seminario online gratuito

Formare i dipendenti sul GDPR: come farlo e perché è importante per le aziende

La formazione sulla protezione dei dati è uno strumento importante per lavorare in conformità con il GDPR. Sensibilizzare i propri dipendenti significa mettere le basi per impiantare la protezione dei dati in azienda. I vostri dipendenti non dovrebbero essere espressamente formati per diventare specialisti nella protezione dei dati. Non vi è alcun obbligo esplicito di formare i dipendenti dalla legge.

Entriamo quindi subito nel dettaglio, approfondendo le aree più importanti.

La base giuridica per la formazione obbligatoria secondo GDPR

Prima di tutto, va detto che non vi è alcun obbligo di fornire formazione sulla protezione dei dati. Tuttavia, risulta dalle singole attività che possono essere svolte dai dipendenti, che devono essere qualificati per tali incarichi.

Quindi dovrebbero essere in grado di affrontare obblighi come per esempio:

  • Obbligo di segnalare le violazioni dei dati (di solito sono i dipendenti a scoprirle per primi)
  • Obbligo di fornire informazioni alle persone interessate (i clienti contatteranno direttamente i propri dipendenti con richieste)
  • Obblighi di cancellazione (i dati non possono essere conservati a tempo indeterminato)
  • Rapporti con le autorità di vigilanza
  • Attenta gestione dei dati personali (questa è responsabilità del responsabile del trattamento, ma i dipendenti di esso lo eseguono)

Inoltre, il responsabile della protezione dei dati, nella misura in cui è stato nominato, è responsabile dell’informazione e della consulenza dei dipendenti dell’azienda sulla protezione dei dati. Questo spesso si traduce nel DPO che assume la direzione della formazione.

Inoltre, l’imprenditore (o il responsabile) ha una responsabilità per il rispetto del GDPR e questo include anche misure organizzative per conformarsi alle normative.

Oltre a questi obblighi derivati, ci sono anche altri motivi che parlano a favore della consapevolezza, ossia la formazione, del GDPR. La sicurezza del tuo IT è rafforzata se tutti i dipendenti sanno come gestire i dati. Inoltre, un comportamento responsabile da parte dei dipendenti può avere un effetto positivo sulla fiducia dei tuoi clienti.

Come istruirsi in base al GDPR (in loco, online, e-mail o altro)

Non ci sono inoltre specifiche per il tipo di formazione dei dipendenti dal GDPR. Tuttavia, è consigliato eseguire questa operazione in modo verificabile. Questo può essere fatto, ad esempio, con un protocollo di allenamento. Sono disponibili online anche soluzioni di e-learning.

Un’altra opzione è inviare i materiali di formazione tramite e-mail e richiedere la conferma tramite essa. Ogni persona responsabile deve decidere autonomamente se questa è una misura efficace per la formazione.

L’opzione migliore è prenotare seminari dal vivo. Questi possono avvenire internamente o puoi inviare i tuoi dipendenti al luogo di formazione. In ogni caso va valutato anche la proporzionalità del costo. E spesso conviene optare per la formazione online.

Si consiglia cautela durante il controllo dell’apprendimento. Ciò può portare al rifiuto, soprattutto da parte dei comitati aziendali, in quanto rappresentano il monitoraggio dei dipendenti.

Da non dimenticare è l’impegno per la protezione dei dati e la riservatezza, che dovresti far firmare a ogni dipendente.

In un corso di formazione GDPR dovrebbe essere compreso il seguente contenuto:

In generale, il seguente contenuto dovrebbe essere integrato:

  • Creare consapevolezza sui problemi di protezione dei dati
  • Capacità di comportarsi nel rispetto delle normative sulla protezione dei dati
  • Promozione di comportamenti conformi alla protezione dei dati.

In particolare, possono essere affrontate le seguenti domande:

  • Cos’è il regolamento generale sulla protezione dei dati dell’UE?
  • Cos’è la protezione dei dati?
  • Cosa sono i dati personali?
  • Categorie speciali di dati personali
  • Chi sono gli attori della protezione dei dati?
  • Quali sono i principi del trattamento dei dati personali?
  • legalità del trattamento
  • trasparenza
  • Minimizzazione dei dati
  • termini di archiviazione
  • Integrità, riservatezza e sicurezza
  • Qual è la differenza tra la protezione dei dati by Design & by Default
  • Protezione dei dati fin dalla progettazione
  • Protezione dei dati tramite impostazioni predefinite ottimizzate per la protezione dei dati (Protezione dei dati per impostazione predefinita)
  • I diritti dell’interessato e gli obblighi del responsabile
  • Trasferimento dei dati in paesi extra UE
  • Argomenti speciali
  • Il responsabile della protezione dei dati (DPO)
  • Documentazione e GDPR
  • Quando qualcosa va storto (violazioni dei dati)
  • Uso conforme alla protezione dei dati dei dispositivi mobili
  • Multe e sanzioni
  • Sicurezza informatica
  • Protezione tramite password
  • Sicurezza dei sistemi

Se progetti questo contenuto in modo accattivante e, ad esempio, lo presenti come parte di una presentazione PowerPoint (ppt) e poi prepari un protocollo di formazione, hai fornito una buona sessione di formazione sul GDPR.

Non sono da dimenticare anche eventuali corsi di formazione speciali, ad esempio per comitati aziendali o dipendenti che trattano dati dei clienti particolarmente sensibili.

Gruppo di dipendenti e frequenza dei corsi di formazione in materia di GDPR

In linea di principio, tutti i dipendenti che entrano in contatto con i dati personali hanno diritto alla formazione. Quindi soprattutto i dipendenti che elaborano i dati di clienti, pazienti o altri dipendenti. In realtà è consigliabile insegnare a tutti i dipendenti le basi della protezione dei dati al fine di garantire un pari livello in tutta l’azienda.

Un corso di formazione annuale viene offerto come un ciclo, in modo che il tema della protezione dei dati rimanga attuale e nella mente dei dipendenti. Sarebbe anche consigliato una formazione nel momento in cui sorgono nuovi problemi di protezione dei dati, ad esempio l’introduzione di un nuovo strumento o sentenze speciali di tribunali in materia.

Le 4 più frequente domande sulla formazione dei dipendenti GDPR

Quando devo seguire un corso di formazione sulla protezione dei dati?

In linea di principio, la formazione dovrebbe essere svolta prima che i rispettivi dipendenti inizino a trattare i dati personali. Questo può essere fatto, ad esempio, come parte di un onboarding.

Altrimenti, ovviamente, la formazione dovrebbe avvenire il prima possibile.

Con quale frequenza devo formare i miei dipendenti in materia di protezione dei dati?

Si consiglia un ciclo annuale. Tuttavia, non ci sono requisiti legali o linee guida per questo.

Inoltre, la formazione dovrebbe essere effettuata se ci sono modifiche legislative o nel caso dell’introduzione di nuovo software.

Sono persino obbligato a formare i miei dipendenti in materia di GDPR?

No, in linea di principio non esiste un obbligo legale specifico. Tuttavia, le autorità controllano nei loro questionari se la formazione è in corso.

Nel complesso, tuttavia, il dovere alla formazione può essere ritenuto derivante dalla responsabilità in capo al titolare del trattamento. Come puoi dimostrare di prendere sul serio la protezione dei dati in azienda se non garantisci una adeguata formazione al personale?

Esiste un formato prescritto per come dovrebbe svolgersi la formazione GDPR?

No, anche per il contenuto del corso non esistono linee guida. Fondamentale rimane sempre che si possa documentare l’implementazione, ad esempio tramite un protocollo di formazione o un software.

In conclusione: la formazione sul GDPR è uno strumento importante

Fa aderire i propri dipendenti ai corsi di formazione al GDPR, e quindi come gestire i dati personali non deve degenerare in giorni di formazione interminabili; ci sono alternative alla formazione faccia a faccia che possono anche essere efficaci. Nel complesso, la formazione annuale sulla protezione dei dati è appropriata, quindi l’argomento rimane nella mente delle persone.

Noi ti aiutiamo con competenza ed esperienza a formare ed aggiornare il tuo personale.

5 consigli per la sicurezza informatica della tua azienda

In questo articolo diamo innumerevoli consigli per salvaguardare la sicurezza informatica della propria azienda. Progettando o verificando una rete aziendale si è sempre orientato alla sicurezza, efficienza e ridondanza. Alcuni elementi nel progetto di una rete rimangono per molto tempo invariati, altri elementi invece necessitano di una costante manutenzione e aggiornamento per garantire i massimi livelli di sicurezza.

Da qui si evince quindi che un tassello fondamentale nella sicurezza IT è la manutenzione preventiva. 

Quali sono i principali pericoli e come predisporre un adeguato livello di protezione dei dati?

Come implementare un piano di adeguamento alle leggi di Data Protection e quali misure adottare per la sicurezza di reti fisse e mobili?

1) Quali sono i comportamenti suggeriti da adottare per salvaguardare la sicurezza della rete? 

  • La scelta di un buon antivirus e anti-malware. A prescindere dalla quantità di computer che utilizza un’azienda in connessione ad Internet, essa ha bisogno di una protezione contro virus e malware installato su ogni apparecchio. Già un semplice programma antivirus, spesso anche gratuito, è in grado di bloccare la maggior parte delle minacce. Tuttavia, bisogna tenere presente di effettuare un monitoraggio costante per rendere il software efficace.
  • I costanti aggiornamenti: Gli aggiornamenti del sistema operativo e del firmware sono importante sia per la ottimizzazione delle prestazioni sia per “chiudere” eventuali buchi per potrebbero permettere un’intrusione nel PC. Si consiglia di far effettuare gli aggiornamenti da persone dedicate alla manutenzione della rete per garantire che il lavoro venga fatto in modo conforme e senza eventuali conseguenze negative..
  • Scansione e filtri per E-mail e Web: L’importanza d’utilizzo di software per la ricerca di malware sui PC è ormai noto. Ma esistono sistemi che possono bloccare software maligni già prima che si insidino nel computer. Fondamentale quindi per garantire la sicurezza della rete è la scansione delle E-mail e i filtri dei siti web. In questo modo di monitora in tempo reale gli allegati delle mail, i messaggi e i siti che potrebbero contenere virus. Gli amministratori possono, nello stesso tempo, mettere dei filtri web che bloccano solo determinati siti.

2) Controlli eseguiti dall’interno e/o dall’esterno

  • La stesura di procedure e policy: La scrittura di linee guida o procedure che regolamentano l’utilizzo della rete dovrebbe entrare nelle best practice di sicurezza IT di ogni azienda. La policy fornisce tra l’altro le informazioni sulle azioni permesse, compresi i siti utilizzabili e non. Le procedure invece disegnano i compiti e comportamenti nel caso di incidente (intrusione, virus, Data Breach etc.) e regola l’accesso alla rete da parte di utilizzatori esterni. Questi documenti servono a indurre ogni dipendente ad un comportamento corretto e per evitare gesti rischiosi per la rete aziendale. Aumentano notevolmente la sicurezza informatica della rete aziendale.
  • Eseguire l’audit: per garantire il massimo livello di sicurezza e fondamentale la progettazione di un ambito sicuro sin dal principio. Tuttavia, non tutte le condizioni iniziali rimangono per sempre invariati. Quindi occorre implementare almeno un audit annuale che garantisce il controllo dello stato attuale, mette in evidenza eventuale problematiche e indica miglioramenti. Tale processo aumenta la consapevolezza di tutto il personale coinvolto oltre a garantire a tutto l’ambiente una maggiore sicurezza.
  • I Backup regolari e frequenti: Altrettanto importante sono i Back up regolari che comprendono tutte le informazioni inclusi le configurazioni dei device e le versioni del firmware. In questo modo garantiamo il recupero dei dati in caso di perdita. Ma va ricordato che il Backup deve essere sempre protetto e criptato su un sistema sicuro e con accesso limitato, al fine di garantire che i dati sensibili non siamo a disposizione di tutti.  

3) Controlli tra sistemi e documenti

  • L’utilizzo di Firewall: Una parte importante nella progettazione di una rete aziendale sono i Firewall. Ed ecco un tassello della rete cha ha bisogno di una regolare manutenzione per garantire un funzionamento ottimale. Durante il processo di manutenzione si ha l’occasione inoltre di rimuovere vecchie regole, vecchi utenti e configurazioni. 
  • La scansione della sicurezza di rete: La scansione della rete è esattamente ciò che fa un Hacker prima di attaccarla. E cosa fa la scansione? Invia una richiesta ai server attraverso ogni possibile percorso e quando un server risponde, è possibile sapere quale servizio, in quanto tempo ha risposto. Si ottiene inoltre, analizzando un po’ più in profondità le informazioni se si tratta di un server web e di che tipo e versione di server si tratta. Quindi sarà poi possibile valutare le vulnerabilità e porre rimedi a possibili attacchi, garantendo la sicurezza informatica della rete aziendale.
  • Il controllo delle procedure: La revisione periodica delle linee guida assicura la coerenza e l’allineamento tra la documentazione e la realtà. Poiché le tecnologie in un’azienda possono essere in continuo cambiamento, anche le policy sono soggette a cambiamenti frequenti.  
  • I sistemi di crittografia: la tutela della privacy dei dati sensibili o riservati si basa generalmente sui sistemi di crittografia end-to-end. Tali sistemi sono progettati per mantenere le informazioni inaccessibili all’esterno della rete aziendale. 

4) Verifiche e analisi costanti

  • Il controllo dei sistemi: In genere si focalizza i lavori di controllo sui server e le loro configurazioni. Includendo ogni domain service come Active Directory e gli account di ex dipendenti che non devono più avere accesso alle risorse aziendali. Da non dimenticare la sostituzione di hardware vecchia e l’aggiornamento di vecchi sistemi operativi.
  • VPN: Si tratta di una tecnologia che permette l’utilizzo di protocolli cifrati per il traffico in entrata e in uscita permettendo lo scambio sicuro di dati e informazioni. Nello stesso tempo rende le attività in rete invisibili, impedendo ai non autorizzati l’accesso o monitoraggio.
  • Il controllo della rete: con questo procedimento si pone l’attenzione su ogni singolo dispositivo che è collegato alla rete e alle sue impostazioni. Il controllo degli aggiornamenti di firmware e dei programmi operativi come Windows è fondamentale. Va raccomandato inoltre il controllo delle regole del firewall, almeno una volta all’anno. Per tenere al meglio sotto controllo le singole verifiche si consiglia di tenere un registro.
  • Il Penetration Test: una sofisticata procedura che permette di verificare se la rete informatica è affidabile. Attraverso una serie di test approfonditi viene stabilito se ci sono falle, bug, carenze di sicurezza e individuate le vulnerabilità stabilendo come aumentare il livello di protezione.
  • Rilevamento e prevenzione: L’implementazione di sistemi per prevenire e rilevare intrusioni nella rete servono a controllare in tempo reale il traffico ad ogni livello di comunicazione. 
  • Analisi dei log: Per controllare lo stato di un server servono i file log. Tali log contengono messaggi relativi al sistema, compreso il kernel, i servizi e le applicazioni in funzione. Una delle principali necessità per le aziende è sempre stata l’aggregazione dei file log che provengono da diversi server. Tale aggregazione permette la consultazione da un’unica postazione oltre a rispondere e ricostruire gli incidenti di sicurezza. 

5) Un progetto completo tra sistemi e risorse

  • La creazione di documentazione: la documentazione a sé non costituisce una misura di sicurezza, tuttavia rende molto più facile e tempestivo l’accesso alle informazioni importanti. Una buona documentazione include:
    • lo schema della rete
    • le regole che impattano sulla rete
    • i dati di contatto dei fornitori di Hardware
  • La formazione: Tassello importante per garantire la sicurezza della rete aziendale è la formazione periodica del personale. Poiché i dispositivi vengono utilizzati dai dipendenti che, non istruiti, posso assumere dei comportamenti sbagliati o dannosi. 

Gli elementi chiave

Infine vanno ricordati alcuni elementi chiave per ottenere o mantenere una rete informatica aziendale sicura: la regolare manutenzione della rete e degli apparecchi permettono una performance a massimo livello. Se viene trascurata la manutenzione, la vulnerabilità della rete aumenta inevitabilmente, ciò causerà problemi di sicurezza con indisponibilità o perdite di dati e risorse. Il controllo degli accessi e il monitoraggio della rete aziendale permettono di avere una panoramica completa di tutti i dispositivi e dei dati in rete. 

La formazione del personale oltre le policy di accesso è il fattore più sensibile in un sistema di sicurezza della rete aziendale. 

Implementare una rete aziendale sicura o verificare la sua efficacia è un compito complesso.

Noi ti aiutiamo con competenza ed esperienza.

I ruoli e le responsabilità legali e organizzative del GDPR

Il trattamento dei dati personali prevede un sistema sanzionatorio che coinvolge l’ambito penale, amministrativo e civile. Quali sono quindi i ruoli e le responsabilità legali dal GDPR? A riguardo delle sanzioni penali e le sanzioni amministrative previste dal Regolamento è stato scritto tanto e riteniamo quindi necessario una breve riflessione sulla responsabilità civile partendo dalla disciplina prevista dal Codice Privacy (D.Lgs. 196/03).

Il Codice Privacy prevedeva al primo comma dell’art. 15 la responsabilità, ai sensi dell’art. 2050 del codice civile, a carico di chiunque avesse cagionato un danno ad altri per effetto del trattamento di dati personali. Risultava chiaramente il tipo di responsabilità in cui si incorreva: responsabilità per l’esercizio di attività pericolose. In pratica, chi cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento. Almeno che esso non sia in grado di dare prova per avere adottato tutte le misure idonee ad evitare il danno.

Tale norma prevedeva un’inversione dell’onere della prova a carico del danneggiante ed il secondo comma dell’art. 15 del D. Lgs. 196/03 prevedeva la risarcibilità del danno “non patrimoniale” anche in caso di violazione dell’art. 11 (Modalità del trattamento e requisiti dei dati). L’articolo 15 non effettuava nessun riferimento esplicito alla responsabilità solidale, tuttavia veniva certamente applicata grazie al richiamo all’art. 2050 c.c. e conseguentemente alla norma generale di riferimento art. 2055 c.c.

Le modifiche derivanti dal D.Lgs. 101/2018

Con l’entrata in vigore del D.Lgs. 101/2018, l’articolo 15 del Codice Privacy è stato abrogato. Di conseguenza manca manca una norma di richiamo all’art. 2050, in materia di responsabilità civile. Inoltre non è nulla previsto in materia di responsabilità civile dal citato decreto. Si evince quindi che per ciò che concerne tale ambito, si dovrà fare  riferimento all’art. 82 del Reg. UE 679/2016.

Il art.82 del GDPR sancire dunque il diritto di chiunque di ottenere il risarcimento del danno subito, ogni qual volta vi sia stata una violazione delle disposizioni del Regolamento da parte del titolare o del responsabile del trattamento.

La netta differenza che si nota subito, rispetto all’art. 15, è che nell’art. 82 indica titolare e responsabile del trattamento tenuti al risarcimento del danno, mentre l’abrogato art. 15 obbligava “chiunque” avesse cagionato un danno, al risarcimento. Anche ai sensi del GDPR il risarcimento potrà essere richiesto sia per danno patrimoniale, sia per il danno non patrimoniale con un’azione legale davanti alla magistratura civile.

La richiesta di risarcimento dei danni può essere avanzata da chiunque e non solo dall’interessato.

Il paragrafo 2 dell’art. 82 delinea poi quelle che sono le responsabilità dei soggetti del trattamento dei dati e precisamente:

  • il titolare risponderà per il danno cagionato dal trattamento che violi le norme del Regolamento;
  • il responsabile del trattamento risponderà per il danno causato solo se non ha adempiuto agli obblighi che il Regolamento pone a suo carico o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.

L’inversione dell’onere di prova

Relativamente all’onere di prova, l’art. 82 inverte l’obbligo e pone a carico del titolare e del responsabile l’onere di prova al fine di essere esonerati da ogni responsabilità. Essi devono dimostrare che l’evento dannoso non sia a loro imputabile o che l’evento dannoso sia causato da una fonte estranea alla loro sfera di controllo. Prova di non colpevolezza pu essere anche la dimostrano che hanno predisposto e messo in atto tutte le misure adeguate al fine di evitare che si verificasse il danno.

L’inversione dell’onere della prova e giustificata dal fatto che il trattamento dei dati è un’attività pericolosa perché espone gli “interessati” e non solo loro, ad un rischio.

Quindi, al fine di proteggere il soggetto più debole, nel caso in cui l’interessato viene danneggiato, devo soltanto dimostrare che sussiste il danno, la violazione della normativa e il nesso tra i due elementi.

Va ricordato che i rischi in relazione al trattamento dei dati, di cui si deve tener conto, possono essere molteplici.

La responsabilità solidale e pro quota

Al fine di tutelare e garantire il risarcimento tempestivo ed effettivo al danneggiato, il Regolamento prevede che, qualora più titolai o responsabili del trattamento oppure entrambi siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3 dell’art. 82, responsabili dell’eventuale danno causato, ognuno di essi sia responsabile in solido per l’intero ammontare del danno. Fermo restando la possibilità di un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nello stesso trattamento.

Il danneggiato può quindi rivolgere la totalità della propria pretesa risarcitoria ad uno solo tra il titolare ed il responsabile, senza la preoccupazione di capire che dei due sia effettivamente colpevole. Ogni titolare o responsabile del trattamento coinvolto sarà responsabile per la propria parte di inadempimento, quindi alla fine la loro responsabilità sarà pro quota.

Le responsabilità civile

Dato che ogni articolo del GDPR va letto ed interpretato alla luce dei relativi “Considerando”, diamo un’occhiata al no. 146 che prevede la possibilità di intraprendere anche azioni di risarcimento di danni, a carico del titolare e del responsabile, derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Tenendo presente che un trattamento non conforme al Regolamento comprende anche il trattamento non conforme agli atti delegati, agli atti di esecuzione adottati in conformità del Regolamento e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni. Quindi, la responsabilità civile a carico del responsabile del trattamento non si esaurisce con il mancato rispetto delle norme sopra indicate.

A questo punto si evince chiaramente che la responsabilità che grava sul responsabile del trattamento abbia una portata ancor più ampia, poiché è tenuto, previo controllo della conformità al GDPR dei trattamenti svolti nell’organizzazione, anche ad informare il titolare di eventuali trattamenti illeciti o della possibilità che si possano verificare trattamenti illeciti o situazioni non conformi con il GDPR.

In conclusione va detto che il titolare del trattamento non solo deve scegliere accuratamente i responsabili del trattamento ma dovrà anche vigilare sul loro operato. Ricordiamo che i ruoli e le responsabilità legali e organizzativi dal GDPR sono ben definiti dalle norme in vigore.

Il DPO invece non sarà mai responsabile nei confronti degli interessati in caso di richieste di risarcimento dei danni, ma sarà responsabile nei confronti del titolare per l’inadempimento degli obblighi contrattuali relativi al suo incarico.

Per ulteriore informazioni riguardo i ruoli e le responsabilità legali e organizzativi dal GDPR segui l’intervista in diretta .

Ottemperare al GDPR: responsabilità legali e organizzative nell’esperienza del DPO

LUNEDÌ 12 aprile 2021 ore 11:00

Fonte: Federprivacy.it

Il MISE ritarda l’adeguamento al GDPR. Multa di 75 mila euro dal Garante per la privacy

Il MISE sanzionato con 75.000 euro

Il pagamento di una sanzione di 75mila euro è stato ordinato al Ministero dello sviluppo economico da parte del Garante per la privacy. Causa della sanzione è la mancata nominato del DPO entro la data del 25 maggio 2018. Termine ultimo, ossia data di piena applicazione del GDPR. Infatti, la nomina e relativa comunicazione all’autorità ai sensi dell’art. 37 del Regolamento europeo, era avvenuta solo nel corso del 2019.

Inoltre, dall’istruttoria svolta dall’Autorità Garante sono stati trovati informazioni personali di oltre 5mila manager diffusi sul sito web istituzionale.

La sanzione al Mise è nata a seguito di pubblicazioni sulla carta stampata 

Nel corso di una istruttoria aperta dall’Ufficio è emersa la mancata nomina del DPO. A seguito di alcune segnalazioni è stata accertata la presenza di una pagina web con un elenco di manager nel sito del Ministero. Su tale pagina erano visibili e liberamente scaricabili i dati personali di oltre cinquemila professionisti. Come per esempio: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare. In alcuni casi risultavano addirittura visibili le copie della carta d’identità e della tessera sanitaria.

Un elenco a cui le piccole e medie imprese avrebbero potuto rivolgersi per richiedere la consulenza in ambito di transizione tecnologica e digitale, nonché destinatarie dei voucher previsti dalla legge di bilancio 2019.

Il Garante sanziona per la prima volta un PA

È la prima volta che l’Autorità ha sanzionato una PA per mancata nomina del DPO entro il termine stabilito ed avere provveduto alla nomina. Oltre ad aver comunicato con notevole ritardo dei dati di contatto al Garante. L’Autorità ha sanzionato anche per la fattispecie il Mise, sottolineando come la gravità di tale inadempimento fosse non scusabile. Anche alla luce del fatto che il Garante stesso avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta ai Ministeri, indicando tra le priorità da tenere in considerazione la nomina del DPO.

L’errore del MISE

Il Mise aveva ritenuto erroneamente, di essere legittimato a diffondere i dati personali degli interessati sulla base del Decreto Ministeriale che disciplinava la materia. L’Autorità, tuttavia, ha ritenuto il trattamento sproporzionato alla finalità perseguita in quanto la pubblicazione dei suddetti dati ha comportato un alto rischio ai soggetti interessati. I rischi di esportazione ed utilizzo non legittimato da parte di terzi, ad esempio: phishing, furto d’identità, profilazione illecita, ecc.

Era inoltre possibile scaricare dalla pagina internet, il decreto direttoriale con il quale l’elenco era stato approvato. Anche esso contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.

L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale e senza alcun filtro del CV rappresentasse un trattamento di dati sproporzionato e non in linea con i principi del GDPR. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager.

Ha sostenuto inoltre che si avrebbe potuto prevedere forme di accesso selettive e aree riservate del sito istituzionale. Accessi mediante credenziali e autenticazione come username o password.

In considerazione del carattere colposo della diffusione dei dati dei manager nonché della collaborazione che il Ministero ha prestato all’Autorità, la sanzione comminata è stata pari a 75 mila euro.

Come nominare un DPO

Fermo restando quanto prescritto dal Regolamento, il Garante ha precisato come sia possibile nominare un DPO* anche nelle ipotesi in cui non si rientri nei casi imposti dal Regolamento. Vedi le FAQ del Garante qui.

Alla luce di tale chiarimento, infatti, è buona prassi motivare e documentare puntualmente le ragioni per le quali il Titolare, o il Responsabile del trattamento, assumono la decisione di individuare, o meno, la figura del DPO.

Va detto che la violazione degli obblighi previsti dai artt. 37, 38 e 39 del GDPR comporta, ai sensi dell’art. 83, comma 4, del Regolamento stesso la comminazione di una sanzione amministrativa pecuniaria fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente.

Mal interpretazione oppure disattenzione?

Chiaramente non possiamo sapere quale sia stata la causa per la mancata nomina del DPO. Nemmeno perché il MISE abbia ritenuto opportuno pubblicare i dati e ritardato la nomina e comunicazione del DPO. Sappiamo invece che è costato caro. Inoltre si rifletterà negativamente sulla reputazione e intacca la fiducia dei cittadini nel confronto dei servizi offerti da parte de MISE.

Noi vogliamo fare chiarezza e rispondere a tante domande che, ancora oggi, non sono del tutto chiarite. Perciò offriamo un Webinar gratuito dedicato ai Sindaci e ai loro collaboratori. In un video corso di 90 minuti circa spiegheremo dettagliatamente tutti i requisiti minimi che un Comune / Regione deve rispettare per essere adempiente al regolamento europeo 679/2016.

L’iscrizione al Webinar online è aperta

Di seguito alcuni tra i più importanti argomenti trattati:

  1. le nomine
  2. il registro dei trattamenti
  3. le pubblicazioni e le reperibilità
  4. la formazione e i controlli

WEBINAR GRATUITO VENERDÌ 26 marzo 2021 ore 15:00

Fonte: Federprivacy.it * DPO= Data Protection Officer ossia in italiano RPD=Responsabile per la Protezione dei Dati