GDPR e Pubblica Amministrazione: ecco come il tuo Ente deve iniziare a organizzarsi…

GDPR e Pubblica Amministrazione

… per avere la certezza di attuare tutte le direttive del Regolamento Europeo nel modo corretto ed essere sicuro di rispettare le scadenze normative evitando le sanzioni amministrative pecuniarie.

Sicuramente in questo momento il Regolamento Europeo sulla Privacy (GDPR) non è tra le tue priorità perché vedi la scadenza di fine maggio molto lontana e credi quindi che c’è ancora molto tempo per organizzarti.

Non voglio spaventarti ma una cosa è certa: tra 2 mesi dovrai essere pronto ad attuare tutte le nuove e complesse direttive europee, senza possibilità di proroghe o rettifiche.

Quindi è proprio adesso il momento giusto per iniziare a prendere le prime decisioni senza correre il rischio di mancare questa ennesima e fondamentale scadenza normativa.

Leggi come questo tuo collega ha già iniziato a informarsi per sapere quali sono le direttive più urgenti da applicare e per sapere come deve organizzare il suo Ente.

Giovedì 1 marzo arrivo in questo comune di 5.283 abitanti e lascio la macchina nel cortile del palazzo comunale.

Anche se per entrare sono pochi passi, non oso scendere dalla macchina. Il cruscotto segna meno 3 gradi e sta anche nevicando. Fortunatamente le strade erano abbastanza pulite ma il paesaggio è completamente bianco.

Dovrebbe iniziare a sentirsi l’aria primaverile invece fa freddissimo e sembra inzio gennaio!

Prendo coraggio e abbandono il calduccio della macchina per entrare in comune.

La forza mi servirà anche per affrontare la mattinata: ho appuntamento con il segretario comunale per parlare del Regolamento Europeo della Privacy (GDPR).

Devo ammettere che ero abbastanza stupito quando settimana scorsa mi ha chiamato per chiedermi se potevamo parlarne.

Purtroppo è un argomento ancora troppo poco conosciuto, di cui i comuni non se ne stanno preoccupando minimamente.

Il Segretario mi fa accomodare nel suo ufficio e la prima cosa che mi chiede è di spiegargli bene cos’è questo nuovo regolamento.

Prima di capire cosa deve fare per adeguarsi vuole capire di cosa stiamo parlando.

E ne sono contento perché è uno dei pochi il cui primo pensiero non corre alle possibili sanzioni (che anche in questo caso sono previste) ma vuole conoscere per poi organizzarsi nel modo corretto.

“E’ l’ennesima scadenza normativa a cui mi devo adeguare, giusto?”

Sì, purtroppo tra le varie scadenze e gli innumerevoli cambiamenti di questo periodo, c’è anche una completa revisione in materia di Privacy.

E’ richiesta dall’Europa ma diventa assolutamente essenziale anche nel panorama italiano vista la rivoluzione digitale del CAD che introduce nuovi strumenti per il trattamento dei dati e che il nuovo ambiente in cui si opera (digitale) deve comunque garantire la sicurezza dei dati stessi.

Parliamo quindi di GDPR.

Non hai ancora sentito nominare questa, ennesima, sigla?

E’ l’acronimo di General Data Protection Regulation (GDPR), ovvero il Regolamento Europeo della Privacy.

Il numero 679/2016 che è entrato in vigore il 24 maggio 2016 e deve essere recepito entro due anni.

Questo vuol dire che ogni Stato membro dell’Unione Europea ha tempo fino al prossimo 25 maggio per adeguarsi agli obblighi imposti e adottare quindi le giuste soluzioni e i giusti provvedimenti.

Oggi ogni Stato ha un proprio codice privacy e gestisce la materia in modo autonomo.
In Italia per esempio è il D.Lgs. 196/2003.

Dal 25 maggio 2018 non sarà più così!

La normativa da rispettare sarà unica e soprattutto ci sarà un’autorità capofila che tratterà i casi di violazione.

Il GDPR può essere definito come il ‘pacchetto protezione dati’ che ha lo scopo di garantire un quadro unico e coerente in materia di protezione delle persone con riguardo al trattamento dei loro dati personali.

Laddove c’è un trattamento di dati personali, il Regolamento entra in gioco.

Tutte le pubbliche amministrazioni devono necessariamente adeguarsi al GDPR…

Cogliendo l’occasione per riorganizzare anche i processi interni!

Il testo del Regolamento è abbastanza complicato ma cerchiamo di capire quali sono le principali novità introdotte e quindi i primi provvedimenti urgenti da adottare:

  • nomina del Responsabile della Protezione dei Dati: RPD è l’acronimo italiano ma sentirai parlare anche di DPO che è la sigla inglese che individua però la stessa figura. Quindi non spaventarti e non confonderti: la figura da nominare è una sola. E’ previsto dall’art. 37, il nominativo deve essere comunicato al Garante della Privacy  ma non deve necessariamente essere individuato all’interno del tuo Ente: può essere nominato tra il personale in servizio o tra i membri dell’amministrazione oppure essere una figura esterna che presta servizio di affiancamento. La caratteristica principale che deve avere però riguarda le competenze e le conoscenze. Devono infatti essere specifiche in materia di privacy e soprattutto deve conoscere il RGPD approfonditamente per garantirne la corretta applicazione
  • istituzione del Registro delle attività di trattamento: Seguendo le indicazioni dell’art. 30, devi istituire un registro in cui sono censite tutte le attività svolte all’interno del tuo Ente che prevedono il trattamento dei dati personali. Devi indicare per ognuna le caratteristiche, le modalità e le finalità di trattamento e soprattutto tutte le misure che stai adottando o che hai in programma di adottare per garantire sempre la massima sicurezza dei dati
  • notifica delle violazioni dei dati personali: Come previsto dall’art.33, devi segnalare tempestivamente al Garante della Privacy ogni data breach, ovvero ogni violazione che ha potuto coinvolgere i dati personali che tratti quotidianamente e che quindi ne ha potuto mettere a rischio la sicurezza. La segnalazione deve essere fatta non appena ne vieni a conoscenza e comunque non oltre 72 ore dalla violazione ed è necessaria in modo che il Garante possa mettere in atto tutte le azioni di salvaguardia per i dati violati.

Il GDPR è estremamente complesso ma a te non è richiesto di studiare tutti gli articoli che lo compongono e quindi di conoscerne perfettamente ogni aspetto.

Questo lo farà il RPD per te, che è nominato apposta per guidarti nel rispetto del Regolamento. Sarà lui infatti a darti la formazione specifica e a seguirti passo passo per garantirtene la giusta applicazione.

Un ultimo e fondamentale concetto devi però saperlo e soprattutto tenerlo presente d’ora in poi quando affronterai il discorso privacy nel tuo Ente: il “data protection by default and by design“.

Aiuto, ma che cos’è?

Il nome, che sembra estremamente complesso, riassume quanto detto e quelli che sono i principi fondamentali del nuovo Regolamento.

Devi infatti configurare le procedure che coinvolgono un qualsiasi trattamento di dati prevedendo fin da subito (by default) tutte le azioni indispensabili per tutelare i diritti degli interessati e ridurre i rischi, tenendo conto del contesto.

Lo devi fare però fin dalla progettazione della procedura (by design), quindi prima di attuare qualsiasi trattamento, analizzando gli strumenti che si usano e i comportamenti che si adottano.

L’ambiente in cui lavori e tratti i dati deve avere le giuste misure di sicurezza ed è una delle prime cose a cui devi pensare.

Il tuo Ente si sta organizzando per adottare e realizzare questi primi provvedimenti urgenti?