Attività per la messa a norma GDPR:

– Censimento delle sedi e relativi locali in cui si svolgono i trattamenti
– Censimento dell’apparato amministrativo
– Individuazione di eventuali ruoli di Responsabile esterno di altri Titolare
– Analisi banche dati e profili dei vari soggetti autorizzati
– Analisi di eventuali compiti di Delegati interni al trattamento o individuazione delle persone da nominare con tale carica
– Analisi di eventuali compiti di Responsabili esterni al trattamento e individuazione delle persone fisiche e giuridiche da nominare con tale carica
– Revisione di tutti i profili di autorizzazione per i soggetti autorizzati al trattamento
– Rielaborazione di tutte le informazioni sul trattamento necessarie, adattandole ai nuovi criteri imposti dal GDPR
– Produzione delle nomine previste dal Regolamento 2016/679 del 4 maggio 2016
– Revisione e/o produzione di tutte le circolari interne necessarie al recepimento della normativa Privacy ed al suo corretto adempimento
– Revisione e/o produzione delle necessarie informazioni sul trattamento dei dati personali da fornire agli interessati
– Indicazione sull’eventuale Amministratore di sistema sulle misure adeguate di sicurezza del sistema stesso
– Consegna e spiegazione della modulistica
– Messa a norma del sito Internet
– Contenuto giuridico e forma del Registro del trattamento dei dati personali del Titolare
– Contenuto giuridico e forma del Registro del trattamento dei dati personali del Responsabile

Il registro del trattamento

Il GDPR all’articolo 30 elenca i contenuti del Registro del trattamento dei dati personali:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 paragrafo 1 del GDPR.

Suggeriamo di inserire nel Registro anche:
– La base giuridica di tutti i trattamenti
– Criteri e modalità di ripristino della disponibilità dei dati in seguito a distribuzione e/o danneggiamento
– Pianificazione e rendicontazione degli interventi formativi previsti, completo dei dati dei partecipanti
– La Privacy Policy attualizzati a tutti i soggetti autorizzati
– Le informazioni sul trattamento dei dati personali fornito alle varie categorie di interessati
– Il testo aggiornato all’ultima versione delle lettere di nomina ai soggetti autorizzati
– Relazione sulla messa a norma del sito Internet
– Documentazione relativa alla eventuale Videosorveglianza
– Sotto-registro delle richieste di esercizio dei diritti da parte degli interessati
– Sotto-registro data-breach

Ruolo del DPO/RPD

Il DPO (Data Protection Officer) altrimenti detto RPD (Responsabile della Protezione dei Dati Personali), nel rispetto di quanto previsto dall’articolo 39, paragrafo 1 del GDPR è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

– informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni nazionali o dell’Unione Europea relative alla protezione dei dati
– sorvegliare l’osservanza del GDPR, di altre disposizioni nazionali o dell’Unione Europea relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
– se richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del GDPR
– cooperare con il Garante per la protezione dei dati personali
– fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del GDPR, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione

I dati di contatto del DPO nominato saranno comunicati al Garante della Privacy, ai sensi dell’articolo 37, paragrafo 7 del Regolamento (UE) 2016/679 e dell’articolo 28, comma 4 del D. Lgs. 51/2018. La comunicazione al Garante della Privacy avverrà nel giorno successivo alla data del contratto, o in alternativa il giorno della prima visita.

Formazione GDPR

Per il Regolamento Europeo 2016/679 (GDPR) la formazione costituisce un prerequisito per potere operare all’interno delle organizzazioni, imprese e pubbliche amministrazioni.

Il D. Lgs. 196/2003, già nella prima versione prevedeva l’obbligo formativo del personale (Incaricati, oggi rinominati Soggetti Autorizzati) per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione deve essere programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati persona.

Essa dovrebbe presentare un taglio interdisciplinare (con sessioni sia informatiche sia giuridiche sia sui profili organizzativi dell’Ente o Società) e pratico (come si evince dal termine “istruito” previsto agli articoli 29 e 32 del GDPR) e riguardare tutti i soggetti.
La formazione deve illustrare i rischi generali e specifici dei trattamenti di dati, le misure organizzative, tecniche ed informatiche adottate, nonché le responsabilità e le sanzioni.

L’obbligo formativo non deve essere in alcun modo sottovalutato da parte delle pubbliche amministrazioni e delle imprese: infatti in caso di mancata erogazione della formazione scattano ai sensi dell’articolo 83 del GDPR rilevanti sanzioni amministrative pecuniarie. L’adempimento degli obblighi formativi è oggetto anche di accertamenti ispettivi da parte dell’Autorità Garante privacy, della Polizia Postale e della Guardia di Finanza. In numerosi casi il Garante in sede ispettiva ha richiesto di acquisire il piano di formazione con relativa documentazione ed ha analizzato la formazione erogata ai soggetti che effettuano trattamenti in relazione all’accesso, alla consultazione delle banche dati, le policy aziendali (per esempio in materia di videosorveglianza e password).