Continua l’attività ispettiva svolta dall’Autorità Garante in collaborazione con il nucleo speciale privacy della guardia di finanza, concentrata sia su enti pubblici sia su privati di ogni settore con particolare attenzione alla verifica di misure di sicurezza applicate ai trattamenti di dati personali, conformità di informative e consensi, gestione delle banche dati.
Molte verifiche ispettive sono scattate a seguito di illeciti e violazioni contestate.
Data Breach: elaborazione del registro delle violazioni
Come noto, in caso di violazione dei dati personali il titolare del trattamento (soggetto pubblico, impresa, associazione, professionista, ecc.) senza ingiustificato ritardo e, se possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei a meno che abbia già preso misure tali da ridurne l’impatto.
Cosa ha specificato l’Autorità Garante?
A prescindere dalla notifica all’Autorità, il titolare deve documentare tutte le violazioni dei dati personali predisponendo il registro delle violazioni, in modo da consentire all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.
Per agevolare la predisposizione del registro delle violazioni, in uno degli ultimi aggiornamenti, il sistema Blumatica GDPR permette di registrare elettronicamente tutti le informazioni circa la violazione occorsa e di elaborare il documento in modo da agevolarne l’eventuale trasmissione al Garante all’indirizzo pr********@pe*.it
Che informazioni deve contenere una notifica di violazione?
La notifica deve comprendere almeno le seguenti informazioni:
- natura della violazione dei dati personali
- categorie e numero approssimativo di interessati
- categorie e volume approssimativo di dati personali violati
- riferimenti di contatto del responsabile della protezione dei dati (se presente) o comunque di un referente competente a fornire informazioni
- livello di gravità e misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali
Quali sono le possibili azioni del Garante dopo la segnalazione?
Ai sensi dell’art. 58 del Regolamento UE 3016/679, l’Autorità valuta l’adeguatezza delle misure tecniche ed organizzative applicate ai dati violati e può prescrivere misure correttive.
Il Garante può impartire sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Chiediamoci, però, cosa possiamo fare per scongiurare i DATA BREACH e soprattutto evitare le pesanti sanzioni.
Registro dei trattamenti quale evidenza del rispetto dei requisiti
A prescindere dalla tipologia di organizzazione, lo studio delle attività di trattamento rappresenta l’aspetto fondamentale per avere sotto controllo i possibili processi ed analizzare le misure da intraprendere.
Se è vero che il registro dei trattamenti non è obbligatorio per tutti è altrettanto vero che rappresenta lo strumento fondamentale per dare evidenza dell’analisi dei trattamenti gestiti e di quanto si è messo in atto per essere compliance ai requisiti.
Come gestire elettronicamente il registro?
Partendo dal presupposto che dallo studio delle attività di trattamento deve essere possibile sviluppare automaticamente informative e consensi, la predisposizione dei registri rappresenta il cuore del sistema Blumatica GDPR offrendo la possibilità di usufruire di modelli studiati ad hoc e soprattutto di identificare pericoli e rischi per predisporre le misure tecniche ed organizzative efficaci ad evitare il verificarsi di eventi accidentali e/o intenzionali.
Qual è il valore aggiunto che consente di elaborare delle informative coerenti con i trattamenti analizzati? Se nello studio delle attività di trattamento vengono indicate tutte le finalità e per ognuna di esse la necessità del consenso, è possibile ribaltare automaticamente questa indicazione nella elaborazione dell’informativa senza dover compiere azioni aggiuntive e soprattutto eliminando qualsiasi margine di errore.
Obbligo del registro anche per gli operatori sanitari!
L’Autorità, nel ribadire che i medici possono trattare i dati dei pazienti per finalità di cura con la sola informativa senza richiesta di consenso, ha chiarito che è obbligo di tutti gli operatori sanitari possedere un registro con le attività di trattamento effettuate sui dati dei pazienti.
Si rafforza, così, il concetto che il registro rappresenta un elemento essenziale per dimostrare il rispetto dei requisiti del Regolamento.
Non aspettare, mettiti in regola con Blumatica GDPR, il software che permette di adeguare qualunque tipo di organizzazione ai requisiti privacy in merito a:
- gestione nomine e relative istruzioni operative
- compilazione registri delle attività
- risk analysis ed eventuale valutazione di impatto (DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.)
- informative e consensi automatici per dipendenti, clienti e fornitori.
Formazione dei collaboratori: un obbligo da non sottovalutare
Un altro aspetto che può mettere al riparo il titolare da comportamenti errati è sicuramente la formazione delle risorse autorizzate al trattamento dei dati personali.
A tal proposito, per dimostrare il rispetto del Regolamento potrebbe essere utile avere evidenza della formazione dei dipendenti rispetto all’esistenza di procedure da adottare e, più in generale, di come comportarsi nel rispetto di quanto previsto per la protezione dei dati personali ed evitare possibili violazioni.
Corso GDPR lavoratori e collaboratori: la soluzione e-learning per erogare la formazione in maniera semplice e veloce!
Il corso intende fornire le nozioni principali per formare dipendenti e collaboratori sul tema protezione dati personali ai sensi del nuovo Regolamento UE 2016/679, trattando in particolare i seguenti argomenti:
- Principi del Regolamento 2016/679
- Attori del trattamento dati personali
- Nomine delle figure in relazione alla struttura organizzativa
- Approccio basato sul rischio del trattamento
- Rispetto delle procedure e delle misure di sicurezza adottate
- Documenti del GDPR