PRIVACY: LE TRE PRIORITÀ PER LE PP.AA.
26In materia di privacy, occorre tenere presente che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento europeo sulla protezione dati e, per il principio di “responsabilizzazione” (cd. accountability), i titolari del trattamento saranno tenuti ad assicurare e comprovare il rispetto dei principi applicabili al trattamento dei dati personali.
Anche le PP.AA. dovranno adeguarsi e per evitare di non farsi trovare pronte allo scoccare dell’ora “x”, il Garante per la Privacy ha indicato le tre priorità assolute che si analizzano di seguito.
Designazione del Responsabile della protezione dei dati
Occorre designare un Responsabile della protezione dei dati, in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati: tenendo presente dei tempi necessari per la nomina (soprattutto se si opta per la nomina di un soggetto esterno) bisogna darsi da fare al più presto.
Si rammenta che è ammessa la designazione di un unico RPD per più Amministrazioni/Enti, tenuto conto della loro struttura organizzativa e dimensione.
Il RPD o DPO (Data Protection Officer) deve essere coinvolto in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase transitoria.
La figura deve:
- riferire direttamente al vertice dell’Amministrazione;
- essere indipendente (non deve ricevere istruzioni per quanto riguarda l’esecuzione dei compiti);
- essere automa e per questo l’Amministrazione deve attribuirgli risorse umane e finanziarie adeguate.
Istituzione del Registro delle attività di trattamento
Ai sensi dell’art. 30 del Regolamento occorre istituire il c.d. “Registro dei trattamenti” e per fare questo le PP.AA. devono avviare quanto prima la ricognizione dei trattamenti svolti e delle loro principali caratteristiche, ovvero:
- finalità del trattamento;
- descrizione delle categorie di dati e interessati;
- categorie di destinatari cui è prevista la comunicazione,;
- misure di sicurezza;
- tempi di conservazione;
- ogni altra informazione che il titolare ritenga opportuna al fine di documentare le attività di trattamento svolte.
Notifica delle violazioni dei dati personali
Le Pubbliche Amministrazioni dovranno, inoltre, notificare tutte le violazioni dei dati personali (cd. data breach) al Garante per la Privacy entro 72 ore da quando ne vengano a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Inoltre, nel caso in cui la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrà comunicare la violazione anche agli interessati, senza ingiustificato ritardo.
Ad ogni modo, il titolare del trattamento dovrà documentare qualsiasi violazione dei dati personali, comprese le relative circostanze, le sue conseguenze ed i provvedimenti adottati per porvi rimedio.
La documentazione inerente, consentirà all’autorità di controllo di verificare il rispetto della normativa.
Alla luce di quanto sopra diventa necessario anche attivare nuove misure relative alle violazioni dei dati personali, tenendo in considerazione i criteri di attenuazione del rischio ed individuando quanto prima idonee procedure organizzative per dare attuazione alle nuove disposizioni.