GDPR P.A.


Polisnet Group, da oltre un decennio, è al fianco della Pubblica Amministrazione per assisterla ad affrontare le sfide del mondo digitale.

Al riguardo, le aree di intervento di Polisnet Group coprono tutto lo spettro della P.A. digitale, con risorse specialistiche in ambito informatico e giuridico,

per citare alcuni esempi:

⁃ Assistenza sia nella fase di progetto, sia in quella di implementazione del Sistema Informativo della P.A.

⁃ Pianificazione ed installazione della rete.

⁃ Installazione e manutenzione dell’Hardware e del software di base e di rete.

⁃ Assistenza applicativa sui prodotti software maggiormente in uso e finalizzati al lavoro degli uffici (front-office e back-office).

⁃ Progettazione, installazione ed assistenza di impianti di videosorveglianza finalizzati ai compiti istituzionali della P.A.

In questo ambito, Polisnet Group mette a disposizione le proprie competenze finalizzate allo studio, redazione e mantenimento del GDPR, il cui adempimento è previsto per il prossimo 25 Maggio 2018.

La scadenza incombe, vi invitiamo pertanto a contattarci, sarà l’occasione per conoscerci e per mettere alla prova il nostro impegno e la nostra esperienza.

General Data Protection Regulation

G.D.P.R.

GDPR – Che cos’è?

Il General Data Protection Regulation, riguarda la tutela delle persone fisiche con riferimento al trattamento dei dati personali ed alla loro circolazione, sia nell’ambito della Comunità Europea, sia all’esterno della medesima.

Gli scopi ed i contenuti del GDPR sono stati codificati nell’ambito del Regolamento 2016/679 adottato il 4 Aprile 2016 dalla Comunità Europea. L’intento del legislatore europeo è stato quello di uniformare le differenti leggi e discipline adottate dai singoli stati dell’Unione.

GDPR – Quando entra in vigore ?

Il 25 Maggio 2018 il GDPR entrain vigore definitivamente ed inderogabilmente

Questa data vale per tutti i paesi europei, lo Stato italiano ha fatto propria la direttiva della Comunità Europea mediante la recente approvazione di due leggi:

legge 163/2017 (legge di delega al Governo, entrata in vigore il 21 novembre 2017).

legge 167/2017 (in vigore dal 12 dicembre 2017) che contiene tra le altre disposizioni, anche l’aggiornamento della disciplina relativa all’art. 29 del Decreto Legislativo 196/2003.

GDPR – Quali sono i Soggetti interessati ?

I soggetti interessati dalla legge sono la PA, le pmi e tutte le aziende all’interno dei confini dell’Unione Europea che sono dotate di un sistema di elaborazione che tratti i dati personali dei cittadini della Unione Europea. Il Garante della Privacy ha fornito precise indicazioni alle PA.

Le priorità operative sono tre:

  • 1.La designazione in tempi stretti del Responsabile della protezione dei dati;
  • 2.L’istituzione del Registro delle attività di trattamento;
  • 3.La notifica dei data breach.

GDPR – Quali dati sono oggetto specifico del Regolamento ?

Il Regolamento Europeo concentra l’attenzione sui dati personali, intesi come qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo.

Sono dati personali: il nome, il cognome, l’indirizzo, il codice fiscale, ma anche un’immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati bancari, etc. .

Inoltre ogni dato personale che, per sua natura richiede specifiche cautele è un dato sensibile; sono dati sensibili quelli che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute o l’orientamento sessuale delle persone.

La protezione di questi dati acquista un’importanza considerevole nell’ottica del nuovo Regolamento Generale sulla Protezione dei Dati.

GDPR – Sostituisce il “Documento Programmatico della Sicurezza” ?

Fino ad ora, l’utilizzo dei dati personali, nel nostro paese, era sottoposto alle regole introdotte dal Decreto Legislativo 196/2003, conosciuto con il nome di: “Documento Programmatico della Sicurezza”, che alcuni indicavano impropriamente come “Codice della Privacy”.

Il GDPR non sostituisce il DPS, bensì lo integra, lo completa, unendo il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC).

Pertanto è opportuno e necessario mantenere attivo il DPS (Documento Programmatico della Sicurezza) che per definizione è orientato alla Sicurezza Informatica, verificando periodicamente che i requisiti richiesti dal Decreto Legislativo 196/2003:

lettere di incarico ai responsabili dei trattamenti, archiviazione dei documenti contenenti dati sensibili, salvataggi costanti e protetti, rotazione delle password, policy e procedure di antiintrusione, etc.

siano rispettati, redigendo un rapporto dettagliato a disposizione degli organi di controllo.

GDPR - Quali novità introduce in termini di controllo e sorveglianza ?

Il GDPR, con particolare enfasi sulla privacy dei dati personali, pone l'accento sulla responsabilizzazione (accountability - in realtà la traduzione italiana non rende correttamente l'idea, perché accountability vuol dire "dover rendere conto del proprio operato") del Titolare del trattamento e dei Responsabili del Trattamento, tale responsabilizzazione si deve concretizzare nell'adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento.

È previsto un approccio innovativo che demanda ai titolari del trattamento il compito di decidere autonomamente le modalità e i limiti del trattamento dei dati alla luce dei criteri specifici indicati nel GDPR, con particolare riferimento a: 

  • -PRINCIPIO "privacy by design", in base al quale i prodotti ed i servizi dovranno essere progettati fin dall'inizio in modo da tutelare la privacy degli utenti; 
  • -PRINCIPIO “rischio del trattamento, inteso come valutazione dell'impatto negativo del trattamento dei dati personali sulle libertà, i diritti e la privacy degli interessati.

Inoltre dovranno essere assicurati ai soggetti interessati dal trattamento dei dati personali i seguenti diritti: 

-DIRITTO ALL’OBLIO: Gli interessati al trattamento di dati personali godono del diritto di ottenere dal titolare del trattamento la rimozione di qualsiasi dato trattenuto su di loro in determinate circostanze, ad esempio quando i dati non sono più necessari per il fine di cui sono stati raccolti.

-DIRITTO ALLA PORTABILITA’ DEI DATI: Gli interessati potranno richiedere che i loro dati personali vengano trasmessi a un altro titolare del trattamento nei casi in cui il trattamento è soggetto al consenso oppure per l’esecuzione di un contratto o ancora dove il trattamento avviene per mezzi automatizzati.

-OBBLIGO DI NOTIFICA E COMUNICAZIONE IN CASO DI DATA BREACH: Entro 72 ore dal momento in cui l’azienda/Ente ha subito un data breach che può aver scaturito una violazione dei dati personali (per esempio un furto di dispositivi contenenti dati personali, un attacco di virus, ecc..) il titolare del trattamento è obbligato a notificare l’accaduto agli organi di controllo. Nel caso in cui la violazione potrebbe rappresentare un’elevata minaccia dei diritti ed alle libertà delle persone fisiche, queste devono essere contattate senza ingiustificato ritardo. Oltre le pesanti sanzioni per la violazione del regolamento, si aggiunge che gli interessati potranno reclamare il risarcimento per i danni subiti siano essi materiali o morali.

GDPR – Che rischi corre chi non si adegua in tempo ?

Per chi non si adegua in tempo, le sanzioni non saranno trascurabili: le recenti leggi attuative prevedono multe fino al 4% del fatturato globale annuo o una sanzione di 20 milioni di euro (a seconda di quale sia la cifra maggiore tra le due), oltre ad una serie di provvedimenti penali, in parte già compresi nel Decreto Legislativo 196/2003.