Gli Update di GDPRlab


Riteniamo molto importante mantenervi aggiornati sui cambiamenti, le modifiche, le novità riguardanti il mondo del GDPR. Questa pagina verrà costantemente aggiornata, ogni volta che vi saranno modifiche salienti dal punto di vista dell'applicazione legale del Regolamento Europeo e dal punto di vista tecnico, riguardo la nostra piattaforma e eventuali ulteriori misure di messa in sicurezza dei dati e della privacy dei clienti/utenti.

Il mondo del GDPR, infatti, è in continua evoluzione e sarebbe un grave errore ritenere che il raggiungimento della compliance sia riducibile ad "un istante": la conformità al GDPR è infatti un processo quotidiano, che richiede attenzione e dedizione, ma anche aggiornamenti e modifiche al passo con l'evoluzione e i cambiamenti...esattamente come fosse un software che necessita, di tanto in tanto, di aggiornamenti.

Cogliamo anche l'occasione per ringraziare tutto coloro che hanno collaborato e che continuano a collaborare con noi, inviandoci proposte di miglioramenti e feedback.

Ecco, in ordine cronologico, gli update tecnici e le evoluzioni legali nel recepimento e attuazione del Regolamento Europeo GDPR.

AGGIORNATO AL 20/12/2018

  • Pulsante eliminazione interessati e destinatari aggiunti: 
    introdotto nella sezione Registro dei trattamenti > Trattamenti > Dati del trattamento > Interessati e destinatari. Facilita e velocizza il censimento permettendo di cancellare velocemente gli interessati e i destinatari che non sono più coinvolti in un determinato trattamento.
  • Pulsante "Duplica Uffici":
    introdotto nella sezione G.D.P.R. > Uffici > Scheda Ufficio. Facilita e velocizza il censimento quando si devono inserire N uffici uguali o simili tra loro per: caratteristiche di accesso, sicurezza personale, protezione informatica, ambientale, protezione apparecchiature.
  • Pulsante "Duplica" Data Handler:
    introdotto nella sezione G.D.P.R. > Data Handler > Dati del Data Handler.  Facilita e velocizza il censimento quando si devono inserire N incaricati, interni o esterni all'azienda, aventi stesso: indirizzo, CAP, località, provincia, diretto superiore, ruolo aziendale.
  • Pulsante "Duplica" sistemi di backup:
    introdotto nella sezione Sicurezza > Sistemi di Backup > Dati del sistema di backup. Facilita e velocizza il censimento quando si devono inserire N sistemi di backup aziendali, aventi uguale/simile denominazione, tipologia, frequenza, modalità di ripristino, tempi di ripristino, disaster recovery.
  • Pulsante "Duplica" sistemi di elaborazione:
    introdotto nella sezione G.D.P.R. > Sistemi di elaborazione > Dati del sistema di elaborazione. Facilita e velocizza il censimento quando si devono inserire N sistemi di elaborazione, aventi uguale/simile: descrizione, tipo, data acquisto, ambiente, protezione.
  • Pulsante "Duplica" trattamento:
    introdotto nella sezione Registro dei trattamenti > Trattamenti > Dati del trattamento. Facilita e velocizza il censimento quando si devono censire N trattamenti all'interno del Registro dei Trattamenti, aventi uguale/simile: dati, interessati e destinatari, banche dati, finalità, criteri di liceità, dati riguardanti minori, dati sensibili, durata, profilazione, trasferimento, permessi.
  • "Organigramma aziendale" cliccabile:
    introdotto nella sezione G.D.P.R. > Organigramma aziendale. Sarà possibile cliccare sui Data Handler per visualizzarne automaticamente la Scheda Dettaglio, presente in G.D.P.R. > Data handler > Scheda Data Handler.
  • Pulsante "Aggiungi Banca dati":
    introdotto nella sezione G.D.P.R. > Banche dati > Aggiungi Banca dati. Facilità e velocizza il censimento delle banche dati, permettendo di duplicare una banca dati importandola da una già censita in precedenza e quindi già presente all'interno di Lista banche dati.
  • Pulsante "Attiva tutti" e "Disattiva tutti":
    introdotto nella sezione Registro dei trattamenti > Trattamenti > Scheda Trattamento > Banche dati > Lista campi interessati. Velocizza e facilita l'associazione della banche dati al trattamento, consentendo di attivare o disattivare tutti i campi delle stesse con un unico clic.
  • Pulsante "Seleziona visibili" per Responsabili esterni:
    introdotto nella sezione G.D.P.R. > Data processor esterni > Seleziona visibili > Incarichi. Facilita e velocizza il censimento consentendo di selezionare con un solo clic tutti i contratti di individuazione da inviare a ciascun responsabile esterne del trattamento presente in Lista Data processor esterni.
  • Pulsante "Seleziona visibili" per Incaricati interni:
    introdotto nella sezione D.P.O. > Stampa nomine e mansionari > Seleziona visibili > Incarichi. Facilita e velocizza il censimento consentendo di selezionare con un solo clic tutte le lettere di incarico e mansionari da inviare a ciascun incaricato all'interno dell'azienda.
  • Suggerimento campi banca dati:
    introdotto nella sezione G.D.P.R. > Banche dati > Dati della Banca Dati > Inserisci nuovo campo > Nome nuovo campo. Facilita e velocizza il censimento dei campi delle banche dati, suggerendo i campi da inserire se già inseriti in precedenza in una o più banche dati.
  • Pulsante "Stampa tutto" per Panoramica D.P.O:
    introdotto nella sezione D.P.O. > Panoramica > Stampa tutto. Facilita e velocizza la stampa di "panoramica interventi annuale", "panoramica aziendale", e "panoramica trattamenti" consentendo di stampare tutte le tre panoramiche con un unico clic).

  • Contratto di individuazione del responsabile esterno ai sensi dell'art. 28 del Regolamento UE 2016/679  ( per conto del titolare del trattamento):
    tale responsabile deve presentare delle garanzie sufficienti in merito alla sicurezza aziendale, alle misure tecniche e organizzative adeguate. I trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico, che vincoli il responsabile al titolare e che stipuli la materia disciplinata , la durata, la natura, le finalità, il tipo di dati e le categorie, gli obblighi e i diritti.
  • Registro Trattamenti DPE art. 30 del Regolamento UE 2016/679:
    inserito nella Sezione Registro dei trattamenti > Trattamenti DPE. All'interno di tale registro è possibile censire tutte le categorie di attività relative al trattamento svolto per conto del titolare del trattamento.
  • Moduli autorizzazione impianto videosorveglianza e GPS: all'interno della Sezione videosorveglianza sono stati caricati i moduli per la richiesta di autorizzazione all'istallazione di un impianto di videosorveglianza e GPS aggiornati al Regolamento UE. 
  • Moduli Richiesta consenso e Acquisizione consensi:
    la dematerializzazione dei consensi è un processo finalizzato alla creazione di un flusso di documenti digitali aventi valore giuridico, che sostituisca tutti gli archivi cartacei di ciascuna attività, a prescindere se pubblica o privata.
  • Modulo per la richiesta al garante per l'esercizio del diritto all'oblio:
    è stato inserito all'interno della Sezione D.P.O. > Diritto all'Oblio, il modulo per l'esercizio del diritto alla cancellazione di cui all'art. 17 Regolamento UE, aggiornato alla normativa europea.
  • Mansioni amministratore di sistema:
    considerando che la figura di amministratore di sistema non viene in alcun modo menzionata dal Regolamento, molti titolari e responsabili del trattamento si stanno chiedendo se il provvedimento del Garante del 2008 e quindi gli accorgimenti ivi impartiti, l’attenzione alle caratteristiche soggettive nella scelta, la conservazione degli access log, l’attribuzione stessa dell’incarico ad amministratore di sistema, gli elenchi contenenti nominativi e ambiti operativi assegnati, le istruzioni scritte, le garanzie sulle misure di sicurezza e le verifiche annuali sull’operato valgano ancora oggi o se diversamente quel provvedimento debba considerarsi non più in vigore e in tal caso come ci si dovrebbe muovere. In realtà, sul punto è possibile affermare che il GDPR non interviene sui provvedimenti del Garante, esso afferma solo che vanno cancellate le norme e le regolamentazioni degli ordinamenti nazionali incompatibili con le disposizioni del regolamento. Il GDPR impone a carico del titolare e del responsabile del trattamento maggiore controllo e responsabilizzazione, secondo un’ottica di prevenzione del rischio in relazione ai dati personali. Gli accorgimenti imposti dal Garante della privacy nel provvedimento sulla designazione degli amministratori di sistema appaiono pertanto essere conformi ai principi e alle disposizioni contenute nel GDPR, quindi, a parere di chi scrive, chi abbia già strutturato la propria organizzazione nel rispetto di quanto impartito dal Garante all’epoca del provvedimento sugli amministratori di sistema, può ben mantenere le misure e gli accorgimenti adottati. Ricordiamo che, qualora le funzioni di amministratore di sistema siano state assegnate in outsourcing, occorrerà provvedere a designare tale soggetto responsabile del trattamento, assegnando allo stesso le funzioni specifiche di amministratore di sistema e stando attenti ad inserire nel contratto (o altro atto giuridico) tutto quanto richiesto dall’art. 28 del GDPR: è possibile anche rimandare eventualmente all’atto con cui tale soggetto a suo tempo è stato nominato amministratore di sistema, così da creare una documentazione coordinata. Nel nuovo Regolamento europeo sulla protezione dei dati personali non sembra ci sia un chiaro riferimento alla figura dell’amministratore di sistema nel processo di trattazione e custodia dei dati, pur trattandosi di una figura implicitamente richiamata, in alcune norme, per le sue specifiche competenze tecniche, laddove al titolare del trattamento e/o all’eventuale responsabile nominato, spetta il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento). In questo ambito non si parla di quali siano le “misure adeguate” ma sicuramente sono superiori a quelle misure minime di sicurezza a cui si faceva riferimento nell’allegato B del codice del 2003 e cioè credenziali di autorizzazione, aggiornamenti software e via discorrendo.
  • Protocollo da seguire in caso di data breach:
    documento inserito all'interno della Sezione D.P.O. > Data Breach, per offrire indicazioni concrete e casi esemplificativi che possono aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento, in caso di perdita o furto di dati personali.
  • Dati riguardanti minori 14, no di 16, ai sensi del D.lgs. 101/2018:
    come noto il D.lgs. n. 101/2018 di armonizzazione del Codice Privacy (d.lgs. n. 196/2003) al GDPR (Reg. Eu. n. 679/2016) è stato approvato l’8 agosto scorso. Il risultato è dunque il seguente: sebbene la Direttiva 95/46/CE - su cui si è basata la compliance privacy degli ultimi 20 anni e l’azione dell’Autorità Garante - sia stata abrogata dal GDPR, al tempo stesso il Codice Privacy (basato a sua volta su tale direttiva, ma anche su molto altro) sopravvive, ancorché emendato ed in parte abrogato, a seguito appunto dell’approvazione del d.lgs n. 101/2018.I minori che hanno compiuto quattordici anni potranno esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Per quanto riguarda i minori di 14 anni, invece, resta in piedi il requisito del consenso avente la potestà genitoriale. Ed i titolari del trattamento dovranno scrivere informative chiare, semplici, concise ed esaustive, facilmente accessibili e comprensibili dal minore, “al fine di rendere significativo il consenso prestato da quest’ultimo”). 
  • Nuova sede Garante nelle informative:
    in tutte le informative e consenso generate dalla piattaforma, è stata aggiornata la sede del Garante, dopo che gli Uffici dell'Autorità si sono spostati dal vecchio indirizzo Piazza di Monte Citorio 121, 00186, Roma al nuovo indirizzo Piazza Venezia 11, 00186, Roma).

1 commento: