Rischio ingolfamento per il Garante

Il nuovo regolamento europeo sulla privacy ha certo reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla. Fino a un mese fa bisognava sborsare almeno 150 euro di diritti di segreteria.

Inoltre ci si può rivolgere al titolare del trattamento, e le norme sono congegnate in modo tale da obbligare le imprese a rispondere in fretta, per non correre il rischio di sanzioni pesantissime, fino a 20 milioni di euro o al 4% del fatturato.

La conseguenza inevitabile è che i circa 300 ricorsi ogni anno presentati al Garante si moltiplicheranno in modo consistente. Idem per le richieste di esercizio dei diritti presentate ai titolari del trattamento dati.

Per le imprese più grandi o quelle che trattano grandi volumi di dati personali, ciò si tradurrà in aumento dei costi: in molti casi dovranno prevedere o mettere in opera l’ufficio reclami o l’ufficio relazioni con il pubblico. E per le società con sedi in diversi Paesi europei, il problema si moltiplica perché è facile prevedere una europeizzazione dei ricorsi.

Un’impresa italiana, cioè, potrebbe essere chiamata a rispondere anche a un ricorso presentato al Garante di un Paese europeo nel quale ha una attività che comporta il trattamento di dati. Finora, se la sede era italiana, il ricorso poteva essere presentato solo al Garante italiano. Sarà inevitabile anche il formarsi di una giurisprudenza europea, perché i garanti di tutta l’Ue dovranno coordinarsi tra loro per prendere posizioni non contraddittorie.

Per il cittadino che ritiene violato un suo diritto ci sono quindi tre possibilità di azione. Può rivolgersi all’impresa che ha trattato i suoi dati e presentare la sua richiesta utilizzando il modello predisposto dal Garante della privacy. A questo punto la controparte sarà tenuta a dare una risposta in tempi piuttosto brevi (un mese) se vuole evitare sanzioni molto pesanti, come si è visto sopra.

Anche se la risposta fosse negativa, dovrà aver cura di segnalare che il cittadino può comunque rivolgersi al Garante o al tribunale per far valere il suo (presunto) diritto. Non potrà essere addebitato alcun costo per l’attività necessaria a dare risposta, salvo il caso di richieste emulative o insistenti.

La seconda opzione è presentare ricorso al Garante il quale può ordinare all’impresa di tenere o meno un certo comportamento, oppure rigettare il ricorso. Oggi la percentuale dei ricorsi respinti è di poco superiore alla metà. Attenzione, nel passato regime il mancato riconoscimento del diritto da parte del titolare del trattamento non lo esponeva alla sanzione amministrativa, oggi invece sì. Se vado dal Garante e lamento che l’impresa non mi ha dato i miei dati, questi può aprire un fascicolo per irrogare una sanzione amministrativa.

Cosa che farà certamente una volta accertata la violazione di un diritto. Il vantaggio di tale procedimento è che, oltre a essere diventato gratuito, si conclude in media in 3 o 4 mesi. Per la verità il termine di legge previsto dal codice della privacy era 60 giorni, ma viene quasi sempre derogato. In alternativa al Garante si può ricorrere in tribunale, ma tale soluzione presenta alcuni svantaggi, in primo luogo il costo del contributo unificato. Inoltre i tempi sono molto lunghi e non c’è una grande giurisprudenza che possa rendere prevedibile l’esito del ricorso. In pratica conviene solo per le richieste di risarcimento danni.

Un esempio concreto. La cronaca dei giorni scorsi ha segnalato la vicenda di Facebook pescata a vendere in modo illegittimo i dati dei propri utenti. Chi si sentisse leso nei propri diritti potrebbe a questo punto chiedere direttamente al social network l’accesso ai propri dati e le modalità di trattamento degli stessi. Se l’azienda non risponde ci si può rivolgere al Garante italiano senza bisogno di inoltrare domanda a quello del Paese dove l’azienda ha sede. In teoria ci si può rivolgere anche al tribunale per chiedere il risarcimento del danno non patrimoniale, ma bisogna dare prova e quantificare il danno subito.

Nella maggior parte dei casi questo può risultare inferiore al costo del processo. Più realistica una class action.

Articolo pubblicato su Mf/Milano finanza – Autore: Marino Longoni

Nuove FAQ Privacy europea

Clubdpo.com e Faq privacy europea sono stati aggiornati con i seguenti quesiti risolti:

1) Un mio cliente mi ha conferito un incarico professionale che prevede un trattamento dati personali indiretto, nel senso che l’incarico riguarda suoi clienti. Come mi devo regolare con la privacy?

2) Quali sono gli obblighi privacy per un agente rappresentante?

3) Come deve essere considerato l’RSPP esterno ai sensi della privacy europea?

Pubblicato il servizio di aggiornamento per i DPO

E’ disponibile il nuovo servizio di aggiornamento per i DPO – http://www.clubdpo.com

 

 

 

 

 

 

CLUB DPO è il servizio per l’aggiornamento professionale dei DPO (Data Protection Officer).

L’iscrizione consente di qualificare ulteriormente il proprio curriculum professionale, migliorare le proprie competenze e ricevere le novità inerenti la professione del DPO ed essere sempre aggiornato per 12 mesi.
Inoltre l’abbonato può accedere a decine di strumenti operativi costituiti da:
_ software
_ modelli documentali
_ supporti per la formazione (slide, test, ecc.)
_ ebook
_ corsi e lezioni online di aggiornamento

Viene rilasciato un certificato di iscrizione per certificare e dimostrare il proprio aggiornamento professionale come DPO.

CLUB DPO è validato dall’Associazione Data Protection Officer Europei – http://www.adpoe.eu

 

Come funziona ->Attraverso il sito www.clubdpo.com l’abbonato può accedere alle seguenti sezioni:

_ SOFTWARE – per realizzare la gestione dell’attività del DPO.
Ogni scritto può utilizzare i seguenti software direttamente dal proprio PC
_ DPO Manager
_ Privacy compliance
_ Project privacy
_ PIA (analisi rischi impatti trattamenti dati)
_ Informativa compliance
_ Audit web GDPR per aggiornare i siti web al Reg. Ue 2016/679
_ Audit Cyber security
_ Gest. Info – gestione documentale informative e consensi trattamenti dati
_ Formazione Doc per gestire l’attività formativa privacy nelle aziende

I software richiedono Windows da XP in poi. Licenza per 1 pc. Sono utilizzabili per un numero illimitato di aziende. La licenza è valida per 1 anno. Viene rinnovata rinnovando l’iscrizione a CLUB DPO.

_ FORMAZIONE CONTINUA – per essere sempre aggiornato sul ruolo e le funzioni del DPO
Questa sezione viene implementata periodicamente con corsi e lezioni on line inerenti le novità della professione del DPO, per assicurarti una formazione continuna e aggiornata.

_ FAQ – per risolvere qualsiasi quesito sull’applicazione del Reg. UE 2016/679
Oltre 40 quesiti risolti implementati ogni mese con nuovi contenuti

_ MODULISTICAmodelli di documenti in formato MS Word/MS Excel ad uso del DPO. Include anche le slide in Power Point per la formazione degli incaricati, responsabili e titolari trattamenti dati

_ OFFERTE DI LAVORO PER DPO – il servizio settimanale che raccoglie le offerte di incarico come DPO da parte di privati ed enti pubblici – Per aiutarti a sviluppare la tua attività professionale

_ EBOOK – una ricca biblioteca di ebook scaricabili dedicati al reg. Ue 2016/679 e a tutte le tematiche inerenti l’attività del DPO

_ RASSEGNA STAMPA – Ogni settimana ricevi le novità inerenti la professione di DPO direttamente via email

Una volta effettuata l’iscrizione valida per 12 mesi, ricevi entro 24 ore i codici di accesso al sito clubdpo.com e la newsletter settimanale CLUBDPO NEWS.
Il rinnovo dell’iscrizione NON E’ AUTOMATICO NE’ OBBLIGATORIO. Una settimana prima della scadenza dell’iscrizione riceverai una ns. email per rinnovarla senza alcun obbligo.

 

Offerte di lavoro per i consulenti privacy

Roma – La divisione Banking & Insurance di Randstad Professionals, specializzata nella ricerca e selezione di profili di middle, senior ed executive management, ricerca per istituto bancario di elevata complessità con base a Roma un                                                 ESPERTO PRIVACY

dpocorso

Candidati

***************************************
Monza – ESPERTO PRIVACY La ricerca è volta ad un profilo autonomo, sarà la referente operativa interna all’azienda, in merito ai temi sulla Privacy.La risorsa dovrà avere almeno 3-4 anni di esperienza e deve aver conseguito una laurea in Legge.

foto

Candidati

***************************************
Milano
Accenture Application Security is now looking for Data Protection & GDPR professionals, with a strong experience in Data Protection and solid expertise on data privacy matters, capable of defining and realizing comprehensive solutions for data protection and of supporting our Clients in choosing and implementing the most appropriate technologies to achieve compliance with the General Data Protection Regulatory (GDPR).

kit_privacy

***************************************
Venezia
Importante organizzazione specializzata in servizi consulenziali alle aziende ricerca per la propria sede di Venezia DATA PROTECTION MANAGER
Requisiti richiesti:
– conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, soprattutto di natura tecnico-informatica;
– ottima conoscenza delle tecnologie informatiche e delle misure di sicurezza dei dati;
– capacità di promuovere una cultura dela protezione dati all’interno dell’organizzazione e presso le aziende clienti

Candidati

***************************************

Quali caratteristiche deve possedere il DPO?

Il livello di qualifiche e competenze richiesto da un responsabile della protezione dei dati (RPD) non è chiaramente definito nel nuovo regolamento europeo sulla protezione dei dati generali (GDPR).

Ciò rende difficile la nomina di un DPO. Molti iscritti ai nostri corsi di formazione sulla privacy europea sono estremamente desiderosi di comprendere i requisiti del regolamento, compresa la nomina del responsabile della protezione dei dati.

Secondo il regolamento stesso, il responsabile della protezione dei dati deve disporre di un livello adeguato di esperienza, qualità professionali ed essere in grado di adempiere ai propri compiti.

Livello di competenza

Il livello di esperienza richiesto a un DPO può variare in base alla complessità e alla quantità di dati elaborati dall’organizzazione. Tuttavia, poiché il DPO è fondamentale per garantire che l’azienda eviti le multe astronomiche imposte dal presente regolamento, la ricerca di un candidato con una determinata esperienza è un buon punto di partenza.

Il DPO deve avere un’esperienza significativa ed evidente nel diritto comunitario e mondiale sulla privacy, la capacità di elaborare solide e corrette politiche sulla privacy e la conoscenza degli accordi di esternalizzazione. Un candidato con un background legale o una qualifica analoga può essere adatto a questo ruolo. Dato che viviamo in un’epoca dominata dalla tecnologia, anche l’esperienza nelle operazioni IT può essere utile.

Qualità professionali

Poiché il Reg. Ue 2016/679 non è solo un problema del settore IT e può influenzare molti aspetti della tua attività, al tuo DPO potrebbe essere richiesto di lavorare con vari reparti al fine di ottenere la conformità al GDPR. Pertanto, le capacità di leadership e la capacità di lavorare bene in team sono skill fondamentali affinché il DPO possa avere successo nel proprio ruolo.

Il tuo DPO sarà anche il punto di contatto per i tuoi clienti o il pubblico in caso di richieste inerenti la privacy. Pertanto sono richieste anche importanti capacità di comunicazione e di relazioni pubbliche.

Come per qualsiasi posizione che si sta cercando di riempire, è fondamentale che il candidato DPO possieda una buona conoscenza del settore aziendale in cui opera l’organizzazione.

Se la propria organizzazione è un ente pubblico, il responsabile della protezione dei dati deve avere una buona conoscenza delle regole e delle procedure amministrative.

Capacità di adempiere ai propri compiti

Poiché il responsabile della protezione dei dati è essenzialmente un responsabile della conformità ed è tenuto ad agire in modo indipendente, la capacità di adempiere ai compiti e di lavorare in modo autonomo, sono  fondamentali. Il DPO non deve assolutamente essere istruito nel raggiungere determinati obiettivi; deve essere lui a definire tali obiettivi di protezione dei dati e decidere il modo migliore per perseguirli.

Laddove la nomina di un responsabile della protezione dei dati non è obbligatoria, è incoraggiata e consigliata dal regolamento come scelta opportuna dimostrare la conformità e per assicurare la sua corretta applicazione. Dato che questo ruolo è nuovo per molte organizzazioni in Italia, trovare un candidato adatto che abbia tutte le caratteristiche può essere un compito impegnativo.

Perché il 25 maggio 2018 è solo l’inizio e non la fine del GDPR!

Oggi 25 maggio 2018, il regolamento generale sulla protezione dei dati dell’UE (GDPR) entra in vigore.

Questa data rappresenta solo l’inizio di un lungo viaggio di conformità per la maggior parte di aziende ed enti.. La consapevolezza del regolamento è certamente aumentata, ma non abbastanza da permettere alle organizzazioni di sapere cosa stanno facendo. Troppi ancora ritengono erroneamente che investire in poche e accattivanti tecnologie di sicurezza sia sufficiente. Credono che le multe saranno qualcosa che accadrà ad altre aziende, non alla propria.

Si sitma che potrebbero volerci fino a cinque anni prima di vedere alti e diffusi livelli di conformità al Reg. Ue 2016/679. Fino ad allora, per molti potrebbe essere una via cruscis se non si concentreranno in questo momento sulla documentazione e sui processi.

C’è ancora un’idea molto diffusa in molti cda che le violazioni e le relative multe possibili, non influenzeranno la propria organizzazione.

Un rapporto afferma che il 38% dei responsabili  IT ritiene che la propria organizzazione non abbia considerato prioritaria la conformità al GDPR entro la scadenza. Per certi aspetti è atteggiamento sconcertante se consideriamo gli alti interessi in gioco: dopo tutto, una multa del 4% del fatturato annuale globale è sufficiente per cacciare  qualsiasi amministratore delegato.
In realtà l’atteggiamento molto diffuso è che si spera in un approccio soft del Garante Privacy, vedi anche le false notizie dele ultime settimane in cui si mormorava la moratoria per 6 mesi delle sanzioni (voci immediatamente smentite dal Garante stesso).

Le previsioni dicono che i Garanti europei cominceranno molto seriamente l’attività di vigilanza, controllo e sanzionatoria, e questo spingerà ulteriormente le aziende meno virtuose a finanziare progetti completi di compliance al Reg. ue 2016/679.
In questa rincorsa si potranno verificare delle lacune nella realizzazione degli adempimenti dettate dalla fretta e dalla difficoltà di assicurarsi validi consulenti.
E queste lacune faranno sì che
le organizzazioni rimarranno esposte al rischio di violazioni e di controlli del Garante.

In realtà la conformità al GDPR e il suo mantenimento costituisce un processo dinamico, di migliroamento continuo supportato dalla tecnologia.

Le aziende quando saranno consapevoli di ciò, dovranno capire:

Dove sono archiviate le informazioni personali identificabili (PII) dei clienti / dipendenti
Le dinamiche dei flussi di dati all’interno e all’esterno dell’organizzazione
Quali dati devono essere eliminati in modo permanente in base al principio della minimizzazione
Dove i dati devono essere conservati e criptati o pseudonimizzati , forse per soddisfare altri requisiti normativi come quelli sanitari.

Le aziende di medie dimensioni sono probabilmente quelle peggio preparate alla scadenza del 25 maggio grazie alla confusione dei cda sul GDPR e alle risorse limitate.
Le aziende più grandi hanno ulteriori  sfide, ad esempio la gestione della documentazione necessaria per conformarsi.

I Data protection officer (DPO), imposti dal regolamento a molte aziende, contribuiranno al processo fintanto che non saranno emarginati all’interno dell’organizzazione. I responsabili della privacy sono stati tradizionalmente considerati da molte aziende come un freno all’innovazione piuttosto che un fattore di crescita.

La conformità non è una destinazione, è un continuo processo di miglioramento.

Gdpr: al via la procedura online

Al via la procedura online per comunicare al Garante della privacy i dati dei responsabili della protezione dei dati (Dpo), la nuova figura che pubbliche amministrazioni, imprese ed enti dovranno designare obbligatoriamente entro il prossimo 25 maggio, per assicurare il rispetto delle disposizioni del regolamento europeo (Gdpr).

dpocorso
Nello specifico, i soggetti pubblici sono tenuti indistintamente alla nomina, mentre nel privato, l’obbligo vale per coloro che, come attività principale svolta su “larga scala”, trattano dati particolari (sensibili, biometrici, ecc.) o fanno monitoraggio sistematico delle persone.

La disposizione, spiega il Garante, mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati, punto di contatto tra il singolo ente o azienda e il garante, in modo facile e diretto, come chiarito nelle linee guida adottate ad hoc.

 

Link per la comunicazione al Garante privacy dati DPO