KHE Divisione Privacy

Responsabile ufficio Privacy (Privacy Officer) Regolamento Europeo 679/2016

La complessa struttura della normativa privacy che comprende il Regolamento Europeo 679/2016 e il Codice della Privacy, impone che entro il prossimo 25 maggio 2018 (termine improrogabile) tutti gli enti pubblici siano adeguati ai dettami della nuova normativa.
Alla luce delle indicazioni rese dal Garante per la Privacy in occasione del convegno tenutosi a Bari lo scorso 15 gennaio 2018, Il regolamento costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.

Istituzionalizzazione del DPO (Data Protection Officer)

La novità assoluta introdotta dall’art 37 del Regolamento Europeo 679/2016, è l’obbligo per tutti gli Enti pubblici, inclusi gli enti locali, di dotarsi del Privacy Officer - DPO (Data Protection Officer), una figura dotata di un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera.

Il Privacy Officer deve poter offrire ai vertici dell’ente pubblico la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza.

L’art.37 della proposta di Regolamento europeo sulla protezione dei dati personali, elenca i compiti del Privacy Officer (Responsabile sulla protezione dei dati):

  • Informare e consigliare il responsabile del trattamento sugli obblighi derivanti dal regolamento;
  • sorvegliare l’attuazione e l’applicazione delle politiche di sicurezza da parte del responsabile del trattamento in materia di protezione dei dati personali;
  • sorvegliare sulla formazione del personale in materia di tutela della Privacy;
  • sorvegliare sull’attuazione del regolamento, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l’informazione dell’interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento;
  • garantire la conservazione della documentazione;
  • controllare che le violazioni dei dati personali siano documentate, notificate al Garante;
  • controllare che il responsabile del trattamento effettui la valutazione d’impatto sulla protezione dei dati e richieda l’autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34;
  • controllare che sia dato seguito alle richieste dell’autorità di controllo e, nell’ambito delle sue competenze, cooperare con l’autorità di controllo di propria iniziativa o su sua richiesta;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l’autorità di controllo di propria iniziativa. 

Altre Novità

  • Principio di Accountability (responsabilità verificabile): secondo cui tutti i soggetti che partecipano al trattamento dei dati devono essere consci e responsabili e devono obbligatoriamente tenere la documentazione di tutti i trattamenti effettuati. E’ sufficiente non avere i documenti per essere perseguibili.
  • PIA Privacy Impact Assessment (Valutazione di impatto sui dati personali): si effettua una valutazione degli impatti privacy analizzando i rischi, definendo i gap rispetto alla corretta gestione dei rischi, stabilendo un piano per colmarli e controllando annualmente gli effetti degli interventi per ridurre i rischi.
  • Privacy by Design – stabilisce il principio secondo cui la protezione dei dati deve essere garantita fin dalla progettazione del trattamento, quindi, bisogna prevenire e non correggere, ovvero, la tutela della privacy deve essere incorporata nel progetto e che la sicurezza deve essere garantita durante tutto il ciclo del servizio sulla base del principio della centralità dell’utente;
  • Privacy by default: stabilisce che per impostazione predefinita l’ente dovrebbe trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti;
  • Data Breach Stabilisce l’obbligo di segnalare ogni violazione dei dati all’Autorità Garante, che valuterà eventuali responsabilità e sanzioni nel caso di violazione degli obblighi in materia. 

Le Sanzioni

Le Sanzioni applicabili in caso di violazione della normativa possono raggiungere i 20 milioni di euro, in modo particolare:

  • il mancato adeguamento alle normativa entro il prossimo 25 maggio, è prevista una sanzione fino a 10 milioni di euro;
  • la mancata nomina del DPO (Data Protection Officer) implica una sanzione fino a 10 milioni di euro;
  • la mancanza dell’Informativa una sanzione fino a 20 milioni;
  • La mancata comunicazione al Garante in caso di Data Breach fino a 10 milioni di euro.


Adeguamento e affidamento servizio di DPO

KHE Società Cooperativa si occupa, su richiesta del Cliente Pubblico e Privato, delle attività necessarie all’effettuazione del check-up sull’impatto derivante dall’applicazione del nuovo Regolamento UE n. 679/2016 (GDPR) e dell’incarico di DPO Data Protection Officer

Il servizio offerto consiste in un’attività di Consulenza ed Affiancamento, tramite Professionisti (nella veste di Responsabili Esecutivi del Progetto), con ampia esperienza nel settore, comprendente:

  • predisposizione delle opportune check-list
  • n. 1 o più sessioni di check presso la sede del Cliente,


All’esito del check-up il Cliente sarà messo in grado di valutare l’impatto del nuovo Regolamento sulla propria realtà in relazione ai seguenti profili:

  • Rapporti con responsabili esterni
  • Rapporti con titolari del trattamento
  • Nuove regole su informative e consensi
  • Privacy by design
  • Privacy by default
  • Registro delle attività di trattamento
  • Data breaches
  • DPIA -Data Protection Impact Assessment e la sicurezza dei dati
  • DPO- Data Protection Officer
  • Diritto alla cancellazione ("diritto all’oblio")
  • Diritto alla portabilità dei dati
  • Formazione e istruzione del personale

Solo al termine di questa fase di valutazione sarà stilata Offerta per l’adeguamento dell’Organizzazione a quanto previsto dal Regolamento Europeo 679/2016 e dal Codice della Privacy.
In ottemperanza al D. Lgs. 196/03 sulla privacy, KHE Società Cooperativa si impegna a mantenere la massima riservatezza su tutti i dati sensibili, fiscali, tecnici e commerciali e in generale su tutte le informazioni delle quali verrà a conoscenza durante l’erogazione del servizio.

La normativa sulla privacy è una disciplina che riscontra una vasta applicazione in molteplici attività concernenti le pubbliche amministrazioni, gli istituti scolastici, le strutture socio-sanitarie, le imprese e i liberi professionisti.

La complessa struttura del Codice della Privacy (d.lgs. 196/2003), richiede un trattamento della materia con una specifica competenza tecnico-giuridica, la cui violazione determina l'irrogazione esose di sanzioni civili e amministrative e gravose sanzioni penali.

Per assicurare una corretta applicazione Codice Privacy, è fondamentale rivolgersi a professionisti di comprovata esperienza nel settore di riferimento, per evitare procedimenti giudiziari e superare indenni le ispezioni del Garante Privacy, che interviene attraverso la Guardia di Finanza.

L'adeguamento è un obbligo che coinvolge coloro che durante lo svolgimento delle proprie attività trattano dati personali quali: enti pubblici, come aziende liberi professionisti, istituti d'istruzione, strutture sanitarie e sociosanitarie, etc.

L'obiettivo del nuovo Codice è di sollecitare le aziende alla tutela dei dati personali, regolamentando il trattamento degli stessi mediante una struttura che garantisca regole, sicurezza e controllo.

Il DPS non più obbligatorio a seguito della recente riforma del Codice Privacy, è un documento considerato comunque "consigliabile" poiché racchiude tutti gli adempimenti in materia di privacy e le misure di sicurezza adottati dalla struttura, garantendo il rispetto il trattamento dei dati personali.

KHE Divisione Privacy permette alla tua azienda di adottare le misure minime di sicurezza per il trattamento dei dati personali, previste dal Codice Privacy, di aggiornare periodicamente la documentazione sulla privacy e di accompagnare la vostra azienda nell'adempimento dei molteplici aspetti connessi alla corretta applicazione della normativa del D.lgs 196/2003, garantendo un continuo monitoraggio delle nuove disposizioni legislative, attraverso:

  • L'adeguamento agli obblighi di legge previsti dalla normativa;
  • La stesura del Piano di Sicurezza per il Trattamento dei Dati Personali e redazione del DPS (documento consigliabile);
  • La progettazione lettere di incarico e delle informative;
  • Il monitoraggio della corretta implementazione delle misure minime di sicurezza;
  • L'adeguamento della sezione relativa alla privacy dei format contrattualie dei modelli di bando pubblici;
  • La funzione di Amministratore di sistema esterno per gli adempimenti di legge;
  • Il servizio di Privacy Officer ai sensi del Regolamento Europeo (in fase di approvazione);
  • La gestione processi di comunicazione alla DPL Provinciale per installazioni telecamere;
  • La gestione processi comunicazione al Garante Privacy per autorizzazioni speciali;
  • L'assistenza giuridica, Reclami e Ricorsi innanzi al Garante Privacy;
  • La Formazione del personale;
  • L'implementazione della Sicurezza Informatica.

 

KHE Divisione Privacy vanta un team di professionisti, diretti dal Dott. Gianfranco Riso, con decennale esperienza nel settore, con consolidate conoscenze in materia di Tutela della Privacy e del Diritto dell'Informatica, certificata da:

  • Master universitario in Diritto dell'Informatica,con specializzazionenella Tutela della Privacy;
  • Master in Gestione e Conservazione Digitale dei Documenti;
  • Centinaia di corsi di formazione per il personale, in ambito pubblico, sanitario e privato;
  • Decine di conferenze nell'ambito delle Pubbliche Amministrazioni;
  • Socio Federprivacy.