GDPR

Regolamento UE 2016/679
Riservatezza e Sicurezza dei dati personali

PRINCIPI FONDAMENTALI

Dal 25 maggio 2018 è entrato in vigore il nuovo Regolamento generale europeo sulla protezione dei dati: il GDPR (General Data Protection Regulation), un’unica serie di norme sulla protezione dei dati per tutte le imprese che operano nell’UE.

I princìpi fondamentali del GDPR sono:

  • Liceità, correttezza e trasparenza
  • Limitazione delle finalità (determinate, esplicite e legittime)
  • Minimizzazione dei dati (adeguati, pertinenti e limitati)
  • Esattezza (precisi e aggiornati)
  • Limitazione tempo di conservazione
REQUISITI CHIAVE DEL GDPR

Le basi giuridiche del trattamento – Ai sensi del GDPR, i dati possono essere trattati soltanto se sussiste almeno una base giuridica del trattamento.

Le possibili basi giuridiche sono:

  • il consenso prestato dall’utente per una o più specifiche finalità;
  • il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito;
  • il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
  • il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare;
  • il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.
IL REGISTRO DEI TRATTAMENTI

Il titolare è obbligato a redigere il Registro dei Trattamenti, a mantenerlo aggiornatocompleto ed esaustivo delle particolari attività di trattamenti dei dati che svolge all’interno dell’Ente.

MANCATO ADEGUAMENTO AL GDPR

Il mancato adeguamento al GDPR porta a sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’Ente.
Il primo passo da fare è garantire che i propri documenti siano conformi alla normativa.

PER QUALI DATI SI APPLICA
  • Dati personali
  • Dati genetici
  • Dati biometrici
  • Dati relativi alla salute
I DIRITTI DEGLI UTENTI A ESSERE INFORMATI

È obbligatorio fornire agli utenti le informazioni sulle attività di trattamento dei dati che vengono svolte, per iscritto, anche per via elettronica. Le informazioni devono essere concise, trasparenti, comprensibili e facilmente accessibili, scritte in un linguaggio chiaro e semplice e gratuite.

LA NOTIFICA DEL DATA BREACH

Il titolare del trattamento deve informare l’autorità entro 72 ore dal momento in cui viene a conoscenza di una violazione dei dati personali (data breach).

IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD O DPO)

Il RPD o DPO è la nuova figura OBBLIGATORIA per tutti gli Enti locali prevista dal GDPR, il cui ruolo comprende l’assistenza al titolare del trattamento per il controllo della conformità interna del Regolamento europeo e per la supervisione e l’attuazione di precise strategie di protezione dei dati personali.

IL DATA PROTECTION IMPACT ASSESSMENT (DPIA)

Il Data Protection Impact Assessment aiuta il titolare a rispettare efficacemente il GDPR e a garantire che i princìpi di responsabilità, privacy by design e privacy by default, siano effettivamente messi in pratica all’interno dell’Ente. Attraverso i processi di DPIA l’Ente riduce i rischi per la sicurezza dei dati degli utenti e il rischio di sanzioni e di danni reputazionali che potrebbero verificarsi con la perdita di dati personali.

Il servizio Enti Locali e Privacy

Adeguarsi al GDPR all’interno dell’Ente è una vera e propria sfida. Anci Digitale permette all’Ente di essere conforme alla normativa e di tenere traccia e descrivere:

  • i dati che vengono raccolti
  • le finalità del trattamento
  • le basi giuridiche del trattamento

Inoltre Anci Digitale configura con l’ENTE i documenti necessari all’adeguamento al GDPR ed in particolare:

  • le politiche di data retention per ogni attività di trattamento
  • le nomine dei Responsabili del trattamento
  • le misure di sicurezza adeguate
  • le informative e le policy
  • l’aggiornamento dei Regolamenti interni
  • la configurazione delle lettere agli Incaricati e ai Responsabili del trattamento
  • l’individuazione delle misure di sicurezza e la valutazione dei rischi
  • la predisposizione della DPIA

Lo Staff di Anci Digitale e il pool di Esperti forniscono un’assistenza continua e un aggiornamento del sistema e della documentazione privacy in concomitanza con l’evoluzione del quadro normativo.

Il Servizio ELP Enti Locali e Privacy di Anci Digitale offre all’Ente:

  • adeguamento completo al GDPR e il monitoraggio del sistema di gestione privacy;
  • assunzione del ruolo di Responsabile della Protezione dei Dati (RPD) – Data Protecion Officer (DPO);
  • predisposizione del Registro delle attività di trattamento
  • corsi di formazione sul GDPR per Dirigenti/Funzionari, personale incaricato al trattamento;
  • predisposizione del Regolamento sulla Videosorveglianza (ad es. per installazione telecamere, body cam, foto trappole);
  • elaborazione DPIA per i trattamenti che prevedono l’uso di nuove tecnologie che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
RESPONSABILE PROTEZIONE DATI ESTERNO

La figura del  Responsabile per la protezione dei dati (obbligatoria nelle PA) seguirà l’ente e il suo titolare in tutto il processo di cambiamento. il responsabile per la protezione dei dati prevede lo svolgimento dei seguenti compiti:
•    informare e fornire consulenza al titolare;
•    sorvegliare l’osservanza del regolamento;
•    fornire un parere sulla valutazione di impatto (DPIA) e  sorvegliare svolgimento;
•    cooperare con autorità di controllo;
•    formare il personale.

FORMAZIONE

Giornate di formazione in presenza, rivolte ai dirigenti, funzionari, incaricati al trattamento dei dati, vengono modellate in base alle esigenze dell’ente.

SOS – PRIVACY

Fino a 5 quesiti annui gratuiti con risposte qualificate da parte di esperti in materia privacy del servizio Anci Risponde. Help-desk di primo e secondo livello a supporto dei Comuni.

LABORATORIO PRIVACY
  • inventario dei trattamenti e gestione del registro;
  • elaborazione e diffusione della modulistica interna ed esterna (informative);
  • tool di valutazione dei rischi;
  • registro delle violazioni della sicurezza e modelli delle relative notificazioni/comunicazioni;
  • nomine delegati interni;
  • nomine autorizzati al trattamento;
  • piano di formazione degli autorizzati;
  • contratto con i responsabili esterni del trattamento;
  • nomina e contratto con rpd;
  • piano di miglioramento (remediation plan);
  • modello di esercizio dei diritti dell’interessato;
  • sopralluogo di valutazione in loco*;
  • elaborazione modulistica personalizzata;
  • supporto alla gestione del sistema privacy.