ATTIVITÀ PREVISTE PRESSO LA SEDE DELL’ENTE

A)     MODULO FORMATIVO

Docente: avv. Nicola Fabiano, esperto in Diritto delle nuove tecnologie, presidente del CINFOR (Centro per l’informatica e l’innovazione forense), componente del Consiglio Nazionale Forense (CNF) e Direttore Settore E-commerce e Consumatori Digitali all’Istituto Italiano per la Privacy (IIP).

Il trattamento dei dati personali nel processo di gestione elettronica dei documenti.

• Il trattamento dei dati personali
• Regolamento Generale sulla Protezione dei Dati (GDPR) - UE 2016/679
• Profili soggettivi
• Ruolo, compiti e responsabilità del Titolare del trattamento dei dati personali
• Ruolo, compiti e responsabilità del Responsabile della protezione dei dati personali (DPO)
• Classificazione dei dati
• Classificazione delle attività sui dati
• Modalità di trattamento
• Le misure di sicurezza
• La tutela
• Le sanzioni
• La protezione dei dati personali nel ciclo di gestione del documento elettronico
• Esemplificazione della costruzione di un sistema data-privacy a norma

B)     ATTIVITÀ TECNICHE E DI SUPPORTO

1. Designazione del Responsabile della protezione dei dati (DPO) artt. 37.39.

Questa nuova figura, che il regolamento richiede sia individuata in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati, costituisce il fulcro del processo di attuazione del principio di "responsabilizzazione". Il diretto coinvolgimento del DPO in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria, è sicuramente garanzia di qualità del risultato del processo di adeguamento in atto. In questo ambito, sono da tenere in attenta considerazione i requisiti normativi relativamente a: posizione (riferisce direttamente al vertice), indipendenza (non riceve istruzioni per quanto riguarda l'esecuzione dei compiti) e autonomia (attribuzione di risorse umane e finanziarie adeguate). Questa figura può essere interno o esterno all’Ente.

Pertanto l’Ente può nominare quale Responsabile della protezione dei dati (DPO) la società CSIPA S.r.l.

2. Istituzione del Registro delle attività di trattamento (art. 30).

Essenziale avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche (finalità del trattamento, descrizione delle categorie di dati e interessati, categorie di destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di conservazione, e ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte) funzionale all'istituzione del registro. La ricognizione sarà l'occasione per verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del trattamento (verifica dell'idoneità della base giuridica, artt. 6, 9 e 10) nonché l'opportunità dell'introduzione di misure a protezione dei dati fin dalla progettazione e per impostazione (privacy by design e by default, art. 25), in modo da assicurare, entro il 25 maggio 2018, la piena conformità dei trattamenti in corso.

3. Notifica delle violazioni dei dati personali (cd. Data Breatch art. 33 e 34).

E’ fondamentale, nell'attuale contesto caratterizzato da una crescente minaccia alla sicurezza dei sistemi informativi, la pronta attuazione delle nuove misure relative alle violazioni dei dati personali, tenendo in particolare considerazione i criteri di attenuazione del rischio indicati dalla disciplina e individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.

Con maggior dettaglio, di seguito, si elencano le attività che saranno svolte in qualità di DPO o a supporto del DPO se nominato internamente all’Ente.

a)   Ricognizione preliminare

Rilevazione dello stato dell’arte, con la relativa ricognizione di tutti gli asset presenti in tutte le sedi  dell’Ente dislocate sul territorio. La rilevazione consente di predisporre un piano di azioni ai fini dell’adeguamento al nuovo Regolamento Europeo sulla protezione  dei dati.  La mappatura afferisce anche gli impianti  di videosorveglianza presenti  nelle  sedi  dell’Ente  al  fine  di  verificarne  la  conformità  alla  normativa  vigente  e,  ove necessario, prescriverne la procedura di adeguamento  tecnico-normativo.

Durante la ricognizione  generale saranno rilevate le seguente informazioni:  

•       Misure di sicurezza fisica esistenti
•       Misure di sicurezza logica adottate
•       Misure di sicurezza organizzativa presenti

Nello specifico, per ciascuna  sede/unità  operativa dell’Ente saranno rilevati almeno i seguenti dati:

·                Organizzazione

•        Tipo attività svolta
•        Tipo dati trattati
•        Categorie interessati
•        Responsabili  ed incaricati
•        Localizzazione base dati
•        Analisi eventi minacce
•        Misure di sicurezza adottate e da adottare
•        Ricognizione attività di trattamento dati in outsourcing

Dotazione informatica

•        Nome Computer e indirizzo lP
•        Dominio-Workgroup
•        Sistema Operativo
•        Antivirus
•        Firewall
•        Procedure per il Backup
•        Responsabile Backup
•        Cifratura o separazione - dato sensibile da quello personale

Misure di sicurezza fisica

•        Sistema d'allarme e protezione degli accessi
•        Linea elettrica e unità ausiliaria di supporto UPS
•        Sistema di protezione degli armadi e contenitori di documenti

b) Supporto specialistico organizzativo e gestionale.

Coordinamento delle  attività necessarie nelle diverse strutture dell’Ente, riguardanti il rispetto della normativa di legge e del nuovo regolamento europeo; supporto e riscontro, per ciò che attiene gli aspetti organizzativi; esecuzione degli adempimenti formali di carattere generale previsti dalla legge, coinvolgendo  all'occorrenza le diverse strutture dell’Ente; interagire con il Titolare del trattamento dei dati ed i Responsabili dei vari servizi e uffici ove necessario; coordinare in accordo con l’amministratore del sistema informatico, l’applicazione delle regole e dei permessi di accesso ai dati informatici ed alla definizione degli strumenti tecnici necessari; predisporre i regolamenti per la gestione dei profili di accesso ai dati informatici sensibili; predisposizione del piano periodico per la verifica della corretta applicazione e dell’efficacia delle regole adottate di sicurezza informatica e delle misure tecniche di sicurezza adottate per la protezione dei fati informatizzati.

Nell’ambito della presente attività, si fornirà supporto nella predisposizione degli atti necessari per la nomina del Titolare del trattamento dei dati, del Responsabile della protezione dei dati, dell’amministratore del sistema informatico e del controllo degli apparecchi di videosorveglianza.

c) Aggiornamento del Documento Organizzativo sulla Sicurezza.

A seguito della ricognizione generale, per la quale è prevista la consegna di un rapporto finale con l’indicazione dello stato dell’arte rilevato, gap rilevati e contromisure da applicare secondo un piano di azioni, sarà predisposto il Documento Organizzativo sulla Sicurezza (c.d. registro delle attività, secondo il nuovo Regolamento Europeo sulla Privacy). Tale documento conterrà il Privacy Impact Assessment (valutazione d’impatto sulla protezione dei dati) al fine di determinare la particolarità e gravità dei rischi analizzati. La valutazione d’impatto riporterà le misure suggerite per affrontare e mitigare i rischi, ivi compresi le procedure per garantire la protezione dei dati personali in conformità alla normativa vigente ed in linea con il nuovo Regolamento Europeo.

d) Supporto giuridico

Per tutta la durata del servizio sarà fornita all’Ente il supporto giuridico su problematiche afferenti il tema “Privacy” con stesura e rilascio di pareri formali.

e) Attività periodiche di Audit.

Saranno svolte attività di Audit con periodicità trimestrale finalizzate alla verifica delle seguenti misure di sicurezza fisiche-logiche-organizzative:

•         accesso fisico ai locali ove si svolge  il trattamento automatizzato;
•          gestione delle credenziali di accesso e dei profili informatici degli incaricati; 
•       adozione delle procedure atte a verificare l 'integrità e l'aggiornamento dei dati personali;
•          sicurezza delle trasmissioni in rete;
•          modalità di conservazione dei documenti non soggetti a trattamento informatico;
•          procedure in uso per informativa e consenso;
•          protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;