[APWeb 1023] Gestione dei Dati Personali: Quali sono gli obblighi dei Provider?

Dati Personali

Nuovo Webinar Assoprovider per gli associati: con i legali Elisabetta e Vincenzo Gallotto discutiamo gli Obblighi dei Provider nella Gestione dei Dati Personali.

Codice della Privacy, GDPR, Codice Europeo delle Comunicazioni Elettroniche: sono numerose le leggi italiane e comunitarie che regolamentano la gestione dei dati personali degli utenti online.

Come orientarsi? 

Ne abbiamo discusso nel nuovo webinar dell’associazione degli internet provider indipendenti, con i legali Elisabetta e Vincenzo Gallotto dello studio legale Gallotto.

Introduce i lavori e modera l’appuntamento il vicepresidente di Assoprovider, Marcello Cama.

C’è spazio, in conclusione, per aggiornamenti sulla battaglia dell’associazione sulla legge antipirateria.

Puoi rivedere la registrazione completa del webinar sul canale ufficiale di Assoprovider su YouTube:

La gestione dei dati personali nel mercato delle comunicazioni elettroniche

Inaugura gli interventi di giornata il legale Vincenzo Gallotto, che si sofferma sugli aspetti pratici, per gli ISP, nella gestione e nel trattamento dei dati personali.

Nel 2018 è entrato in vigore il regolamento 2016/679 che ha cambiato l’approccio rispetto al trattamento dei dati personali, da statico a dinamico, basato cioè sul principio della cosiddetta accountability.

In sostanza, il regolamento ci dice che non è più la normativa a dirci cosa fare, come provider, nella gestione dei dati personali. È invece il soggetto preposto a trattare i dati, in base al tipo di attività che pone in essere, a dover implementare una serie di misure tecniche e organizzative in grado di trattare il dato in maniera adeguata.

Tale approccio ha portato all'individuazione della realizzazione di un modello privacy, che ciascun operatore deve stilare per garantire che il trattamento sia eseguito nel rispetto della normativa privacy.

Il rischio di una violazione dei dati deve in questo modo essere ridotto al minimo possibile, qualora non fosse possibile eliminarlo del tutto.

Il percorso comincia da un preliminary assessment: in questa fase, il titolare del trattamento compie una verifica preliminare dei dati trattati, individuando le finalità per cui vengono effettuati e le modalità del trattamento..

A questo punto, l'operatore deve individuare una serie di procedure e misure di sicurezza, tese alla gestione corretta del dato. Processi che, il personale interno alla struttura, dovrà seguire per limitare il rischio di violazioni.

Ecco che diventa essenziale anche l'attività di formazione dei dipendenti, su questo tipo di dinamiche.

Quali sono le attività da implementare concretamente?

  • Predisposizione del registro dei trattamenti, che ha una doppia veste: individuare tutti i trattamenti di dati effettuati in azienda dal titolare e quelli realizzati invece in qualità di responsabile del trattamento. Tra gli altri obblighi, è importante ricordare di conservare, nel registro, i dati di traffico telefonico e telematico per finalità amministrative.
  • Sottoscrizione di accordi con eventuali responsabili del trattamento (società, soggetti e persone giuridiche che trattano i dati per conto del titolare del trattamento). Nel caso dell'ISP, il responsabile del trattamento potrebbe essere il fornitore di un servizio wholesale.
  • Individuazione dei soggetti interni all’azienda, autorizzati al trattamento dei dati e relativa formazione.

È importante soffermarsi sul registro dei trattamenti. È infatti il primo documento che, in caso di verifica, viene richiesto dal Garante Privacy. Quest'ultimo, nell'effettuare una verifica su un operatore, si soffermerà sicuramente su due elementi: oltre al registro dei trattamenti e al suo aggiornamento, il focus sarà incentrato sulla presenza, o meno, del DPO (Data Protection Officer).

Resta il dubbio se un operatore sia effettivamente obbligato a nominare un DPO. Sul punto, l’avvocato Vincenzo Gallotto commenta:

«Il mio consiglio per gli operatori è: se potete, individuate e nominate la figura del DPO in azienda. Se, per qualche ragione, questo non fosse possibile, è necessario prepararsi a documentare, in caso di eventuale verifica del Garante, le ragioni per cui non è stata fatta questa nomina».

Il Modello Organizzativo Privacy in pratica

Con l’avvocato Elisabetta Gallotto, passiamo ora agli aspetti pratici per ottemperare al principio di accountability introdotto dal collega.

Si parte innanzitutto da una definizione del Modello Organizzativo Privacy (MOP). Quest’ultimo rappresenta uno specifico strumento pratico, che consente al Titolare del trattamento la scelta e la gestione responsabile e autonoma degli adempimenti in materia di protezione dei dati personali.

In sostanza, stabilisce in maniera ordinata e strutturata le procedure, le misure, i documenti e le regole per la corretta gestione dei dati personali in un’organizzazione aziendale.

È quindi uno strumento di ausilio importante, in caso di ispezioni da parte del Garante, per dimostrare quindi la propria conformità al GDPR, ma anche per effettuare delle verifiche che possono pervenire da clienti terzi titolari.

All’atto pratico, gli step da seguire da parte del titolare del trattamento per creare un modello privacy efficace e adempiente alla legge, sono:

  • Individuare il rischio connesso al trattamento;
  • Mettere in sicurezza l’attività di trattamento dei dati;
  • Mettere in atto misure tecniche e organizzative adeguate a garantire che il trattamento sia effettuato conformemente al GDPR;
  • Rilasciare l’informativa agli interessati (clienti, dipendenti, utenti sito web, etc.);
  • Attendere all’esercizio dei diritti dell’interessato;
  • Nominare il responsabile del trattamento dei dati;
  • Vigilare sull’osservanza del contratto di nomina del Responsabile del trattamento dei dati.

È importante comprendere, spiega l'avvocato, che non esiste un modello precompilato di tale Modello, dal momento che va calato nella struttura specifica di ogni azienda.

Per strutturare il MOP occorre tener conto infatti:

  • della natura del trattamento;
  • del contesto del trattamento;
  • della finalità del trattamento;
  • dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche;
  • dello stato dell'arte e dei costi di attuazione delle misure adeguate alla tutela dei dati personali, nonché della portata del trattamento.

Anche se, come detto, non è possibile standardizzare la stesura del Manuale, è possibile individuare degli elementi minimi al suo interno, come: 

  • un manuale operativo generale (con le disposizioni normative, l’organigramma privacy aziendale, le tipologie e le descrizioni dei trattamenti, etc.); 
  • le procedure specifiche da attuare, per esempio, per la valutazione del rischio, per l’impatto dei trattamenti previsti (DPIA), per la gestione delle richieste da parte degli interessati e delle autorità, in caso di data breach e così via; 
  • i documenti, gli atti e i modelli da utilizzare per mappare i trattamenti, designare e istruire i responsabili del trattamento, designare e istruire i soggetti terzi e così via; 
  • le informative sui trattamenti dei dati da rendere disponibili alle diverse categorie (clienti, dipendenti, fornitori, utenti del sito web, candidati, visitatori etc.).

È essenziale, specifica l'avvocato, che «il Modello venga portato a conoscenza di tutti i soggetti che, a vario titolo, sono coinvolti nelle attività di trattamento dei dati personali. Soprattutto con riferimento alle procedure da adottare in casi specifici. Pensiamo per esempio al caso di un incidente di sicurezza, in tale occasione devono essere chiare risposte a domande quali ‘A chi mi devo rivolgere?', ‘Qual è la struttura di riferimento?' e così via».

Il passaggio conclusivo dell’intervento riguarda le sanzioni che, ricorda il legale, sono di due livelli:

  • Primo livello che riguarda le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente. Sanzioni pecuniarie fino a 10.000.000€.
  • Secondo livello che riguarda le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente. Sanzioni pecuniarie fino a 20.000.000€.

Legge Antipirateria, prosegue la battaglia di Assoprovider

In conclusione, i vicepresidenti di Assoprovider Antonella Oliviero e Marcello Cama ricordano come stia proseguendo la discussione sulla legge antipirateria e il cosiddetto decreto Caivano, norme su cui Assoprovider ha già presentato ricorso.

L’ultimo aggiornamento al momento è che gli emendamenti presentati in precedenza al decreto Caivano sono stati sostituiti da un sub-emendamento. Quest’ultimo dovrebbe istituire, entro 30 giorni dalla data di entrata in vigore della legge, un nuovo tavolo tecnico AgCom, con la partecipazione di prestatori di servizi, fornitori di accesso rete Internet, detentori di diritti, fornitori di contenuti e così via. A seguire, entro tre mesi dalla convocazione del tavolo tecnico, sarà realizzata e resa operativa una piattaforma per l'implementazione dei blocchi ai contenuti in violazione.

Il vicepresidente Cama ricorda infine che il TAR ha accolto in meno di 24 ore una prima istanza presentata dall’associazione sulle norme antipirateria.

Views: 56