1 trattamento dati Archives - MOG 231 - Modelli di Organizzazione e Gestione | MOG 231 – Modelli di Organizzazione e Gestione
Passa al contenuto
Modello di organizzazione e di gestione 231

Posts from the ‘trattamento dati’ Category

6
Nov

L’approccio basato sul “RISCHIO E MISURE DI ACCOUNTABILITY” e la RESPONSABILIZZAZIONE DI TITOLARI E RESPONSABILI PRIVACY.

L’approccio basato sul “RISCHIO E MISURE DI ACCOUNTABILITY” e la RESPONSABILIZZAZIONE DI TITOLARI E RESPONSABILI PRIVACY
secondo il Regolamento Europeo 679/2016.
Prosegue con questo articolo la nostra analisi sul Regolamento UE 679/16 e ancora una volta riportiamo in parte i contenuti presenti nei punti dell’indice pubblicato dal Garante della Privacy, In particolare valutiamo quale è l’APPROCCIO BASATO SUL RISCHIO E MISURE DI ACCOUNTABILITY (RESPONSABILIZZAZIONE) DI TITOLARI E RESPONSABILI secondo il Regolamento UE 679/2016. Di seguito si riporta una specifica interessante: “Il regolamento pone con forza l'accento sulla "responsabilizzazione" (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento (si vedano artt. 23-25, in particolare, e l'intero Capo IV del regolamento).
Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.
Il primo fra tali criteri è sintetizzato dall'espressione inglese "data protection by default and by design" (si veda art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso", secondo quanto afferma l'art. 25(1) del regolamento) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest'ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione(si vedano artt. 35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
All'esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell'art. 58: dall'ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.
Dunque, l'intervento delle autorità di controllo sarà principalmente "ex post", ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l'abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all'autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.
Peraltro, alle autorità di controllo, e in particolare al "Comitato europeo della protezione dei dati" (l'erede dell'attuale Gruppo "Articolo 29") spetterà un ruolo fondamentale al fine di garantire uniformità di approccio e fornire ausili interpretativi e analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri documenti di indirizzo su queste e altre tematiche connesse, anche per garantire quegli adattamenti che si renderanno necessari alla luce dello sviluppo delle tecnologie e dei sistemi di trattamento dati.
Si segnalano, al riguardo, le linee-guida in materia di valutazione di impatto sulla protezione dei dati recentemente pubblicate dal Gruppo "Articolo 29", disponibili qui: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137.”
Per la consultazione del Regolamento 679/16, slide, video, materiali, faq ecc., lo staff di Consulenza Privacy Regolamento UE 679/2016 by MODI S.r.l. è disponibile al numero verde 800300333.
MODI S.r.l. ha messo a disposizione per gli interessati anche un sito internet dedicato www.consulenzaprivacyregolamentoue679.it
 
9
Mar

Consulenza sull’applicazione del Regolamento europeo n. 679/2016 privacy

 
Il Regolamento europeo 679/16 si propone di armonizzare la normativa europea dei Stati membri in tema di privacy e di adeguarla allo sviluppo tecnologico.
Il provvedimento ha come scopo quello di semplificare gli adempimenti burocratici a carico dei “titolari del trattamento dei dati privacy”, per ridurre i costi connessi alla loro esecuzione.
Nel mercato UE, l’esistenza di regole non uniformi e modalità di applicazione differenziate: comportano incertezza e costi per imprese, ostacolano l’integrazione dei mercati intra UE e attività economica negli stati membri
La frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell’Unione, ha incrementato l’incertezza giuridica e la diffusa percezione nel pubblico che le operazioni online comportino notevoli rischi.
L’obiettivo della riforma è:
  1. Maggiore armonizzazione della disciplina intra UE (regole e applicazione);
  2. Rendere più chiare le condizioni di trasferimento dei dati extra UE e ridurre le disparità d regolazione tra operatori extra UE e intra UE;
  3. Semplificare adempimenti burocratici;
  4. Rafforzare la tutela sostanziale;
  5. Enforcement più integrato a livello europeo e più incisivo.
La Società di Consulenza MODI S.r.l. con sedi a  Mestre e Spinea (VE), comunica alle Aziende che dal 25 Maggio 2016 è entrato in vigore il Regolamento europeo n. 679/2016 in materia di protezione dei dati personali che diventerà definitivamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018, data entro la quale ogni stato membro dovrà allineare la propria legge sulla privacy al nuovo regolamento.
Si attendono quindi le decisioni del Garante Privacy in merito agli interventi di adeguamento alla normativa italiana che, ricordiamo, è il Codice in Materia di Protezione dei Dati Personali D.Lgs. n. 196/2003 in vigore dal 1 gennaio 2004. Per informazioni www.modiq.it, servizio clienti 800300333.