Il «triangolo» della protezione dei dati – parte I

Il Regolamento affronta la questione della sicurezza dei dati personali in modo sistemico, chiedendo a Titolari e Responsabili, tra le altre cose, di interessarsi della gestione dei rischi legati al trattamento e invitandoli ad adottare codici di condotta e certificazioni.

Le norme internazionali ISO 29100:2011 e 27001:2013, che definiscono rispettivamente i requisiti per l’implementazione di un framework privacy e delle politiche di sicurezza aziendale, forniscono utili indicazioni e validi strumenti per l’implementazione di un adeguato sistema privacy.

Il Codice Privacy, rispondendo alle sollecitazioni di un contesto profondamente diverso, poneva particolare attenzione agli aspetti legali delle operazioni di trattamento e trattava gli aspetti informatici (misure minime) nell’Allegato B, occupandosi in modo assai limitato degli aspetti organizzativi connessi al trattamento dei dati personali; il Regolamento cambia la prospettiva e impegna le aziende a costruire una visione d’insieme della protezione dei dati personali trattati, alla quale tutte le funzioni aziendali sono chiamate a collaborare.

La strada tracciata dalla normativa prevede infatti che le operazioni di trattamento dei dati personali siano “disegnate”, “costruite”, “controllate” e, ove possibile, rese più efficaci ed efficienti tramite l’ausilio di specifiche politiche, procedure, processi e strumenti.

Il metodo richiamato è quello tipicamente utilizzato dalle imprese per la messa a punto di un qualsiasi sistema di gestione aziendale e rende necessario affrontare e armonizzare aspetti legali, organizzativi e informatici.

Gli obblighi di Titolare e Responsabile del Trattamento hanno infatti implicazioni per ciascuno dei tre lati (legale, organizzativo, informatico) che delimitano la figura del “Triangolo della Protezione Dati”: molte attività che impegneranno le aziende nei prossimi mesi incidono su più lati del triangolo e dovranno essere condotte in modo sistemico.

Vediamo in che modo è possibile inserire nello schema proposto alcuni aspetti del Regolamento: per ragioni di leggibilità, affrontiamo oggi il tema del diritto all’oblio, rimandando al prossimo articolo per ulteriori analisi.

Diritto all’oblio: Con l’introduzione del cosiddetto diritto all’oblio, qualora ricorrano le condizioni previste dal Regolamento, gli interessati potranno ottenere la cancellazione dei propri dati personali, anche quelli on line, da parte del Titolare. A questo diritto è associato il dovere, per il Titolare che abbia resi pubblici dati personali e abbia l’obbligo di cancellarli, d’intraprendere le azioni necessarie per informare –  tutti i Titolari che stanno trattando tali dati – della richiesta dell’interessato di cancellare ogni link, copia o riproduzione dei suoi dati personali, nei limiti delle tecnologie disponibili e dei costi di attuazione (aspetti legali). Per gestire la richiesta di cancellazione dei dati personali dal Titolare, quest’ultimo dovrà implementare processi organizzativi in grado di verificare in primo luogo la legittimità della richiesta (aspetti organizzativi). Il diritto alla cancellazione dei dati presuppone l’implementazione di processi o applicazioni in grado di gestire e cancellare tutti i link, copie o riproduzioni dei dati personali di cui è stata richiesta la cancellazione (aspetti informatici).

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

“Conoscere e implementare la Privacy”

Questo libro, disponibile in formato cartaceo ed ebook, è indirizzato a imprese, consulenti, enti e responsabili della protezione dei dati che, entro il mese di maggio 2018, dovranno adeguare i trattamenti dei dati personali alle prescrizioni del Regolamento europeo UE 2016/679.

La corretta applicazione della normativa richiede un’esperienza professionale capace di spaziare in più ambiti: la pervasività degli strumenti tecnologici e la crescita esponenziale dei dati personali in circolazione hanno profondamente cambiato il mondo in cui viviamo, ed è quindi necessario affrontare il tema con uno sguardo più ampio e con una maggiore consapevolezza da parte di tutti gli operatori.

Quali sono le principali novità introdotte dal Regolamento e quali conseguenze pratiche deriveranno dalla sua applicazione? Il libro, scritto con un linguaggio semplice e chiaro, risponde a queste domande e fornisce suggerimenti concreti e strumenti metodologici utili a conoscere e implementare la privacy all’interno delle organizzazioni.

Chiunque si occupi di protezione dei dati personali può consultare questa guida, per conoscere il “nuovo mondo privacy” e trovare risposte utili alla realizzazione del proprio sistema di protezione dei dati personali.

Il libro è strutturato in quattro parti.

La prima parte fornisce alcuni elementi di contesto e descrive le componenti principali di un’efficace protezione dei dati personali. Essa contiene inoltre indicazioni sul ruolo che il DPO è chiamato a svolgere all’interno delle organizzazioni.

La seconda parte ha lo scopo di illustrare sinteticamente i contenuti del Regolamento, evidenziandone le principali novità rispetto al Codice Privacy. L’attenzione è stata riservata agli articoli che implicano “azioni e obblighi” per offrire un supporto concreto all’operatività delle organizzazioni.

La terza parte ha l’obiettivo di supportare professionisti e organizzazioni nella costruzione di un sistema di gestione della protezione dei dati personali. Mettiamo a disposizione di chi volesse intraprendere questo percorso, indicazioni, consigli e suggerimenti. Implementare un sistema di gestione significa comprendere, descrivere, governare e migliorare l’operatività di un’impresa; è anche la premessa per un modo migliore di lavorare e per una presenza sul mercato più stabile, proficua e duratura.

La quarta parte descrive in modo esteso le metodologie e gli obiettivi del risk management.

Considerato il ruolo centrale che il Regolamento assegna a una corretta gestione del rischio, ci è sembrato utile dedicare una sezione specifica alla descrizione della metodologia consigliata per la ricerca delle misure e degli strumenti adeguati al percorso verso la conformità al Regolamento, percorso che imprese ed enti dovranno intraprendere.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro, in formato pdf , può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

PRIVACYINCHIARO AL COMPLIANCE DAY 2017

Privacyinchiaro è intervenuta al Compliance Day 2017, tenutosi a Milano il 16 giugno 2017.

Le slide della presentazione sono disponibili nel video allegato.

 

WEBINAR: TUTELA DEI DATI PERSONALI – PROSSIMI SCENARI PER UN’ORGANIZZAZIONE RESPONSABILE

 

Il prossimo 6 luglio, Sebastiano Plutino terrà un WEBINAR di due ore per illustrare  le principali novità introdotte dal Regolamento UE 2016/679: sarà l’occasione per ascoltare alcuni suggerimenti pratici in merito ali accorgimenti che il Titolare del trattamento dovrà adottare per avvicinare il più possibile la propria organizzazione alla conformità normativa.

È necessario registrarsi in anticipo.

Appuntamento alle ore 16 al seguente link: Webinar AiFOS