Articoli

PA “bocciata” al test di conformità al GDPR: è il settore più sanzionato

PA e GDPR compliance: quali criticità?

In base ad una ricerca condotta nel corso del 2019, la Pubblica Amministrazione si dimostra il settore più colpito dalle sanzioni per violazione della normativa sulla protezione dei dati personali nel corso del 2019.

Come è noto, il settore pubblico è tenuto ad operare un costante bilanciamento tra protezione dei dati personali e trasparenza, al fine di garantire il buon andamento e l’imparzialità dell’Amministrazione.

In base all’analisi dei molteplici provvedimenti del Garante per la protezione dati, le questioni più critiche riguardano:

  • Assenza di adeguate misure di sicurezza ex art. 32 GDPR;
  • Inadeguatezza del proprio sistema gestionale e documentale;
  • Pubblicazione di dati non necessari o non pertinenti, in contrasto con i principi previsti all’art. 5 GDPR;
  • Ostensione di dati e informazioni oltre il termine legale, comportando l’esercizio dei diritti dell’interessato ai sensi degli artt. 15 – 22 GDPR.

 

Le ripetute violazioni del GDPR da parte delle Pubbliche Amministrazioni costituiscono ben il 17% del totale delle sanzioni amministrative pecuniarie irrogate nel corso del 2019, e già alla fine di gennaio 2020 questo trend sembra trovare puntuale conferma.

A metà gennaio, infatti, il Garante per la protezione dati ha emanato una nuova ordinanza ingiunzione, con cui ha comminato una sanzione amministrativa pecuniaria pari a 10 mila euro per violazione del GDPR. In particolare, all’ente comunale destinatario del provvedimento (Comune di Francavilla Fontana) è stata contestata la condotta di illecita pubblicazione di dati nell’albo pretorio online, a causa della di una determinazione dirigenziale in cui risultavano riportati anche dati e informazioni personali del reclamante. In particolare, la determina conteneva dettagliati riferimenti:

  • alle relative infermità per cause di servizio;
  • l’indicazione che lo stesso aveva diritto all’equo indennizzo per un certo importo;
  • le coordinate IBAN dell’avvocato incaricato dall’Ente.

 

Il Comune si è attivato per rimuovere i dati personali dei soggetti interessati appena ricevuta la richiesta di informazioni da parte del Garante, attuando un comportamento collaborativo con l’Autorità al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi. Inoltre, sono state messe in atto diverse misure tecniche e organizzative messe in atto ai sensi degli artt. 25-32 del RGPD. Tale comportamento è stato valutato positivamente dal Garante, che ne ha tenuto conto ai fini di una minor determinazione della sanzione amministrativa pecuniaria.

 

Come rendersi GDPR compliant? I percorsi formativi e i servizi di consulenza suggeriti da Hedya

 

Il caso sottoposto all’attenzione del Garante dimostra che l’applicazione delle prescrizioni contenute nel GDPR risulta ormai imprescindibile, e che l’assenza di formazione ed informazione costituisce uno dei primi fattori di criticità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

 

/da

Garante Europeo: assicurare la protezione dei dati anche nell’ambito della ricerca scientifica

GDPR e ricerca scientifica: un binomio necessario?

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato, lo scorso 6 gennaio, una Preliminary Opinion on data protection and scientific research.

Il documento si propone di condurre un’analisi sulla protezione dei dati personali nell’ambito delle attività di ricerca scientifica: sono indicate, pertanto, una serie di raccomandazioni per garantire che tali attività siano svolte secondo canoni di correttezza e liceità.

Tale pubblicazione, sebbene ribadisca che per la ricerca scientifica sussistono, in presenza di opportune misure di garanzia, alcune deroghe agli obblighi previsti dal GDPR per i Titolari del trattamento, pone l’attenzione su taluni temi:

  • Con l’evoluzione digitale, la ricerca scientifica è resa più veloce e precisa; al contempo, si accresce l’esposizione a minacce informatiche, richiedendo pertanto adeguati presidi di sicurezza dei trattamenti, in relazione alla alla sensibilità delle informazioni;
  • Il confine tra la natura accademica e privata della ricerca scientifica è reso più labile: di conseguenza, risulta più arduo distinguere se l’interesse perseguito sia pubblico, o se si tratti di scopi commerciali;
  • Il GDPR e gli altri strumenti regolatori prevedono misure per il rispetto dei principi applicabili ai trattamenti di dati personali, il cui controllo è affidato, a livello nazionale, alle Autorità di controllo.

 

In materia di ricerca scientifica, il GDPR prevede all’articolo 179 che “l’Unione si propone l’obiettivo di rafforzare le sue basi scientifiche e tecnologiche con la realizzazione di uno spazio europeo della ricerca nel quale i ricercatori, le conoscenze scientifiche e le tecnologie circolino liberamente”, dimostrando forte apertura per la circolazione e il riuso delle informazioni nei progetti di ricerca scientifica finalizzati al miglioramento delle condizioni umane. Tale logica è stata confermata anche dal Legislatore italiano, agli articoli 97 – 110 bis contenuti nel Titolo VII del novellato Codice Privacy.

Nel corso del 2019, inoltre, sono intervenuti ulteriori atti per perimetrare il confine tra GDPR e ricerca scientifica. In tali occasioni, il Garante, ribadendo l’applicabilità del GDPR alle attività di ricerca scientifica, seppur con talune deroghe, ha indicato la necessità di garantire:

  • minimizzazione dei dati;
  • misure di pseudonimizzazione e crittografia per la riduzione dei rischi .

In particolare:

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

 

/da