Materiale tratto da:

GAZZETTA UE

GAZZETTA IT

GARANTE PRIVACY

CERT

 

IT:    DECRETO LEGISLATIVO       196 del 30-06-2003          in vigore 01-01-2004

EU:  GDPR  (versione pdf)          679 del 27-04-2016          in vigore 25-05-2018

IT:    DECRETO LEGISLATIVO       101 del 10-08-2018          in vigore 19-09-2018

        ABROGAZIONI (Elimina le contraddizioni e rende la normativa conforme)

        

General Data Protection Regulation

Indifferenza o paranoia

(sanzioni amministrative, economiche, penali)

 

PRIMA:   Certezza con l'ALLEGATO B (minime misure di sicurezza)

DOPO:    GDPR - Abrogazione dell'allegato B

                RESPONSABILIZZAZIONE (ACCOUNTABILITY)

                PERSONA FISICA che ne risponde sulla base di questo (in concreto).

 

COSA FARE?

Scheda di sintesi del garante della privacy a mero scopo divulgativo per aziende ed enti.

(AMMINISTRATORE CONDOMINIO non è un ente, può essere una azienda ma in ogni caso è un professionista)

GDPR - TABELLA RAGIONATA (versione pdf)

 

Rispettare i diritti delle persone

Ogni trattamento deve fondarsi sul rispetto dei principi fissati nel Regolamento (artt. 5 e 6) e garantire agli interessati tutti i diritti previsti (artt. 13[informativa]-22)*.

Individuare il rischio e svolgere una valutazione d’impatto

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.

Redigere un registro dei trattamenti

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Garantire la sicurezza dei dati

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato)

Nominare un Responsabile della protezione dei dati

La designazione (in vari casi obbligatoria) di un RPD riflette l ́approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento

 

 

 

 

AMMINISTRATORE DEVE:

·      pubblicare l'informativa art.13 e 14 (già esistente, cambia il contenuto per i nuovi diritti, nuove informazioni, nuove modalità, ...), (concisa, trasparente, intellegibile, facilmente accessibile, idonea per i minori, con icone [considerando 58],  ...), base giuridica ** per il trattamento (contratto) e diritti interessato:

o    accesso                                    art.15

o    rettifica                                    art.16

o    oblio                                         art.17

o    limitazione                              art.18

o    notifica in caso di rettifica    art.19

o    portabilità                               art.20

o    opposizione                            art.21

o    processo decisionale             art.22

 

·         consenso, trattare i dati secondo l'art.6

·         rispettare e far rispettare i principi del regolamento (art. 5, 12-22)

·         valutare l'impatto privacy prima di ogni trattamento (capire i parametri da rispettare)

·         predisporre misure di sicurezza adeguate

·         provvedere in forma scritta alle nomine dei responsabili e autorizzati (portiere, impiegati, ...)

·         tenere aggiornati i registri previsti dalla attuale normativa Anagrafe, RAS

·         informare il titolare in caso di violazione

 

 

INFORMATIVA

Informativa pubblicata nel sito

Informativa condomini

Informativa fornitori e clienti

 

CAPIRE LA PROPRIA ATTIVITA'

se non faccio una analisi approfondita di quella che è la mia attività:

·         che cosa faccio

·         quali dati tratto

·         come li vado a trattare

·         perché

·         quali rischi corrono i dati

·         analisi delle procedure

non potrò avere sotto controllo la mia azienda e di conseguenza attivare quelle procedure che servono per difendermi da eventuali attacchi.

Ci aiuta in questo il REGISTRO delle attività DEI TRATTAMENTI (sopra i 250, dati sensibili e penali) serie di dati per tenere sotto controllo e capire se ci sono ipotetiche vulnerabilità.

 

MISURE DI SICUREZZA E VALUTAZIONI DI IMPATTO

Quali sono i dati da trattare e come li stiamo utilizzando e come li stiamo proteggendo. Se abbiamo fatto tutti i passaggi per rendere sicuri i dati:

 

·         Pseudonimizzazione dei dati

 

·         Controlli accessi logici e fisici e sicurezza organizzativa.

Sicurezza fisica

È anche conosciuta come sicurezza passiva ed è un concetto abbastanza generale. Per sicurezza passiva si può intendere l’insieme di soluzioni il cui scopo è impedire che un intruso, un estraneo o semplicemente una persona non autorizzata non possa accedere al luogo fisico dove i dati aziendali sono custoditi.

Alcuni esempi di soluzioni per garantire la

conservazione dei dati:

o   Porte di accesso blindate;

o   Sistemi di riconoscimento del personale;

o   Server posti in luoghi sicuri;

o   Sistemi di sorveglianza o controllo degli accessi;

o  Registro degli accessi di tutti i visitatori autorizzati (compresi i tecnici che intervengono per le manutenzioni);

o   Misure di protezione da eventuali danni (come l’improvvisa interruzione di corrente elettrica)

o   Predisposizione di dispositivi antincendio

o   Rilevatori di fumo

o   Presenza di gruppi di continuità

sicurezza della logistica:

o   vigilanza della sede

o   adozione di sistemi di allarme

o   sistemi anti intrusione alle finestre

o   accessi con badge

custodia dei dati

o   predisposizione di locali idonei adibiti ad archivio

o   ricorso ad armadi chiusi ed ignifughi

 

Sicurezza logica

Anche detta sicurezza attiva. Se la sicurezza fisica serve a impedire l’accesso agli ambienti fisici dove sono custoditi i sistemi hardware che contengono i dati, la sicurezza logica serve a impedire l’accesso ai “luoghi digitali” (come server, database e computer) da parte di persone non autorizzate.

 

Un sistema che garantisce la sicurezza logica lavora in due grandi fasi:

o   Fase uno: autenticazione e autorizzazione dell’utente che vuole accedere al sistema (di solito, tramite login).

o   Fase due: tracciamento, tramite file di log, di tutte le operazioni che quell’utente sta compiendo nel sistema (questa fase è anche conosciuta come audit o accountability).

Benché, da un punto di vista organizzativo, siano considerate divise, in realtà dovrebbero lavorare entrambe in sinergia per implementare un sistema efficiente che garantisca la sicurezza dei dati aziendali: in particolare, la sicurezza fisica rappresenta il primo livello di tale sistema, mentre la sicurezza logica ne rappresenta il secondo.
SOFTWARE GESTIONALE

 

sicurezza organizzativa

Comprendente le misure minime ed idonee che impattano sulle procedure organizzative interne

o   assegnazione di incarichi

o   predisposizione di istruzioni operative per i dipendenti

o   protocolli

 

·         Backup, recovery e manutenzione

 

Infine

Perché trattare in modo sicuro i dati? Perché ci sono dei rischi.

Valutare quindi quali potrebbero essere questi rischi.

Nella valutazione di impatto dobbiamo verificare quali sono questi rischi.

Es.: Quali sono i rischi (accesso non autorizzato, dipendente infedele, malfunzionamento sistema,  tutta una serie di ipotesi, ...)

Capire quali misure sono idonee per modificare o evitare completamente questi rischi.

Approccio di responsabilizzazione, possiamo anche non fare niente, ma ... ??? !!!

 

CAPIRCI DI PRIVACY

Sapere che esiste una attività ispettiva

MINACCE E REGOLE DI COMPORTAMENTO

ERRORI COMUNI

CONTROLLI

GUIDA

 

 

 

* Definizione di profilazione e processo decisionale automatizzato

Il Regolamento europeo definisce la profilazione all’art. 4, paragrafo 4 come: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

I Garanti europei specificano che la fattispecie della profilazione è integrata allorquando concorrano le seguenti tre caratteristiche:

• il trattamento sia svolto in forma automatizzata ,
• esso abbia ad oggetto dati personali,
• il suo obiettivo sia quello di valutare aspetti personali di una persona fisica.

Mediante la profilazione, infatti, si raccolgono informazioni su un individuo (o gruppo di individui), si analizzano le sue caratteristiche o modelli di comportamento e si inserisce il profilo individuale in una certa “categoria” o “segmento” per dar luogo ad ulteriori valutazioni o previsioni riguardanti, ad esempio, la sua capacità di eseguire un’attività, i suoi interessi o comportamento probabile.

Il processo decisionale automatizzato induce a prendere decisioni solo attraverso mezzi tecnologici, (ossia senza il coinvolgimento umano) e può basarsi su dati forniti direttamente dall’interessato (ad es. tramite form o un questionario), oppure su dati ricavati da programmi traccianti (ad es. la geolocalizzazione individuale fornita da un app) o dati derivanti da profili precedentemente creati (ad es. l’affidabilità finanziaria in ambito creditizio).

La decisione automatizzata e la profilazione a volte sono separate, altre volte no: infatti può succedere che una decisione automatizzata venga presa senza aver creato un profilo dell’individuo e, al contrario, una decisione automatizzata possa trasformarsi in profilazione a seconda del modo in cui i dati vengono utilizzati.

Le linee guida, a questo proposito, riportano un esempio per chiarire i due concetti: una multa per eccesso di velocità rilevata sulla base delle prove provenienti da telecamere è una decisione automatizzata che non coinvolge profili. Si tratterebbe invece di profilazione se l’importo della multa fosse il risultato di una valutazione che coinvolge altri fattori quali le abitudini di guida, altre violazioni al codice della strada, ecc.

 

** Base giuridica

I dati personali forniti (nome, cognome ecc.) costituiscono oggetto del trattamento e sono forniti all’amministratore in virtù del mandato conferitogli. La base giuridica su cui si fonda il trattamento è l’interesse legittimo art. 6, 1 co., lett. f) GDPR ad eccezione di finalità specifiche e/o categorie particolari di dati (ad esempio, dati sensibili) per cui è necessario in consenso dell’interessato art. 6, co. 1, lett. a) ed art 9, 2 co., lett. a).

Le basi giuridiche legittime previste dalla GDPR sono:

• consenso dell'interessato: quando il trattamento dei dati viene esplicitamente autorizzato dall'interessato per una o più specifiche finalità (ad esempio, se devi usare i dati dell'interessato per finalità di marketing)
• esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall'interessato (ad esempio, se devi spedire dei beni acquistati da un cliente avrai la necessità di raccogliere i suoi dati personali come nome, cognome, indirizzo, etc.)
• adempimento obbligo di legge: quando il trattamento dei dati è imposto da una legge, regolamento, etc. (ad esempio, se devi fatturare l'acquisto di un bene al cliente, dovrai raccogliere i suoi dati fiscali, etc.)
• interesse legittimo del Titolare: quando il trattamento è necessario per il perseguimento delle finalità per cui sono stati raccolti i dati, a condizione però che non prevalgano gli interessi o diritti dell'interessato (ad esempio, per installare un sistema di sicurezza)
• interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell'interessato o di un'altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell'interessato)
• esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile)