Privacy, i 10 errori da evitare

Il responsabile della protezione dei dati non è un factotum; le sanzioni non sono sospese; il responsabile esterno non è il Dpo; gli amministratori di sistema, anche se non sono nominati dal regolamento Ue, sono da licenziare. Sono alcuni degli scivoloni che possono capitare nei primi giorni di operatività del regolamento Ue sulla privacy, che lo scorso 25 maggio ha esordito. Nonostante l’assenza di un decreto italiano di coordinamento. Proprio mentre il Gdpr muove i suoi primi passi, Antonello soro, presidente del garante per la protezione dei dati, lo scorso 24 maggio a Bologna durante la convention dei responsabili della protezione dei dati, ha fatto un appello al Parlamento: si faccia in fretta a mandare avanti lo schema di decreto attuativo della legge 163/2016. Ecco i 10 errori da evitare fin da subito.

Formalismi
Dappertutto si sente dire che il Regolamento ha un approccio basato sul rischio. Seguendo questa impostazione vanno privilegiate scelte da cui deriva un incremento di sicurezza delle reti, dei dispositivi, dei locali e così via. Meglio avere una buona sicurezza e una buona organizzazione. Un errore è scambiare la privacy europea con la stesura di moduli e moduli. Un comportamento virtuoso è dotare i propri uffici, computer, server di sistemi di protezione fisica e tecnologica.

Tecnicismi
Un errore è quello di pensare che la disciplina della protezione dei dati sia solo un problema di sicurezza informatica. La sicurezza informatica è certamente importante, ma è solo un pezzo del problema. Posso avere un sistema informatico sicuro e custodire dati inesatti e, quindi, violare clamorosamente la privacy. La privacy è preoccuparsi dell’effetto che fa l’uso dei dati sulla vita delle persone, e attivare condotte virtuose e rispettose.

Informazioni
Sotto la vigenza del codice della privacy (DLgs 196/2003) si parlava di informative e si citava, appunto, questo decreto legislativo. Lasciare a disposizione degli interessati modelli di informativa contenenti quel riferimento può essere indicativo della mancata presa in esame del regolamento europeo. Avere un modello di informativa buono nei contenuti, anche se con un riferimento normativo scorretto non è di per sé invalidante. Peraltro le informazioni devono essere, appunto, esaustive nel merito. Meglio correre ai ripari e inserire i riferimenti giusti e anche le informazioni in linea con il regolamento.

Responsabili interni
Sulla scorta delle norme del codice della privacy, enti pubblici e privati hanno nominato responsabili interni del trattamento. Si tratta di un’organizzazione che non ha più ragion d’essere con questa denominazione. L’organizzazione può mantenere centri interni di imputazione di attività. Ma non bisogna continuare come se nulla fosse.

Responsabili esterni
Non sono da confondere con il responsabile della protezione dei dati. Hanno compiti diversi: solo i responsabili esterni trattano dati per conto del titolare.

Autorizzati al trattamento
I vecchi incaricati del trattamento non si chiamano più così. Si chiamano autorizzati al trattamento. Meglio ricordarsene nei moduli in preparazione.

DPO
Il responsabile della protezione dei dati è una figura importante, ma non è un factotum. Nominare un Rpd e affidargli tutta la privacy vuol dire non aver compreso bene il suo ruolo. Il responsabile della protezione dei dati non è un gestore degli adempimenti privacy, ma è un soggetto che informa, consiglia, ma anche sorveglia. E non può sorvegliare se stesso per non essere in clamoroso conflitto di interesse. In quest’ultimo mese di maggio 2018, si sono viste procedure di gara per l’affidamento contemporaneamente degli adempimenti per l’adeguamento al regolamento europeo sulla protezione dei dati e per la funzione di responsabile della protezione dei dati. Si tratta di un approccio criticabile, proprio alla luce dell’obbligo di evitare il conflitto di interesse: il Rpd non può valutare se ha condotto un buon adeguamento del trattamento di dati. Altro errore è assumere come responsabile della protezione dei dati un soggetto inesperto, tanto per coprire una casella. Il responsabile della protezione dei dati deve sapere quello che fa, altrimenti si espone a responsabilità.

Responsabilità del DPO
Si sente dire e si legge che il responsabile della protezione dei dati non è responsabile. Attenzione a non fraintendere. L’affermazione è vera se si vuol sostenere che il responsabile della protezione dei dati non è il parafulmine del titolare del trattamento, che rimane l’unico responsabile per le violazioni del regolamento Ue. Ma attenzione, un cattivo consiglio o un cattivo parere del responsabile della protezione dei dati espone quest’ultimo a responsabilità contrattuale nei confronti del titolare.

Amministratori di sistema
Un errore è pensare che siccome non sono nominati dal regolamento Ue sono da licenziare. Tutti i presidi della sicurezza sono validi ai fini della dimostrazione del proprio grado di responsabilizzazione.

Sanzioni
È un errore pensare che tanto il Garante per sei mesi non applicherà sanzioni. È una falsa notizia: se al Garante arriverà una notizia di illecito non potrà che esercitare i poteri assegnati dal Regolamento, a prescindere dall’eventuale sospensione del provvedimento del 22 febbraio 2018 sul monitoraggio.

 

Articolo tratto da ItaliaOggi

Articoli correlati

Ecco la guida NIST per la protezione dei dati personali
Il regolamento generale sulla protezione dei dati, recepito alla fine di agosto 2018, ha destato in molti titolari e responsabili del trattamento una elevata sensibilità alla protezione dei dati. Per...
Scopri di più
Privacy, i cittadini all’attacco
Poco più di 95 mila reclami da parte dei cittadini europei. È questo il primo bilancio reso noto dalla Commissione Ue a otto mesi dall’entrata in vigore, il 25 maggio...
Scopri di più
Buste paga, privacy doc
Consulenti del lavoro da nominare responsabili esterni del trattamento dei dati personali quando trattano i dati dei dipendenti dei propri clienti. Il Garante della privacy, con una nota diretta al...
Scopri di più
Niente privacy se il video in rete serve a informare il pubblico
La registrazione di un video all’interno di una stazione di polizia e la successiva diffusione del filmato su youtube rientrano nella disciplina Ue in materia di trattamento dei dati personali....
Scopri di più
Privacy semplificata per le PMI
Registro privacy semplificato per le piccole e medie imprese. Il Garante per la protezione dei dati personali ha diffuso lo scorso 8 ottobre il vademecum per uno dei principali adempimenti...
Scopri di più
Gps sotto il segno della privacy
Fornitura di apparecchi elettronici in linea con la privacy. Chi vende prodotti e sistemi deve preoccuparsi della conformità alle regole sulla protezione dei dati. Le norme del Regolamento Ue sulla...
Scopri di più
Le “autorizzazioni generali” al vaglio del Garante privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva per...
Scopri di più
Il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati personali con il nuovo regolamento sulla privacy entrerà in vigore il prossimo 19 settembre. È l’effetto della pubblicazione...
Scopri di più
Privacy, bella e impossibile
Se è vero che la gestione dei dati è il petrolio del prossimo futuro, la sua tutela dovrebbe essere una priorità per i legislatori. Invece fa acqua da tutte le...
Scopri di più
La privacy impone il Registro dei dati nelle aziende con più di 250 dipendenti
Grandi aziende chiamate a redigere il registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal regolamento europeo per la protezione dei dati personali, in vigore dal...
Scopri di più
I consigli privacy per le vacanze, droni in spiaggia con cautela
Attenti al drone: non deve diffondere i visi di persone riconoscibili; attenti al wi-fi: se non protetto, carpisce dati sensibili; attenti ai minori: meglio non postare immagini su social network....
Scopri di più
Privacy, dipendenti tracciabili
Tracciabilità dello smartphone possibile, in alcuni casi anche senza consenso; ma con garanzie per i lavoratori e i terzi. È uno degli aspetti che emerge dalla relazione del 2017 del...
Scopri di più
Privacy, 140 cyberattacchi al giorno. Denunce di data breach a +500%
A maggio gli attacchi informatici hanno toccato la soglia di 140 al giorno e nell’ultimo mese le comunicazioni di data breach al Garante della privacy sono aumentati di oltre il...
Scopri di più
Reclamo gratuito all’Authority
Se l’istanza di esercizio dei diritti, non va a buon fine, l’interessato può alternativamente rivolgersi al Garante o al tribunale. Nel caso in cui ci si rivolga all’autorità amministrativa, la...
Scopri di più
Privacy, imprese in allerta
Il reclamo privacy al Garante è gratis: per far valere i diritti previsti dal regolamento Ue 2016/679 sulla protezione dei dati non si pagano diritti di segreteria. Enti pubblici e...
Scopri di più
Privacy, una tutela facile facile
Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla....
Scopri di più
Una procedura per gestire la violazione dei dati
Il decreto legislativo 196/2003 prevedeva che la notificazione all’autorità garante di una violazione dei dati avvenisse solo a fronte di specifiche situazioni. Il nuovo regolamento europeo invece impone una notificazione...
Scopri di più
L’avvocato ai margini del Gdpr
Gli avvocati non devono essere nominati responsabili esterni del trattamento. Anche a seguito dell’applicazione del regolamento Ue sulla privacy n. 2016/679, con riferimento all’attività forense, il rapporto con il cliente...
Scopri di più
Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore. È una delle esigenze che si manifestano...
Scopri di più
L’antiriciclaggio limita la privacy
I dati acquisiti e archiviati dai soggetti tenuti alla adeguata verifica ai fini antiriciclaggio prevalgono sul diritto alla privacy e all’oblio. Dal 25 maggio 2018 è divenuto pienamente applicabile nel...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X