02 96751119
info@firenetltd.it

Legge sulla privacy 2018: domande frequenti sul GDPR

Legge sulla privacy 2018: domande frequenti sul GDPR

Il nuovo regolamento europeo sul trattamento dei dati personali (GDPR) entra in vigore il 25 maggio 2018. In questo articolo raccogliamo una serie di domande frequenti su quali saranno i cambiamenti effettivi nel lavoro.

Che cosa è il GDPR?
Cosa è un RPD?
Chi è obbligato a nominare un RPD?
Dove deve essere localizzato il RPD?
Si può nominare un RPD esterno?
Quali sono le responsabilità del RPD?
Che tipo di controllo applica il RPD?
Che cos’è il registro delle attività?
Chi deve tenere il registro delle attività sui dati?
Cosa succede in caso di violazioni dello?
Cosa succede in caso di violazioni del RPD?
Come trovare un RPD?
Scarica il libro sulla normativa fiscale per odontoiatri
Disclaimer: le informazioni riportate in questo articolo sono riprese dai documenti ufficiali pubblicati sul sito dell’Unione Europea e del Garante della Privacy italiano. Ad ogni modo, AlfaDocs non rappresenta una fonte ufficiale sull’argomento. Pertanto, oltre a leggere e commentare i nostri post, occorre comunque consultare il Garante della Privacy, chiamando il numero (+39) 06 696772917 oppure scrivendo a urp@gpdp.it.

  1. Che cosa è il GDPR?
    Il GDPR è il nuovo Regolamento europeo sul trattamento dei dati personali, pubblicato come Regolamento EU 679/2016 ma in applicazione a partire dal 25 maggio 2018. All’interno del regolamento vengono sancite le nuove regole sul trattamento dei dati personali ad opera di enti privati o pubblici, nonché i nuovi standard di protezione degli stessi dati.
  2. Cosa è un RPD?

Il Responsabile della Protezione dei Dati Personali (RPD) è una nuova figura designata dal titolare dell’azienda (cioè il principale responsabile del trattamento dei dati), responsabile di aiutare l’azienda a mantenersi conforme alle nuove regole sulla protezione della privacy.

Il RPD funge da intermediario tra l’azienda e le autorità di controllo, in particolare le autorità giudiziarie ed il Garante della Privacy.

Le sue attività consistono nel monitoraggio sistematico dell’adeguatezza del trattamenti dei dati sensibili, nonché dei sistemi utilizzati per la protezione dei dati.

  1. Chi è obbligato a nominare un RPD?
    La nomina del RPD è obbligatoria per tutte le autorità pubbliche, nonché per le attività il cui esercizio comporta la manipolazione di dati in larga scala per speciali categorie di dati, tra i quali i dati sanitari (Art. 37, Par. 1 GDPR).

Nel testo del GDPR non viene specificata la misura o la quantità di dati definita “larga scala” e al momento le stessa Commissione Europea, nonché il Garante della Privacy, interpretano la norma in modo diverso sull’obbligatorietà di nomina del RPD per gli studi medico-odontoiatrici.

Maggiori chiarimenti saranno forniti prossimamente dal Garante della Privacy, per cui occorrerà attendere il lavoro del Legislatore per una definizione definitiva. Tuttavia, essere eventualmente esentati dalla nomina di un RPD non solleva il titolare dell’azienda da tutte le responsabilità e dalle attività sancite dal GDPR.

I requisiti di protezione dei dati sanciti dall’Art. 32, il controllo degli accessi ed il registro delle attività sancite dall’Art. 30 sono comunque previsti dal nuovo regolamento, quindi dovranno essere realizzati e verificabili dalle autorità di controllo.

Per soddisfare questi requisiti, l’azienda può comunque decidere di nominare un RPD, anche qualora non ne fosse obbligato. Nel caso di nomina di un RPD, sia essa obbligatoria o volontaria, occorre seguire le linee-guida descritte nelle domande successive.

  1. Dove deve essere localizzato il RPD?
    Il RPD deve essere sempre facilmente accessibile dall’azienda (Art. 4 GDPR), tuttavia il nuovo regolamento europeo sul trattamento dei dati personali non impone dei limiti concreti di localizzazione del responsabile nominato.
  2. Si può nominare un RPD esterno ?
    La funzione di RPD può essere svolta da un fornitore esterno di servizi e non deve necessariamente essere un dipendente effettivo dell’azienda, purché la funzione sia esercitata sulla base di un contratto stipulato tra il titolare ed una persona fisica oppure giuridica (Art. 36 GDPR), quindi una società.

Per fare un esempio: l’azienda delega la responsabilità al fornitore del proprio software gestionale (attraverso un accordo sul trattamento dei dati che fornisce il fornitore del software), che nominerà un RPD per tutti i dati contenuti nei propri server e gestiti attraverso il software.

Ma occorre fare attenzione, poiché questo sarà possibile solo nel caso in cui il gestionale sia un software in cloud , dato che la tecnologia cloud permette di controllare alla fonte tutti i dati degli studi.

Le società che utilizzano un software in cloud, infatti, interagiscono con dati contenuti in un server remoto e non sul pc locale. Per questo motivo, la società fornitrice del software ha la responsabilità di nominare un RPD ed attenersi a tutte le normative del GDPR, senza che la nomina del RPD ricada sull’azienda.

Per tutti gli altri eventuali dati che la società conserva fisicamente sui propri dispositivi (o in cartaceo), invece, il responsabile del trattamento dei dati (il titolare) deve conformarsi alle norme sancite dal GDPR sotto la propria responsabilità.

  1. Quali sono le responsabilità del RPD?
    L’attività principale del RPD è il mantenimento della conformità al nuovo regolamento europeo sul trattamento dei dati personali all’interno dell’azienda (Art. 39 GDPR).

Le misure prese dal RPD saranno conseguenti ad un’apposita valutazione di rischio elaborata dal RPD, eseguita con specifico riferimento alla tutela dei dati personali gestiti all’interno dell’azienda.

In particolare si tratta di assicurare che i dati raccolti rispettino gli standard di sicurezza imposti dalla normativa (Art. 32 GDPR).

Tra gli standard citati nella normativa ci sono:

crittografia e pseudonimizzazione dei dati personali
Pseudonimizzare significa nascondere le informazioni di un paziente in modo che non siano riconducibili alla sua persona. Criptare, invece, significa trasformare i dati con un algoritmo, rendendoli leggibili solo mediante apposita chiave di decriptaggio (che è un altro algoritmo).

la garanzia che i dati gestiti siano sempre disponibili, integri, recuperabili e segreti
Dovrà essere garantito che si possa accedere ai dati in qualsiasi momento, che essi non vengano danneggiati, che non possano perdersi, che siano consultabili solo da chi ne ha diritto di accesso.
la garanzia che i dati siano sempre accessibili anche per eventi dolosi o difetti tecnici dei sistemi utilizzati
Implicitamente, la norma raccomanda di disporre delle copie di sicurezza dei dati (backup), in quanto anche in caso di danni fisici o difetti dei dispositivi di immagazzinamento (PC, server locali, hard disk), i dati dovranno comunque essere recuperabili.
una procedura regolare di valutazione dell’effettiva capacità di mantenimento dei dati dal punto di vista tecnico dei sistemi utilizzati
In altre parole, il RPD dovrà effettuare test regolari per verificare l’effettivo funzionamento dei dispositivi e dei sistemi utilizzati per il trattamento dei dati, quindi suggerire eventuali aggiornamenti, sostituzioni di strumenti, componenti o processi.

  1. Che tipo di controllo applica il RPD?
    Il RPD è responsabile di controllare la conformità dell’azienda rispetto al nuovo regolamento europeo sul trattamento dei dati personali (Art. 39, Par. 1 GDPR). Il monitoraggio sui dati raccolti dall’azienda dovrà avvenire in modo sistematico, lo stesso varrà per la conformità delle attività svolte su di essi (Art. 35 GDPR).

Il testo non specifica nel dettaglio cosa si intende per sistematico. Tuttavia, secondo l’interpretazione del Gruppo di Lavoro UE, si tratta di un controllo effettuato ad intervalli regolari che avviene in un arco di tempo predefinito, quindi in modo continuo e sistematico su specifiche attività o vulnerabilità.

Il controllo costante dei rischi sulla sicurezza dei dati dei pazienti e soprattutto le raccomandazioni che il RPD fornirà all’azienda per migliorare i punti deboli dovranno garantire il livello di sicurezza dei dati gestiti, quindi la sua conformità alla nuova normativa sulla protezione dei dati.

  1. Che cos’è il registro delle attività?
    Il nuovo regolamento europeo sul trattamento dei dati personali impone che chi applica un qualsiasi trattamento sui dati tenga un registro delle attività svolte (Art. 30 GDPR).

In poche parole, si tratta di un registro dove vengono rendicontati i processi e le attività svolte per i clienti, quindi chi ha interagito con quel documento (ad esempio una fattura), cosa ha effettivamente fatto, in che data e con quale finalità.

  1. Chi deve tenere il registro delle attività sui dati?
    Il GDPR all’Art. 30 prevede che sia il titolare del trattamento dei dati stesso a tenere traccia delle attività svolte sui dati e ad elaborare un report. Tuttavia, le linee guida elaborate dal Gruppo di Lavoro della Commissione Europea sostengono che è prassi comune affidare questo compito al RPD, qualora se ne sia nominato uno.
  2. Cosa succede in caso di violazioni?

Il RPD non risponde personalmente delle violazioni commesse, poiché spetta a chi applica il trattamento dei dati personali rispettare la normativa (Art.24 GDPR), quindi a chi effettivamente ha accesso ai dati dei pazienti, modifica o inserisce dati fiscali e di salute su un documento digitale o cartaceo.

Facendo un esempio pratico: se l’azienda condivide informazioni riservate (di salute, dati fiscali o informazioni di contatto) con un soggetto non autorizzato sarà l’azienda a risponderne di fronte alle autorità giudiziarie, in quanto autore della violazione.

  1. Cosa succede in caso di violazioni del RPD?
    In caso di violazione sul trattamento dei dati personali da parte dell’azienda, il RPD non è penalizzato dal comportamento illecito del tutelato, in quanto figura autonoma di garanzia (Art. 38, Par. 3 GDPR).

Tuttavia, il RPD risponde della mancata realizzazione dei suoi compiti, quindi di consulenze errate o non efficaci rispetto al contratto stipulato e soprattutto risponde delle proprie violazioni riguardo alla normativa europea sul trattamento dei dati personali.

Facendo un esempio concreto: nel caso in cui sia lo stesso RPD a condividere un piano di cura o una fattura con soggetti terzi non autorizzati, oppure a commettere un qualsiasi altro reato, sarà egli stesso a risponderne di fronte alle autorità.

  1. Come trovare un RPD?
    Il nuovo regolamento non specifica quali saranno i requisiti formali, quindi la qualifica professionale o accademica. Tuttavia, il Garante della Privacy raccomanda attenzione nella selezione del responsabile.

Il RPD incaricato, infatti, dovrà avere qualità professionali adeguate al compito da svolgere, in particolare con esperienza in materia di privacy, protezione e trattamento di dati sensibili (Art. 37).

Inoltre, un RPD dovrà avere sufficiente esperienza tecnica sui dispositivi digitali e sui sistemi di protezione dei dati informatici, tale da poterne garantire la corretta manutenzione.

Per il momento, le istituzioni e le autorità non hanno fornito indicazioni specifiche al riguardo. Non appena saranno disponibili indicazioni specifiche, provvederemo ad aggiornare il nostro articolo con riferimenti più precisi.

Ad ogni modo, i modelli per la nomina dell’RPD sono già disponibili sul sito del Garante della Privacy italiano, in particolare sarà necessario compilare l’atto di designazione ed il modello di comunicazione della nomina da inviare al Garante stesso.