20180512_1045101Si è svolto a Pergusa l’importante seminario sul nuovo regolamento Europeo 2016/679, organizzato dall’avis Regionale Sicilia in collaborazione con le sedi provinciali. Tre gli illustri relatori Gli avvocati Domenico Alfonzo, Claudia Calafiore e Salvatore Calafiore che hanno direzionato il regolamento sull’utilizzo dei dati sensibili verso l’applicazione nelle UdR di Raccolta fisse e mobili, i centri di promozione e le avis di II eIII livello.

Con il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio 2016 inizia una nuova stagione per i diritti dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”.

Il testo del regolamento abroga la direttiva la Direttiva 95/46/Ce in materia di protezione dei dati personali /privacy, concepita in un periodo nel quale solo una minima parte  della popolazione europea (nella percentuale del 1%) utilizzava internet e non esistevano social media, tablet, app e gli scenari e gli effetti della moderna e l’ attuale società della sorveglianza elettronica nella quale sono gli stessi cittadini che pubblicano, più o meno inconsapevolmente i propri dati personali sulle piattaforme on line e social media.

 

Il regolamento è entrato in vigore il 24 maggio 2016[i] ma troverà applicazione negli Stati solo alla data del 25 maggio 2018[1]: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.

Gli impatti del regolamento ue 2016/679 su cittadini e PA

I cittadini, con le nuove disposizioni, sono al centro del sistema; sono riconosciuti ai cittadini: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllare, il diritto di essere informato sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei loro dati.

Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone,  l’ identità e la libertà delle stesse.

I cittadini hanno il diritto di essere avvertiti dalle pubbliche amministrazioni e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario).

I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento.

Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale di mettere una firma per presa visione dell’informativa o per il consenso al trattamento di dati sanitari: con il regolamento si torna alla concretezza.

Le pubbliche amministrazioni hanno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati.

Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle pa.: viene abrogato l’adempimento della notificazione preliminare al Garante privacy,  dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati  genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi  sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc..).

 Con il nuovo testo del regolamento in materia di protezione dei dati personali entra nel nostro ordinamento il “principio di accountability” (obbligo di rendicontazione): le pubbliche amministrazioni titolari del trattamento dei dati devono dimostrare:

– di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e, costantemente riviste e aggiornate e che le proprie attività;

– trattamenti sono conformi con i principi e le disposizioni del regolamento europeo, compresa l’efficacia delle misure.

Il regolamento prevede chel’adesione ai codici di condotta (v.art.40) o a un meccanismo di certificazione (v. art.42) può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento (altri elementi di forte innovazione rispetto alla normativa precedente).

Al fine di poter dimostrare la conformità alle disposizioni del regolamento, viene previsto l’obbligo del titolare o del responsabile di tenuta di registro delle attività di trattamento effettuate sotto la propria responsabilità con relativa descrizione delle misure di sicurezza (art. 30).

In riferimento al profilo della sicurezza del trattamento, il regolamento prevede (v.art. 32) che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.  Il profilo del costo di attuazione delle misure di sicurezza costituisce una novità importante per il nostro ordinamento.

Il dpo del regolamento ue 2016/679

Il regolamento introduce nel nostro ordinamento una nuova figura il “data protection officer” (responsabile della protezione dei dati personali) che le pubbliche amministrazioni hanno l’obbligo di nominare al proprio interno e deve sempre essere “coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

Il data protection officer (DPO) deve essere in possesso di specifici requisiti: competenza, esperienza, indipendenza e autonomia di risorse, assenza di conflitti di interesse e dovrà presidiare i profili privacy organizzativi attraverso un’opera di sorveglianza sulla corretta applicazione del regolamento europeo, della normativa privacy e sulla normativa interna, sull’attribuzione delle responsabilità, informazione, sensibilizzazione e formazione del personale, informazione, consulenza e rilascio di pareri.

Il data protection officer che potrà essere sia interno che esterno all’ente sarà tenuto a presidiare i profili privacy, cooperare con l’Autorità Garante e riferisce direttamente al vertice gerarchico del titolare del trattamento.

Il Data protection officer costituisce un punto di riferimento e di contatto per i cittadini che possono rivolgersi per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal regolamento europeo. L’identità ed i dati di contatto del data protection officer devono essere riportati, nell’ottica di trasparenza verso i cittadini, nell’informativa privacy (art. 13, primo comma, lett.b) da rendere prima del conferimento dei dati da parte dei cittadini, devono essere pubblicati sul sito dell’ente (art.37) e contenuti anche nel registro dei trattamenti.

Nell’eseguire i propri compiti il data protection officer considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Il testo prevede inoltre un rafforzamento dei poteri delle Autorità Garanti nazionali e uninasprimento delle sanzioni amministrativo a carico di imprese e pubbliche amministrazioni: nel caso di violazioni dei principi e disposizioni del regolamento, le sanzioni, in casi particolari possono arrivare fino a 10 milioni di euro o per le imprese fino al 2%-4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Nei due anni di transizione verso l’applicazione del nuovo regolamento privacy,  il Garante per la protezione dei dati personali svolgerà un ruolo chiave, nella complessa opera di armonizzazione delle normativa nazionale in materia di protezione dei dati personali oggi vigenti e dei propri precedenti provvedimenti generali dal forte impatto sulle pubbliche amministrazioni (posta elettronica ed internet, videosorveglianza, amministratori di sistema, trasparenza on line) rispetto ai nuovi principi, istituti e responsabilità previsti dal nuovo testo.

Il regolamento costituisce un punto di partenza verso il traguardo comune di un livello uniforme ed elevato di protezione dei dati personali dei cittadini al fine di rafforzare la fiducia, la certezza legale e la concorrenza nell’ottica di costruire un nuovo dialogo con i cittadini, sviluppare servizi on line, attraverso l’aumento della fiducia delle persone nelle transazioni o line.

La protezione dei dati personali, costituisce, alla luce del nuovo regolamento, una pietra angolare nella progettazione dei servizi, programmi, software e dei processi aziendali anche delle pubbliche amministrazioni.

Il regolamento richiede alle pubbliche amministrazioni di andare oltre le regole e gli aspetti formali: i dirigenti, funzionari devono essere attori di un profondo cambiamento culturale con forte impatto organizzativo nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line) nelle organizzazioni pubbliche.

 

 

(Fonte: sito Avis Sicilia)