Precisazioni sul GDPR: Modulistica, notifica e nomine ecc.

file-8dy5pIIBVM.png

In molti, tra i nostri iscritti, collegi territoriali e professionisti anche di altre categorie, ci stanno richiedendo informazioni circa il GDPR. Si è pertanto deciso di mettere a disposizione le informazioni utili con questo nuovo articolo. L'argomento notifica è stato già trattato qui, ma l'interesse suscitato è stato talmente elevato da produrre una serie di domande nell'area d'assistenza che necessitavano di chiarimenti. Da qui l'esigenza di scrivere un nuovo e più esauriente articolo sull'argomento. Fughiamo subito un dubbio: il GDPR riguarda da vicino chiunque tratti dei dati, ne va da se che, facendo un esempio estremo, anche il gelataio tratterà indubbiamente i dati del proprio fornitore (telefono, indirizzo ecc), probabilmente non avrà tutti i dati dei clienti, ma sinché c'è di mezzo anche un solo dato personale che non sia il proprio egli sarà tenuto all'adozione dei comportamenti previsti dal GDPR.

Ecco, è bene chiarire un aspetto: in italia esisteva - ed esiste - una regolamentazione specifica che è descritta e definita dal Decreto Legislativo 196 del 2003. Si tratta di un Codice, massima espressione della giurisprudenza italiana, che al pari del Codice della strada o del Codice civile non può essere disatteso. In tale Codice sono dettagliatamente descritte una serie di operazioni e comportamenti che permettono di preservare i Dati da furto e distruzione. In più nel Codice Privacy ci sono dettami per i quali devono essere garantiti sistemi di ripristino tali da tornare operativi in pochissimo tempo. Il GDPR si sovrappone ad esso, in alcuni punti in modo lineare, in altri invece in modo un pò disorganico e questo genera non pochi dubbi: a chi dar ragione? Vediamo ora nel dettaglio cosa occorre fare e redigere per essere aderenti alle normative.


Infrastrutture informatiche e fisiche

I dati informatici devono essere conservati in modo tale da provare che, in caso di evento calamitoso o furto, si sia fatto tutto il possibile per prevenirne la diffusione o la perdita. Concretamente però, che vuol dire questo? Beh, già il DLGs 196/3 dava delle direttive, che di certo non erano il "salvo tutto su una chiavetta usb e spero nella provvidenza". Diamo per certo che tutti abbiano già da tempo aderito alla scelta di dotarsi di calcolatori ben stabili, magari con sistema di backup su vari supporti esterni quali Nas e Cloud, sistemi anti intrusione quali firewall ed antivirus, antispyware ed antimalware, si utilizzi un sistema operativo aggiornato, siano stati banditi i software illegali (quelli "craccati", per usare un termine più noto) e che venga effettuata una manutenzione costante. Questo infatti in estrema sintesi diceva (e dice) la 196/3. Poi ognuno può scegliere di dotarsi di calcolatori in rete con o senza server, a seconda delle proprie esigenze, ricordando che il server va considerato con almeno due dischi in Raid per aumentare la tolleranza agli errori. Ognuno può scegliere se usare le soluzioni di protezione integrate nei sistemi operativi o se sia più utile rivolgersi a produttori di terze parti. L'importante è che in caso di contenzioso, si riesca a dimostrare che s'è fatto tutto il necessario per prevenire il danno... e che non si sia tralasciato nulla. Sarebbe infatti, come dire ..."spiacevole"... perdere una causa civile o penale perchè il salvataggio dati avveniva su un hard disk esterno, e che lo stesso sia stato portato via da un dipendente per usarlo come archivio di canzoni e film...

Stesso discorso vale per le copie cartacee, anche li in caso di furto o danno si deve dimostrare di aver fatto tutto il possibile, ad esempio utilizzando armadi con serratura, meglio se ignifughi, dotandosi di sistema di videosorveglianza, porte blindate e sistemi di allarme, ed affidandosi magari alla conservazione sostituiva in PDF in caso di danno... Ma ripeto, son tutte cose che di sicuro sono state già adottate, così come il Codice Privacy prevede... o No?


Modulistica, manuali e nomine

Facciamo anche qui un pò di chiarezza: La redazione del manuale che descrive i rischi e le contromisure, le nomine, i registri e più in generale la tenuta dei dati (informatici e fisici) in modo da assicurarne l'integrità e la privacy son dovuti per legge. Questo tanto per il GDPR quanto per il preesistente DLgs 196/03. Ecco, li vengono date delle specifiche molto più restrittive del GDPR, ma in entrambi i casi, se le competenze previste per la nomina dell'incaricato sono già presenti all'interno dell'ente, non occorre utilizzare figure esterne. Idem dicasi per le certificazioni, titoli di studio ecc.
Allo stato attuale NON è richiesta obbligatoriamente una figura con uno specifico titolo accademico e/o certificazione. Sicuramente è consigliabile ma non è obbligatorio. Pertanto un incaricato al trattamento può essere tranquillamente qualcuno del personale interno oppure un consulente esterno, la scelta è assolutamente libera. Un titolare inoltre, può essere anche incaricato e responsabile dei dati, solitamente questa applicazione trova ragion d'essere in piccole aziende o ditte individuali. Facciamo il caso di un collegio territoriale: se ci sono più figure professionali, sarebbe utile diversificare i ruoli. Dico sarebbe utile perché, stando ad una attenta lettura del GDPR, non si ravvisa alcun obbligo di nominare più figure se non necessario. Ovviamente chiunque accede ai dati deve comunque essere incaricato e/o nominato per poter gestire tali informazioni, e soprattutto deve averne la competenza. E' stata rivolta una interessante domanda circa le incompatibilità con ruoli preesistenti... Bene, trattandosi di incarichi di natura legata al trattamento dati, non c'è incompatibilità fra queste nomine ed altre esistenti, proprio perché di natura differente, per cui, facendo un esempio, un segretario o un tesoriere può tranquillamente essere anche un incaricato al trattamento dei dati (purchè ripeto, ne abbia le competenze).
Spenderei ora due parole sul "Manuale": questo va redatto e conservato, ma non va inviato a alcuno e non sembra esserci l'obbligo di una sua pubblicazione online. il GDPR non sembra richiederlo... odio usare il condizionale ma su questo argomento verranno fornite ulteriori informazioni non appena avremo risposte ufficiali dall'ufficio relazioni pubbliche del Garante con il quale stiamo interagendo. Il "manuale" (diamo questo nome all'insieme di documentazione da produrre) dovrà essere esibito in caso di attività ispettiva per verificare quanto scritto con quanto attuato in realtà. Il manuale può essere redatto all'interno del collegio territoriale, dello studio del Perito Agrario quale professionista se chi lo redige ne ha le competenze, in alternativa esistono molte Aziende cui affidarsi, che si stanno occupando di effettuare uno screening della realtà in corso, definendo rischi e contromisure, redigendo così tutto il necessario. Attenzione ovviamente anche qui a chi ci si affida, ed a non credere che il materiale che il CNPAPAL ha fornito sia completamente esaustivo e non necessiti d'altro: esso funge da canovaccio e va comunque "incarnato" nelle varie realtà.
Se consideriamo l'organizzazione e la formalità, il nuovo Regolamento Europeo obbliga di fatto a ridefinire la parte documentale del D.Lgs. 196/2003 ma se guardiamo alla sostanza, molti dei suoi aspetti vengono ad essere confermati, al limite ne cambia la forma. Ecco gli elementi alienti di contatto/differenza:

  • "L'informativa" resta identica e contiene le stesse identiche informazioni. chi si è già allineato alla 196/3 non dovrà far nulla se non aggiungere che quel documento è anche i ottemperanza al GDPR;
  • il "diritto all’oblio" in passato era un elemento già trattato ed era espresso nella sezione "diritti dell’interessato";
  • Il "come" trattare i dati ed i principi di liceità sia nel trattamento dati che nella ricezione del consenso ha le medesime forze motrici della 196/3 ;
  • Il piano di miglioramento della legge italiana sulla privacy è di fatto il nuovo PAM (Piano adeguamento minimo) ;
  • I vari registri e nomine sono molto simili al vecchio DPSS, ma qui c'è una particolarità:

Il Decreto Legislativo 196/3 vuole firme e "data certa" e, pur non essendo più obbligatorio da qualche anno, vorrebbe la redazione dettagliata di un Documento Programmatico sulla Sicurezza che descrive molto nel dettaglio come devono essere trattati i dati, documento che andrebbe anche qui con firma data certa ed anche in questo caso non va inviato a nessuno. il GDPR invece non richiede data certa e non sempre è necessaria la firma, ad esempio nella nomina dell'incaricato al trattamento.
E qui sorge il dubbio: chi ha ragione? A quale dei due direttive occorre sottostare? Eh, al momento non è chiarissimo, la 196/03 avrebbe già dovuto essere adottata da tutti, ma nei fatti non è così, il GDPR si sarebbe ben sposato con essa, ma essa non è stata completamente adottata... qui si aprono scenari particolari... In realtà, è facile presumere che non essendoci al momento estrema chiarezza nei casi in cui il GDPR e la 196/3 non vadano di pari passo, la parola finale spetterà a quel giudice che, in fase di contenzioso ed in grado di cassazione, dovrà necessariamente emettere una sentenza che diverrà da quel momento giurisprudenza.


Notifica

La notifica al garante, quella descritta in questo articolo - è bene chiarirlo - è dovuta solo a chi possiede un sito web che usa i dati dei navigatori per PROFILAZIONE, utile ad esempio a scovare gusti, interessi ed altro, nonché a gestire attività di newsletter, ecommerce ed in genere iscrizioni al sito (come quelle dei professionisti ad esempio). Rientrano in questo caso anche i form che permettono di inviare email e contatti in modo automatizzato o i software di CRM residenti su server raggiungibili dal web.
Il punto, e qui io sono in attesa di chiarimenti dal Garante E qui ho ottenuto informazioni direttamente dall'ufficio del Garante,  è che non tutti i siti web hanno queste peculiarità di profilazione; magari son presenti cookies tecnici ma non di profilazione. Diverse piattaforme Opensource sulle quali son basati i siti web (tipo Wordpress e Joomla) si stanno adattando a questa normativa, gli sviluppatori sono al lavoro infatti, ma al momento in cui scrivo non sono da considerarsi perfettamente GDPR compliant. Di per certo però, se un professionista o un collegio NON possiede un suo sito web, o non fa profilazione online, non è tenuto alla notifica.

Il sito del Collegio Nazionale, essendo creato in Joomla, sarà a giorni completamente aderente alla normativa poiché (a parte le estensioni già allineate) con la versione 3.9 i problemi di profilazione saranno tutti a norma GDPR: il Core stesso della piattaforma verrà ad essere modificato per tale scopo. Nel caso del CNPAPAL la notifica al garante è già stata fatta (del resto trattando l'albo unico, le newsletter, la piattaforma di e-learning e l'assistenza online... il tutto in gestito in modalità semiautomatica... non ci siam nemmeno posti il problema, era ovvio che si trattassero i dati degli iscritti e si facesse profilazione utile agli scopi della professione di perito agrario).

Per quanto riguarda il vari siti del Territoriali, ed i professionisti che dovessero avere un website proprio, sarebbe caldamente consigliabile chiedere al proprio webmaster lo stato delle cose, ossia sapere se il sito è "GDPR compatibile", magari facendosi rilasciare una dichiarazione che contenga la tecnologia usata, e se avvengono procedure di profilazione... Poichè la mancanza di notifica, la dove essa dovesse essere invece necessaria, comporta pesanti sanzioni.

Profilazione

Che cosa si nasconde dietro questa parola? Semplifico il più possibile: una qualunque operazione che serva ad identificare dati non ceduti in modo espressamente noto dall'interessato al trattamento. Ci avete capito qualcosa? No, vero? ok, faccio un esempio così risulta più chiaro:

  • Caso A) Mi registro in un sito e chiedo di essere informato delle novità tramite newsletter? Ok, ho prestato il mio consenso, e non c'è profilazione.
  • Caso B) Mi registro in un sito e chiedo di essere informato delle novità tramite newsletter? Presto il mio consenso ma, a mia insaputa, il sito capisce anche in che area del pianeta mi trovo e mi colloca in una lista territoriale. Ecco, qui c'è profilazione.

In estrema sintesi, se in qualche modo il sito Web fa raccolta di dati non espressamente descritti in modo palese all'atto dell'uso del sito stesso, attraverso l'uso di cookies o tecnologie simili, è necessario notificare al garante. Questa informazione, se si fa profilazione o meno, potrà darla solo chi ha sviluppato il sito.

Diverso è il caso di profilazioni fatte da organismi esterni, tipo le Google Analytic: in quel caso è Google a dover notificare la cosa (e l'ha già fatto), l'unico obbligo che ha il proprietario del sito è quello di scrivere di questa cosa nell'informativa che deve essere presente nel sito web. Ogni sito internet, che abbia o meno tecnologie di profilazione, è tenuto a dire che si stanno usando i cookies. ed anche a dare una informativa completa di come questi cookies siano gestiti, a che servano e cosa facciano. Avete presente quella dicitura che appare a chi non ha mai visitato www.peritiagrari.it, con fondo bianco ed in basso? Ecco, quella. La normativa vuole anche che, una volta prestato il consenso, quella finestrella sparisca e venga riproposta solo dopo un tempo definito dal proprietario del sito (nel nostro caso ogni 12 mesi). Se i vostri siti non hanno questo accorgimento meglio implementarlo subito.

 
Come al solito questo articolo viene integrato e corretto man mano che dovessero essere rilevante imperfezioni, aggiornamenti e quant'altro utile a fornire una corretta informazione, e per questa ragione siamo aperti anche a vs. suggerimenti. Buon Lavoro.

 

Fabio Crudele - M.C.S.E.
ref. nazionale Information Technology CNPAPAL

  • Creato il .
  • Visite: 601