);

Iniziano i controlli del Garante, siete pronti ?

Molte aziende, in base alla mia personale esperienza, hanno preso sotto gamba tutto il processo di adeguamento al GDPR.
Questa è una nota dolente unica, come sempre, nel panorama italiano.
Come ogni altra normativa, viene recepita in modo pariale o superficiale.
Vuoi per gli eventuali costi da sostenere per un “vero” adeguamento, vuoi per la classica dose di
sperata fortuna che gli imprenditori credono di avere “tanto prima che mi becchino”.

Purtroppo mi risulta che alcuni controlli, da parte del Garante, siano già iniziati.
La momento non sono stati ancora pubblicati dati ufficiali, ma la certezza della pena, in questo caso , essendo normata molto specificatamente, è una certezza.

Eppure, la materia sarebbe dovuta essere recepita come uno “stato mentale”, garantire la riservatezza del dato, è un diritto di tutti.

Vero è che c’è stata una cannibalizzazione del settore consulenza gdpr. Spesso la categoria ( se cosi vogliamo dirla ) non si è uniformata con uno standard,
e molti hanno preferito affidarsi ai propri commercialisti o al proprio team di avvocati. Mentre la seconda potrebbe sembrare una scelta opulata, la prima
risulta essere molto azzardata.
Per poter essere compliant con la normativa, si devono fare corsi di aggiornamento, studiare , la materia GDPR spazia dalla sistemistica alla “legge”,
una figura che deve garantire un grado di “protezione”, professionalità, e sicurezza al titolare del trattamento, deve aver investito molto
del suo tempo a studiare, confrontarsi, documentarsi. E dubito che tutti i commercialisti abbiano avuto la possibilità di farlo.
E personalmente non credo nemmeno che gli avvocati, oltre a preparare qualche scartoffia per le liberatorie, i vari consensi, possano essere in grado di fare
una corretta DPIA , necessaria per garantire tutte le prerogative descritte prima.

Personalmente resto ad attendere gli sviluppi, spero che presto vengano pubblicate le sansoni che il garante sta distribuendo ai vari inadempienti, poi vedremo.

controlli guardia di finanza

ISPEZIONI DEL GARANTE

Come nasce un’ispezione

Gli accertamenti ispettivi scaturiscono a seguito di segnalazioni o reclami dei soggetti interessati oppure anche su iniziativa del Garante.

Pertanto, se un’organizzazione ha già ricevuto richieste di informazioni da parte dell’Autorità, sicuramente questo comporta un aumento della probabilità di ricevere una “visita di persona”. La probabilità aumenta ancora di più se le richieste di informazioni si riferiscono all’ambito oggetto del piano semestrale del Garante.

Le attività ispettive sono condotte dal Nucleo Speciale Privacy della Guardia di Finanza. Nei casi più gravi e in cui sono richieste competenze specifiche maggiori, funzionari del Garante procedono personalmente alle ispezioni con o senza il supporto della GdF. Pertanto, sempre in linea generale, laddove l’ispezione sia condotta in prima persona da funzionari del Garante, è legittimo aspettarsi che l’Autorità consideri che la situazione sia già controversa, in tema di rispetto della normativa sulla protezione dei dati personali.

controlli guardia di finanza
controlli guardia di finanza

L’ispezione potrebbe portare a una ulteriore emersione di possibili violazioni in materia. Quindi, in un certo senso, la tipologia del soggetto che procede agli accertamenti ispettivi denota un possibile maggiore o minore livello di consapevolezza dell’Autorità che, nei limiti di budget e di personale, deve decidere a quali operazioni (e operatori) dedicare in prima persona le proprie risorse.

Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione (spesso solo il giorno prima dell’arrivo) ma possono anche avvenire a sorpresa. Nel primo caso, è opportuno che chi controlla la PEC dell’organizzazione (o il fax, se qualcuno lo usa ancora) si renda conto della serietà della questione e avverta subito i vertici, la funzione legal e/o compliance in modo da prepararsi all’arrivo degli ispettori.

Quale che sia il soggetto ispettore, il perimetro dell’ispezione è individuato da un documento che viene notificato al momento dell’accesso in sede: si tratta della “richiesta di informazioni” con cui il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali. La richiesta di informazioni, per esempio, può includere come venga data l’informativa agli interessati, come venga raccolto il consenso ove necessario, come vengano contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati.

Quindi se per caso il Vs occhio si è postato su quest’ articolo, e al momento abbiate dimenticato di rendere la Vs azienda GDPR compliant, potete contattarmi, vi darò consigli su come operare.

Guida rapida al GDPR

La protezione dei dati è fondamentale

I dati personali sono in essere tutte le informazioni che possono identificare una persona o la sua famiglia, e da qui anche le sue abitudini.

Nei documenti scolastici, questi dati sono nome, indirizzo, informazioni di contatto, registro scolastico disciplinare, voti e schede di valutazione, certificati medici, disabilità.
Questo dati sono da considerarsi “personali” anche se il soggetto decide di renderli pubblici.

Una categoria speciale di dati attiene a questioni più sensibili. Nel caso delle scuole, queste comprendono dati biometrici (es. impronte digitali, foto), credo religioso (es. la scelta di non seguire le ore di religione), salute (es. allergie) o prescrizioni alimentari (che possono dare indicazioni su fede religiosa o stato di salute). I dati appartenenti a questa categoria potrebbero quindi rappresentare un rischio per le persone e possono quindi essere elaborati solo a determinate condizioni. Molto probabilmente, le scuole non li possono utilizzare senza il consenso dei genitori degli alunni.

gdpr scuola
gdpr scuola

Conoscere la differenza fra titolari del trattamento dei dati e responsabili del trattamento dei dati
Il GDPR sottolinea l’importanza dei due ruoli, che possono essere ricoperti da individui o enti:

il data controller (titolare del trattamento dei dati) determina i mezzi e gli scopi dell’elaborazione dei dati, mentre il data processor (responsabile del trattamento dei dati) gestisce i dati per conto del titolare. Queste due figure hanno responsabilità legali diverse.

Normalmente, la scuola riveste il ruolo di “titolare”, e deve quindi avere un accordo definito con il “responsabile”. Quest’ultimo può assumere diverse forme e figure: fotografo, società di smaltimento dei documenti, piattaforma di apprendimento online, software. Qualunque operazione condotta da queste figure sui dati è considerata un’elaborazione dei medesimi, anche se automatizzata, e comprende, ma non si limita a, la raccolta, lo stoccaggio, il recupero, la distruzione.

Buone pratiche: controllare i propri dati
Con la nuova legge, le scuole (come tutte le pubbliche autorità) devono designare un Responsabile per la protezione dei dati, cioè una persona dedicata al GDPR, che ha il compito di monitorare le politiche della scuola, fare formazione e controlli, e altro. Le scuole, però, non dovrebbero affidarsi al solo Responsabile per la protezione dei dati per scoprire le falle nel loro sistema. Ecco quindi alcune domande che tutti dovrebbero porsi riguardo ai propri dati:

Per quale motivo si stanno elaborando i dati? Ci sono sei basi giuridiche per elaborare i dati nell’ambito del GDPR. La più rilevante per le scuole è l’interesse pubblico, il che significa utilizzare i dati per eseguire un’azione di pubblico interesse. Tuttavia, i dati raccolti a questo scopo non possono essere riciclati ad altri fini. Per esempio, la scuola non può condividere l’indirizzo mail di un genitore con terze parti che promuovano eventi scolastici affermando che si tratta di “interesse pubblico”. Per condividere questo dato, infatti, la scuola deve rifarsi a un’altra base giuridica, il consenso. Le scuole devono chiedere il consenso anche per aprire un account-studente su un servizio di cloud-hosting.

Quali dati sono conservati dove, e chi vi può accedere? Le scuole devono effettuare controlli sulle loro pratiche di elaborazione dei dati. Quando hanno una panoramica completa dei dati personali a loro disposizione, possono valutare qual è il modo migliore per proteggerli.

Quali misure di sicurezza sono state messe in campo? I furti di dati non sono sempre opera di hacker e software maligni, ma possono anche essere il frutto di un portatile dimenticato in treno o della curiosità di un membro della famiglia. Per questa ragione, il personale scolastico deve conservare i dati personali solo su attrezzature informatiche di proprietà della scuola, usare password forti e impostare il blocco automatico del dispositivo dopo cinque minuti di inattività. Se i dati personali vengono scaricati su un supporto mobile come una chiavetta USB, questo deve essere criptato e protetto da password, e tenuto al sicuro. Il personale scolastico deve anche seguire una formazione su ingegneria sociale, phishing, tecnologie cloud, attacchi ransomware e simili.

Cosa sanno i genitori? Le scuole devono pubblicare e inviare ai genitori una circolare sulla privacy. Questo può essere fatto sotto forma di documento programmatico della scuola, newsletter, report, lettere/email. Nella circolare, la scuola deve dichiarare i dati che raccoglie, la ragione per la quale li raccoglie e le terze parti autorizzate a farlo. Occorre tenere a mente che, entro i termini del GDPR, i genitori e gli alunni hanno il diritto di chiedere di consultare gratuitamente i dati conservati su di loro.

Buone pratiche: informarsi
Non solo gli adulti, ma anche i ragazzi devono riflettere sulla protezione dei dati. Per questa ragione, il Joint Research Centre ha sviluppato un gioco per dispositivi mobili Cyber Chronix, dove i giocatori devono affrontare una serie di ostacoli legati al GDPR su un pianeta futuristico.

Per saperne di più sul GDPR, contatta la tua Autorità garante nazionale.

 

link di riferimento dell’articolo

Presentazione Sito

Il 26 Maggio 2018 è andato in vigore il Testo del GDPR Ufficiale , il regolamento generale sulla protezione dei dati.
Il testo del decreto privacy attuativo del GDPR è stato pubblicato in Gazzetta Ufficiale il 4 Settembre 2018.

Per queste date bisognava già essersi abbondantemente adeguati alla normativa.

Le imprese private,  piccole e grandi,  pubbliche amministrazioni, tra cui in primis le scuole pubbliche e private.

Questo portale ha lo scopo di aiutare il DPO ( Data Protection Officer ) o RPD in italiano ( Responsabile della Protezione dei Dati) , a trovare le risposte a problematiche pratiche.

Inoltre questo portale avrà lo scopo di aiutare un Dirigente Scolastico a scegliere il percorso adatto per garantire la corretta gestione dei dati , cui il dirigente è per assunto Responsabile del Trattamento.

Dei termini :

DPO
Responsabile del Trattamento
Incaricato del Trattamento
Informativa/Consenso
Registro del Trattamento

Nonchè che testo del GDPR e dei vari Considerando, avremo modo di parlarne in pubblicazioni successive.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi