Enti pubblici e settore privato in affanno con la privacy

Norme privacy oscure mettono all’angolo gli enti pubblici e anche il settore privato. I dati rilevano che dal 2020 al primo quadrimestre 2021 oltre il 71% delle sanzioni per violazioni della privacy è stata irrogata a Pubbliche amministrazioni e il 28,8% ad aziende. In quel periodo sono state emanate un totale di 80 ordinanze-ingiunzioni, di cui 57 a pubbliche amministrazioni e 23 a privati. Se le sanzioni alle aziende private arrivano, come abbiamo visto, a importi milionari, quelle rivolte alle pubbliche amministrazioni preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali. Riscontriamo quindi Enti Pubblici e il settore privato in affanno con la gestione privacy. I numeri riportati sono stati elaborati contando i provvedimenti pubblicati sul sito del Garante della privacy. Si evince inoltre che il numero delle sanzioni inflitte alle amministrazioni civiche tocca addirittura il 31%.

Gli enti pubblici sanzionate sono:

  • l’arma dei carabinieri
  • una capitaneria di porto 
  • il ministero dell’interno
  • scuole e università 
  • ospedali e aziende sanitarie 
  • comuni

Siamo definitivamente entrati dal 25 maggio 2018 nell’era della privacy europea pianificata sulla base del Regolamento Ue 2016/679 (GDPR). Pare però che il regolamento Ue non abbia ancora realizzato l’unificazione normativa del vecchio continente in materia di protezione dei dati. Anzi, ci troviamo in uno stato confusionale dove confluisce l‘unico corpo normativo europeo, generico, con in contesti nazionali molto differenti.

I dati rilevati evidenziano quanto sia difficile essere in regola con la privacy, in mancanza di chiarezza ed uniformità. A pagare lo scotto di questa situazione sono cittadini, imprese e pubbliche amministrazioni. Sembra sia tanto difficile al punto che anche le amministrazioni statali centrali sono state punite con sanzioni pecuniarie.

Questi effettivi tre anni del GDPR, hanno fatto emergere che i titolari di trattamento siano in affanno per riuscire a stare al passo con norme forse troppo avanzate. Non è facile per enti pubblici e il settore delle aziende private sapere come gestire la privacy.

Questa constatazione vale prioritariamente per le pubbliche amministrazioni e anche per le imprese, nel cui ambito tra i sanzionati non ci sono solo gli operatori di telecomunicazioni e di marketing, ma anche operatori della ristorazione, dei trasporti e della distribuzione.

Considerando quindi tutto ciò, il Garante ha pubblicato il provvedimento n.186 del 29 aprile 2021 con lo scopo di fornire chiarimenti necessari riguardo designazione, posizione e compiti del DPO nelle pubbliche amministrazioni. (vedasi il nostro precedente blog)

Cosa può fare la pubblica amministrazione per scongiurare ispezioni e sanzioni?

Regolamento degli uffici 

In tutti gli atti e provvedimenti amministrativi di regolamentazione e pianificazione degli uffici è da tener presente la funzione del DPO. Trattandosi di un incarico che deve operare senza conflitti di interessi, è questa la sede per esplicitare le ragioni della scelta. Inoltre vanno individuate i criteri di scelta, le garanzie di autonomia e indipendenza, le ripercussioni a proposito di rapporti di gerarchia, la posizione nell’organigramma, la durate dell’incarico e le eventuali modalità di successione.

Scelte organizzative 

La grande sfida è evitare conflitti di interesse sia quando si sceglie un DPO interno sia quando si incarica un esterno. Il Garante non esclude a priori la possibilità di scegliere un DPO interno, ma se l’ente pubblico opta per quella possibilità, deve necessariamente premurarsi delle giustificazioni poste alla base di tale scelta. In più deve aver disciplinato come gestisce il possibile conflitto di interessi. Un esempio calzante per l’ipotesi di conflitto d’interessi è la nomina da DPO di un fornitore che già fornisce altri servizi. Una scelta simile è ovviamente sconsigliata. Tuttavia, se si opta per una nomina del fornitore esistente bisogna motivare la scelta e queste motivazioni devono fare appello non soltanto alla professionalità dell’operatore, ma anche alle cautele a presidio della autonomia e indipendenza della funzione di DPO. Significa che il contratto con il fornitore deve contenere una serie di clausole cautelative quali: 

  • la assicurazione che nell’organizzazione della società esterna le attività di DPO vengano svolte da un soggetto che non svolge mansioni di fornitura di altri servizi;
  • le tutele del referente da possibili atti ritorsivi o negativi da parte del suo datore di lavoro;
  • continuità dell’attività del referente DPO a prescindere dalle vicende della fornitura di altri servizi.

Inoltre, deve essere gestito l’obbligo da parte del DPO di comunicare all’ente ogni evenienza che metta in dubbio la sua autonomia, l’obbligo di astenersi da atti e condotte in conflitto di interessi, le modalità per il subentro di altri quando non sarà possibile risolvere il conflitto. 

Le gare degli enti pubblici

L’Ente pubblica applica, nella scelta del DPO esterno, le regole stabilite dal codice dei contratti pubblici. Quindi deve indicare i requisiti di partecipazione e i criteri di selezione. Il provvedimento del Garante invita alla cautela. Poiché sono illegittime le cause di esclusione dalla partecipazione in relazione al mancato possesso di un titolo abilitante. La ragione sta nel fatto che non c’è un titolo abilitante specifico per il ruolo da DPO. Non sarà quindi possibile riservare la partecipazione ad una determinata categoria professionale o ai possessori di certificazioni volontarie.

Ma se questo sembra facile, basta non inserire clausole restrittive, la difficoltà sta nel trovare i criteri per valutare le candidature presentate e come pesare i diversi parametri. I parametri possono derivare da titoli di studio, certificazioni, esperienza nel campo o anni di lavoro in posizioni analoghe. Un ulteriore elemento da valutare è la durata del servizio e il compenso. Il Garante, a tale proposito, ha fornito l’indicazione del periodo di tre anni oltre a non aggiudicare la gara a ribasso del prezzo.  

Conclusione

Anche se a distanza di cinque anni dall’entrata in vigore del Gdpr e di tre anni dalla piena operatività dello stesso mancano importanti pezzi di normativa, il Garante ha fornito chiare indicazioni al fine di adempire al GDPR. Sta ora alle pubbliche amministrazioni di adoperarsi con controlli e verifiche al fine di evitare controlli e sanzioni. Ormai abbiamo compreso che la corretta gestione dei dati personali, sia nella pubblica amministrazione sia nel settore privato, è un compito importante e da affidare a chi di competenza. L’improvvisazione e le scelta basate su favoritismi o a ribasso del costo, si sono rivelato in tanti casi, molto più costosi. Sia le enti pubblici sia il settore privato devono velocemente affrontare la gestione dei dati per non rimanere in affanno con la privacy.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

Le linee di indirizzo sul DPO nella pubblica amministrazione

Il Garante per la Privacy ha pubblicato un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati in ambito pubblico.

Dopo tre anni dalla piena applicazione del Regolamento UE, il Garante ha rilevato l’esigenza di fornire chiarimenti perché risultano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura. Sembra che il ruolo del DPO nelle pubbliche amministrazioni non sia affidato correttamente o di fatto.

Nel documento si chiarisce quindi diverse domande ancora aperte. Qual è il ruolo effettivo del Responsabile per la protezione dei dati nella PA? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con gli altri incarichi o può incorre in situazioni di conflitto di interessi? Come deve supportare e coinvolgere, e per quali compiti?

La nomina del DPO è obbligatoria nell’ambito pubblico 

Tale figura, che tutte le PA sono obbligate a nominare (art. 37 Gdpr), costituisce un riferimento fondamentale per garantire un corretto approccio al trattamento dei dati personali. Innanzitutto, se si tiene presente la crescente necessita di trasformare anche le pubbliche amministrazioni verso i processi informatici e digitali.  

Un DPO esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, una risorsa essenziale per le PA e un valido punto di contatto per l’autorità di controllo.

Stop alla incetta di nomine di DPO 

Il Garante mette quindi un freno alla nomina di Responsabile per la protezione dei dati a fornitori esterni di Servizi technology e di avvocati che difendono l’ente.

Risulta illegittimo riservare le gare per scegliere tale figura a chi ha un particolare titolo (laurea, certificazione, iscrizione a un albo). La designazione del DPO per le pubbliche amministrazioni è un compito complesso e di grande responsabilità. 

Di seguito le indicazioni più rilevanti fornite dal Garante della privacy con il «Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati in ambito pubblico» che si trova in allegato al provvedimento del Garante n. 186 del 29/4/2021. È doveroso sottolineare che è comunque l’ente a sceglie il referente DPO a sua discrezione e responsabilità.

Chi può essere designato come DPO

  • Cumuli di incarichi – Sono da evitare i troppi incarichi allo stesso Responsabile per la protezione dei dati esterno. L’ente dovrà verificare il numero di incarichi già ricoperti dalla società o dal professionista prescelto oltre alla specializzazione. In caso l‘ente scelga una società, dovrà valutare la presenza di adeguate risorse a supporto del DPO nominato.
  • Il difensore legale – Il Garante invita le Pubbliche amministrazioni di non nominare un DPO che, contemporaneamente, svolge per le medesime il ruolo di difensore in giudizio.
  • Il fornitore IT – Particolare attenzione viene posta al settore IT, poiché la regola prevede di non designare come DPO un soggetto esterno che già fornisce servizi all’ente. Nel caso non si possa fare diversamente, l’ente deve dichiarare per iscritto la motivazione di tale scelta e che non svolgono i compiti connessi alla fornitura (rigida separazione tra attività di DPO e gli altri servizi). 

La posizione del DPO

  • I conflitti di interesse – Un punto fondamentale nella protezione dei dati, derivante dal GDPR (art.38, comma 3), che richiede una attenta valutazione caso per caso. Si distingue quindi gli enti di carattere nazionale e/o territoriali di grandi dimensioni, nei quali sono incompatibili il direttore risorse umane, contabilità o il responsabile IT al ruolo di DPO interno. Negli enti più piccoli, si deve fare un’attenta riflessione caso per caso, esplicitando le ragioni della nomina di dipendenti. Se si tratta invece di componenti di organi collegiali, ci sono maggiori spazi, sempreché sia prevista l’astensione in caso di conflitto di interesse o cautele simili.
  • La gerarchia – L‘autonomia di giudizio e indipendenza deve essere garantita e quindi va preferito, per la nomina del DPO interno, un dirigente o a un funzionario di alta professionalità. Nel caso l’ente scelgaun funzionario, occorre l’adozione di idonee garanzie di indipendenza, considerato che il DPO potrebbe valutare la condotta di un dirigente.
  • I titoli – Non è consentito scegliere il DPO in base a determinati titoli, quali laurea, iscrizione ad un albo professionale, certificazione o altro. Persino la certificazione volontaria (UNI 11697) è soltanto un elemento utile, ma non un’autorizzazione a priori.
  • Il referente – Se l’ente affida il servizio di DPO a una società, va indicata una persona specifica come referente. Il referente indicato da DPO, persona giuridica, non deve necessariamente essere undipendente della società incaricata. È opportuna una clausola contrattuale che obblighi la persona giuridica affidataria a comunicare all’ente qualsiasi variazione della persona fisica.

Ricompenso e durate dell’incarico

  • La durata dell’incarico – Si ritiene come congruo periodo di incarico da DPO, la durata contrattuale intorno ai tre anni. Trattandosi di una linea guida, sta all’ente pubblico determinare la durata. In ogni caso deve essere rispettato il principio di rotazione, nell’affidamento dei contratti pubblici di importo inferiore alle soglie comunitarie.
  • Il compenso – Nessuna indicazione da parte del Garante sui compensi, ma l’invito a non aggiudicare il bando in base al criterio del prezzo più basso.
  • La pubblicazione – I dati di contatto del DPO devono essere pubblicati sul sito web delle pubbliche amministrazioni. Tali dati devono essere facilmente riconoscibile, in una sezione dedicata, nella sezione dell’organigramma e ai relativi contatti. Non c’è alcun obbligo di pubblicare il nome del DPO. Consigliamo di attivare una casella postale dedicata al DPO.
  • La comunicazione al Garante – I dati di contatto del DPO nominato devono essere comunicati al Garante tramite l’apposita sezione sul sito web. Nella stessa sezione vanno comunicati anche le eventuali successive variazioni come per esempio nel caso di cambio nomina. È prevista una sanzione amministrativa per il mancato aggiornamento dei dati di contatto del DPO, sia sul sito web dell’ente sia nella relativa comunicazione al Garante.

Conclusione

In base alle linee guida del Garante, sarà quindi necessario per tante amministrazioni pubbliche di effettuare una revisione degli incarichi affidati. E, per chi non ha ancora conferito l’incarico, di attivarsi al più presto. Poiché il DPO assolve funzioni di supporto, di controllo, consultive e formative e che deve essere coinvolto tempestivamente e adeguatamente in tutte le attività che riguardano la protezione dei dati personali.

Oltre a dedicarsi alle evidenti necessita di fornire chiarezza per ambito pubblico, il Garante è intervenuto anche sulle FAQ riguardanti il settore privato. Poiché la figura del DPO svolge un ruolo fondamentale, pur con sensibili differenze rispetto alle PA.

Per approfondimenti specifici o semplice richieste d’informazioni in generale prenoti il suo appuntamento personale con un nostro consulente.

La prima consulenza è sempre gratuita.

Fonte: Federprivacy.it

protezione efficace dei dati

“I tuoi dati sono un tesoro”: il video del Garante che emoziona e fa riflettere

La campagna di sensibilizzazione e formazione del Garante per la privacy è un video emozionante, chiaro e comprensibile che mette in risalto la vulnerabilità di ogni singolo.

Il video del Garante per la privacy “I tuoi dati sono un tesoro”: https://youtu.be/DxQEk_G5gfU

La protezione dei dati personali non è soltanto un compito per le aziende e autorità, ma riguarda tutti. In questi ultimi tempi si è visto chiaramente come il mondo reale si sti spostando verso il mondo digitale. Gli incontri limitati, le informazioni passate tramite computer o cellulare e il tempo passato in casa a curiosare su Internet, hanno portato ad un aumento mostruoso di informazioni e dati in rete.

Di conseguenza è aumentata anche la fuga dei dati, l’intrusione illecita nei sistemi e l’accessibilità ai dati personali.

In parte dovuto all’ignoranza in materia delle persone, ossia la cieca fiducia nei programmi e sistemi informatici da Facebook a TikTok, da Google a Zoom. Dall’altra parte dovuta allo sviluppo frettoloso e superficiale di alcuni sistemi messi sul mercato, come TuPassi o Immuni, in preda della situazione attuale.

Il Garante della privacy italiana, come tutti i garanti in Europa, svolge un enorme lavoro al fianco delle persone per difendere la loro riservatezza e la loro libertà. Un lavoro che tuttavia deve essere supportato da ogni singolo individuo quotidianamente perché i dati personali hanno un enorme valore.

Vediamo nel dettaglio il messaggio del video che vuole rendere consapevole le persone con lo scopo di proteggere il tesoro dei dati INSIEME.

  • Con te fin dall’inizio
  • Dati personali: nome, data di nascita, gruppo sanguigno, codice fiscale
  • Distanza di cortesia: la semplice linea di distanza che dà valore alla tua privacy
  • Social Network e Web: intervengono affinché possano essere sicuri per tutti (phishing)
  • I minori: scoprire il mondo in sicurezza proteggendosi da cyberbullismo e altri rischi
  • Condivisioni online: informazione e controllo affinché avvenga in modo sicuro, proteggendo la identità digitale 
  • Protezione del Diritto alla libertà: videosorveglianza intelligente, raccolta dati biometrici, tracciabilità e profilazione
  • Pareri alle istituzioni al fine di ottenere norme che rispettano la privacy di ognuno
  • Progettato nel futuro: Auto connesse, Smart City, riconoscimento facciale, intelligenza artificiale

I TUOI DATI SONO UN TESORO DA PROTEGGERE INSIEME 

Se ora ritieni opportuno verificare la tua attività riguardo la corretta gestione dei dati personali, oppure se desideri una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio, contattaci subito.

Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”.

Saremo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!