01
Giu2018

Nuovo GDPR. Cosa cambia per le agenzie investigative? (parte II)

Eccoci alla seconda parte dell’articolo sul Nuovo Regolamento Europeo. Si parlerà nel dettaglio dei più importanti principi del GDPR e di nuove figure introdotte dalla nuova legge. Tratteremo di ACCOUNTABILITY, di REGISTRO DEL TRATTAMENTO, di DPIA e di DPO.

ACCOUNTABILITY (PRIVACY BY DEFAULT E PRIVACY BY DESIGN)

Il principio dell’Accountability non è altro che il principio di RESPONSABLIZZAZIONE. Il Titolare del Trattamento, causa tale principio, dovrà DIMOSTRARE di aver rispettato in tutto e per tutto i dettami fondamentali espressi dal GDPR. Dovrà essere in grado perciò di comprovare il rispetto delle regole e dimostrare l’effettiva attività svolta per salvaguardare il Trattamento dei Dati. Questo principio rientra a tutti gli effetti nell’ottica di un processo qualitativo di valutazione e gestione del rischio.

Stilate pertanto un documento di valutazione del rischio (simile al vecchio DPS) in cui indicherete quali tipologie di dati vengono trattate, in che modo e quali sistemi avete adottato per proteggerle.

Con il principio del Privacy By Design il Titolare dovrà provare di aver rispettato i criteri imposti dal GDPR ancor PRIMA che il dato venga trattato. Ciò significa dimostrare di essere dotati di sistemi antivirus funzionanti, firewell e quant’altro se il dato viene trattato su supporto informatico. Dimostrate invece di aver protetto l’ufficio con porte blindate, grate anti-intrusione, casseforti se il dato viene trattato su supporto cartaceo.

Insomma stilate un documento in cui provate l’esistenza di misure di sicurezza idonee a garantire una corretta gestione del dato.

REGISTRO DEL TRATTAMENTO

Una delle novità introdotte dal Nuovo Regolamento Europeo riguarda la tenuta del cosiddetto Registro del Trattamento.

Che cos’è? E’ uno strumento di cui deve dotarsi il Titolare del Trattamento, da esibire a ogni richiesta dell’autorità garante. Il Registro ha la finalità di elencare i vari trattamenti svolti ed è utile per una completa ricognizione di questi ultimi, in un’ottica di analisi del rischio e corretta pianificazione dei trattamenti stessi.

Com’è fatto? Per legge deve contenere informazioni ben precise, indicate in un’apposita sezione del Regolamento. Non stiamo ad elencarle poiché esula dai nostri scopi.

Chi è obbligato ha tenere il registro? Sono esenti dalla tenuta del registro le aziende con meno di 250 dipendenti, a meno che il trattamento effettuato:

  • possa presentare un rischio per i diritti e le libertà degli interessati
  • non sia occasionale
  • includa il trattamento di particolari categorie di dati o i dati personali relativi a condanne penali

Un titolare di agenzia investigativa è obbligato a tenere un registro? Alla luce di quanto detto, è evidente che la risposta a questa domanda è SI’! Ogni Titolare di agenzia investigativa sarà costretto a tenere e aggiornare il Registro dei Trattamenti, in quanto tratterà dati a rischio e dati particolari, anche se le dimensioni aziendali sono inferiori ai 250 dipendenti.

DPIA (Data Protection Impact Assessment)

Che cos’è il DPIA? Si tratta della valutazione d’impatto sui rischi che gli specifici Trattamenti possono apportare alla sfera degli interessati. E’ in buona sostanza un documento che deve essere redatto dal Titolare del Trattamento; lo stesso rientra a tutti gli effetti nel sistema di Accountability di cui abbiamo discusso poc’anzi.

Quando è necessario stilare il DPIA? Quando sussiste una tra le seguenti condizioni:

  • Trattamenti valutativi o di scoring, compresa la profilazione.
  • Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
  • Il monitoraggio sistematico (videosorveglianza).
  • Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
  • Trattamento dati personali su larga scala.
  • Trattamento di Big Data.
  • Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
  • Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
  • Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Un Titolare di agenzia investigativa deve redigere un DPIA? Assolutamente SI’! Oltre a tutte le problematiche precedenti si aggiunge pertanto tale ulteriore novità.

DPO (Data Protection Officer)

Il DPO è una nuova figura introdotta dal Gdpr. Per farla breve, è un esperto in materia di Privacy, qualificato e riconosciuto. Ad oggi non sono molte le figure che possono vantare tale titolo, diventa perciò difficile per le aziende trovarne uno da nominare. Lo stesso può essere interno all’azienda oppure esterno.

Quando si deve obbligatoriamente nominare un DPO? Elenchiamo di seguito:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
  • se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
  • se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.

Alla luce di quanto scritto, un’agenzia investigativa è tenuta a nominare un DPO? No! Infatti il Trattamento non è svolto da un’autorità pubblica e noi investigatori privati NON effettuiamo un MONITORAGGIO CONTINUO E SU LARGA SCALA! Per fare un esempio non è considerato “su larga scala” un trattamento che riguardi dati personali di pazienti o clienti di un singolo studio medico o studio legale. Perciò, non rientrando nella lista sopra elencata, l’investigatore privato (SOLO L’INVESTIGATORE, chi è Titolare di un istituto di vigilanza E’ OBBLIGATO A NOMINARE UN DPO ENTRO IL 25 maggio) non sarà costretto ad annoverare tra le sue fila un Data Protection Officer.

Leave your comment

Please enter your name.
Please enter comment.

Il Blog del Detective

Un blog che si rivolge a tutti gli appassionati di questo affascinante universo. Dedicato soprattutto a coloro che intendono seriamente intraprendere la professione di detective e farne uno stile di vita.

Leggi il nostro articolo di benvenuto
Clicca qui →

Ultimi articoli