1. SANZIONI DA PARTE DEL GARANTE PER PRIVACY, COSA È ACCADUTO?
Il Garante per la privacy ha ordinato al MISE il pagamento di una sanzione di 75 mila euro per non avere nominato il Responsabile della Protezione dati (RPD) entro il 28 maggio 2018, data di piena applicazione del GDPR, e per avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
Aver sanzionato per la prima volta una Pubblica amministrazione è stato un segnale importante da parte del Garante per la privacy, che ha voluto punire la PA per non avere designato il Responsabile della protezione dati entro il termine stabilito e per avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo.
Tutto questo nonostante ci fosse stata, da parte del Garante fin dal maggio 2017 un’articolata attività informativa rivolta a tutti i Ministeri, la quale indicava come priorità da tenere in considerazione proprio la nomina del Responsabile della protezione dati.
La mancata nomina è emersa a seguito di una lunga fase istruttoria aperta dall’Ufficio, anche a seguito dialcune segnalazioni, con cui è stata accertata la presenza, sul sito del Ministero, di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria.
All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.
2. SANZIONI DA PARTE DEL GARANTE PER LA PRIVACY: COME PUOI EVITARE LE SANZIONI E TUTELARE LA TUA AZIENDA?
Nel caso in cui da parte della tua azienda vi sia la pubblicazione di diversi curricula, nonché il trattamento o la diffusione di dati personali senza alcun filtro, è da tenere in considerazione che siamo di fronte a un trattamento di dati sproporzionato, non in linea con i principi del GDPR e potrai essere soggetto a pesanti sanzioni da parte del Garante.
Per consentire l’incontro tra la tutela dei diritti degli interessati e la e la necessità di cogliere i frutti di una data strategy, è indispensabile, nonché consigliato, utilizzare strumenti poco invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni presenti sui curricula, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.).
3. SANZIONI DA PARTE DEL GARANTE PER LA PRIVACY: QUALI SONO GLI STRUMENTI CHE L’ESPERTO CONSIGLIA?
Ponendo l’attenzione su come evitare delle sanzioni del Garante per la Privacy, si potrebbero prevedere, ad esempio, forme di accesso selettivo ad aree riservate del proprio sito web mediante l’attribuzione di credenziali di autenticazione (es. username o password).
Sarebbe comunque necessario valutare, insieme a dei professionisti in ambito GDPR, come implementare le misure di sicurezza tecniche e organizzative idonee a salvaguardare quelle determinate categorie di dati personali.
Qualora il il titolare e il Responsabile del trattamento vedano le loro attività rientrare nei casi previsti dall’articolo 37 del GDPR, paragrafo 1, lettere b) e c), del regolamento (Ue) 2016/679 (si tratta di soggetti le cui principali attività in primis, le attività cosiddette di core business consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati) sarà obbligatorio nominare un Responsabile della Protezione Dati (RDP o DPO) che possa interfacciarsi con l’autorità e garantire, insieme alle figure privacy sopra menzionate, una perfetta compliance con il GDPR ed evitare quindi le importanti sanzioni del garante.
4. SANZIONI DA PARTE DEL GARANTE PER LA PRIVACY: QUALI CARATTERISTICHE DEVE AVERE IL TUO RESPONSABILE DELLA PROTEZIONE DATI (RDP) IN AZIENDA?
La designazione del Responsabile della protezione dei Dati Personali, o Data Protecion Officer (DPO), e la sua attività, permetteranno di evitare pesanti sanzioni da parte del Garante.
Ma è necessario soffermarci su questa figura ancora poco conosciuta: non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, il Responsabile della protezione dei dati personali deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Nonostante l’assenza di specifici requisiti e attestazioni del RDP, il Garante per la privacy, per evitare sanzioni, raccomanda ad aziende ed amministrazioni di verificare la presenza di competenze ed esperienze specifiche.
Il Responsabile della Protezione dei Dati deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.
L’RDP deve inoltre agire in piena indipendenza (considerando l’articolo 97 del regolamento Ue 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
Se ha necessità del parere di un esperto riguardo l’attività di trattamento data e GDPR compliance per la tua azienda, ricorda che AB Innovation Consulting è il tuo partner ideale.
Siamo sempre pronti a rispondere alle tue domande ed a supportare la crescita della tua azienda, contattaci subito: info@abinnovationconsulting.com
