DPIA: il Garante fornisce chiarimenti interpretativi

DPIA: il Garante fornisce chiarimenti interpretativi

Primo intervento del Garante privacy per semplificare l’applicazione dei dodici criteri secondo cui è necessario procedere con la DPIA.

Sono passati appena quattro mesi esatti dall’11 ottobre 2018, giorno in cui il Garante per la Protezione dei Dati Personali pubblicava, come allegato a un suo provvedimento, l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, elenco che reca dodici casi tipo e che possono aiutare a determinare se sia o meno dovuta una DPIA nell’ambito della propria organizzazione.

La nota interpretativa.

Oggi, sul sito dell’Autorità, per rendere le cose più semplici e ridurre gli oneri a carico dei titolari del trattamento, è stato pubblicata una nota interpretativa che rende estremamente più circostanziati alcuni dei casi di cui sopra.

Dal sito, nella sezione dedicata alla DPIA, si legge che:

<<Si evidenzia come le espressioni trattamenti “sistematici” e “non occasionali” indicate nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della “larga scala” così come espressamente illustrato al quinto criterio del WP 248 (pag. 11):

“5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  1. Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  2. Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. La durata, ovvero la persistenza, dell’attività di trattamento;
  4. La portata geografica dell’attività di trattamento;”

Si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”>>.

Nello specifico i criteri la cui interpretazione è stata fornita dal Garante con la nota odierna, andrebbero riletti come segue:

  • Criterio n° 6: Trattamenti non occasionali e su larga scala di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  • Criterio n° 11: Trattamenti sistematici e su larga scala di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  • Criterio n° 12: Trattamenti sistematici e su larga scala di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Conseguenze per i commercialisti e gli esperti contabili.

Alla luce della nota interpretativa fornita dal Garante, si può affermare con ragionevole certezza che i criteri 11 e 12 continuino a non trovare applicazione per gli studi dei professionisti e dei lettori-tipo di Fiscal Focus.

Lo stesso, purtroppo, non è possibile affermarlo in modo assoluto per il criterio n° 6, la cui applicabilità dovrà essere, di volta in volta, valutata caso per caso. Si pensi, per esempio, a chi si trova a gestire la contabilità di una casa di cura; in questo caso, trovo sia presente la possibilità che si vadano a trattare in modo regolare e sistematico i dati (per esempio la regolarità nei pagamenti delle rette o delle prestazioni) dei cosiddetti “soggetti vulnerabili”.


Fonte: Fiscal Focus

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

CNDCEC: nuove regole tecniche antiriciclaggio per i professionisti

Il Consiglio nazionale dei dottori commercialisti e degli esperti contabili interviene con tre regole tecniche sulla prevenzione al riciclaggio e al finanziamento del terrorismo.

Le regole tecniche.

Il 23 gennaio 2019, con l’informativa n° 8/2019, il CNDCEC ha diramato le regole tecniche emanate ai sensi del Dlgs 231/2007, art. 11, co. 2.

Il Consiglio, in qualità di organismo di autoregolamentazione, ha predisposto tali regole rivolgendole a tutti gli iscritti all’Albo. Esse trattano specificamente tre dei principali obblighi in materia di antiriciclaggio:

  • L’autovalutazione del rischio;
  • L’adeguata verifica della clientela;
  • La conservazione dei documenti.

Le regole tecniche sono contenute nel documento intitolato “Obblighi di valutazione del rischio, adeguata verifica della clientela, conservazione dei documenti, dei dati e delle informazioni: regole tecniche ai sensi dell’art. 11, co. 2, del d.lgs. 231/2007 come modificato dal d.lgs. 25 maggio 2017, n. 90”.

Al fine di consentire agli iscritti l’apprendimento e la corretta applicazione delle presenti regole tecniche, il CNDCEC promuoverà specifiche attività di formazione nei prossimi sei mesi. Decorso tale periodo le regole tecniche saranno considerate vincolanti per gli iscritti.

L’autovalutazione del rischio.

L’autovalutazione del rischio consiste nella presa di coscienza delle criticità e degli aspetti di forza dell’organizzazione di ogni singolo professionista o studio professionale. È, perciò, intimamente legata ad aspetti propri di ciascun’organizzazione, quali:

  • Tipologia di clientela;
  • Area geografica di operatività;
  • Canali distributivi (riferito alla modalità di esplicazione della prestazione professionale, anche tramite collaborazioni esterne, corrispondenze, canali di pagamento, ecc.);
  • Servizi offerti;
  • Formazione propria e dei collaboratori;
  • Organizzazione degli adempimenti di adeguata verifica della clientela;
  • Organizzazione degli adempimenti relativi alla conservazione dei documenti, dati e informazioni;
  • Organizzazione in materia di segnalazione di operazioni sospette e comunicazione delle violazioni alle norme sull’uso del contante.

Particolarmente significativa è l’indicazione di istituire la funzione antiriciclaggio e/o quella di revisione indipendente:

  • Per 2 o più professionisti nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio e nominare il relativo responsabile;
  • Per più di 30 professionisti e più di 30 collaboratori nello stesso studio (una sede o più), occorre introdurre la funzione antiriciclaggio, nominare il responsabile antiriciclaggio e introdurre una funzione di revisione indipendente per la verifica dei presidi di controllo.

L’adeguata verifica della clientela.

Riprendendo un modus operandi già consolidato nel tempo, sin dalla prima versione del decreto del 2007, il CNDCEC pone grande importanza sulle attività di adeguata verifica della clientela.

Per agevolare i soggetti obbligati, sulla base di studi effettuati nel tempo, ha raggruppato in due distinte e specifiche tabelle le prestazioni ritenute a rischio non significativo e quelle ritenute a rischio poco significativo, abbastanza significativo e molto significativo.

La valutazione del rischio inerente la clientela muove dai due elenchi di cui sopra e si completa con l’ormai classica compilazione delle tabelle A e B che aiutano il professionista a determinare i libelli di rischio specifico connesso al cliente e alla prestazione professionale.

A seconda del risultato ottenuto, la regola tecnica n° 2 definisce le misure di adeguata verifica, che possono consistere nella semplice applicazione di regole di condotta o nelle misure semplificate, ordinarie o rafforzate di verifica.

La conservazione dei dati e delle informazioni.

La conservazione ha come obiettivo quello di impedire la perdita o la distruzione dei documenti e di mantenere nel tempo le loro caratteristiche di integrità, leggibilità e reperibilità. Può essere cartacea, informatica o una combinazione delle due, purché i sistemi adottati garantiscano il rispetto della normativa in materia di protezione dei dati personali e il loro trattamento esclusivamente per le finalità di cui al Dlgs 231/2007.

Nell’ambito di tali possibilità di conservazione, i professionisti possono continuare ad alimentare gli archivi cartacei o informatici quali il registro cartaceo o l’archivio informatico, integrando secondo quanto previsto dalle nuove disposizioni i dati relativi al titolare effettivo e alle informazioni sullo scopo e la natura del rapporto ed elidendo i dati non più obbligatori.

Qualunque sia il sistema di conservazione prescelto, occorrerà individuare i profili di autorizzazione dei vari componenti l’organizzazione e collaboratori e individuare uno o più responsabili della conservazione ai fini del rispetto della normativa in materia di protezione dei dati personali. Il sistema di conservazione prescelto deve garantire l’accesso ai documenti, alle informazioni e ai dati cartacei per il periodo prescritto dalla norma.

Aspetti legati al GDPR e criticità.

Quanto emerge dalla lettura delle regole tecniche mette in evidenza, ancora una volta, le norme in materia di protezione dei dati (il GDPR e il Codice privacy su tutte) siano da intendersi come foriere di indicazioni operative che permeano trasversalmente gli assetti organizzativi di qualunque soggetto, siano essi singoli professionisti o grandi studi associati.

Gli esiti delle valutazioni dei rischi non possono prescindere dalla bontà complessiva dei dati e delle informazioni su cui si basano; se non fossero rispettati i principii legati ai trattamenti dei dati, se i dati non fossero “buoni”, commettere errori che possono portare a segnalazioni non dovute o all’omissione di segnalazioni dovute, per esempio, può diventare estremamente probabile.

Un assetto organizzativo adeguato, quindi, è fondamentale; e rispettare quanto disposto dal CNDCEC può offrire una difesa in caso di controllo da parte del Garante o della Guardia di Finanza, in quanto assimilabili a codici di condotta.

Particolarmente rilevante diviene l’affidabilità di chi fornisce prestazioni o servizi esterni, sia per la ripartizione delle responsabilità, sia per quanto riguarda le misure di privacy by design e di privacy by default legate a strumenti informatici quali server, cloud, piattaforme varie, registri e quant’altro.

Infine, sorge un dubbio sul reale significato della locuzione “responsabili della conservazione” e “sistema di conservazione”: sono da intendere nelle accezioni definite dalla normativa in materia di conservazione a norma, in particolare dall’articolo 7, co. 1 del DPCM del 3 dicembre 2013 relativo alle regole tecniche in materia di sistemi di conservazione, o è un semplice caso di omonimia?


Fonte: Fiscal Focus

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.


Fonte: Fiscal Focus

I registri delle attività di trattamento

I registri delle attività di trattamento.

Introdotto dal GDPR, sono strumenti fondamentali e irrinunciabili per gestire i trattamenti compiuti in un’organizzazione e aiutare il titolare o il responsabile del trattamento a mantenere i livelli adeguati di sicurezza.

L’8 ottobre 2018 il Garante Privacy ha pubblicato le istruzioni sul registro delle attività di trattamento, che s’inseriscono all’interno del quadro normativo come strumenti utili per sciogliere eventuali dubbi sull’obbligatorietà o meno della tenuta del registro, andando a spiegare con un linguaggio più semplice di quello usato nella norma europea ciò che deve essere fatto dai titolari e dai responsabili dei trattamenti.

Fonte normativa.

Il registro delle attività di trattamento è disciplinato dall’art. 30 del Regolamento (UE) 2016/679, anche conosciuto come GDPR, che ne descrive i contenuti, la forma e i casi in cui è obbligatorio. Ne esistono due tipi: quello del titolare e quello del responsabile del trattamento.

Il primo indica i dati del titolare stesso, elenca le finalità perseguite con ogni trattamento effettuato (giova ricordare, in questo momento, che per “trattamento” intendiamo qualsiasi attività o processo in cui siano coinvolti dati personali), descrive le categorie di interessati e di dati personali (per esempio: clienti e loro dati anagrafici, lavoratori dipendenti e loro dati relativi alle presenze, passanti e loro immagini riprese dalle telecamere di videosorveglianza…), indica le categorie di destinatari a cui vengono comunicati i dati personali, elenca i trasferimenti verso Paesi extra-UE od organizzazioni internazionali e le garanzie che sono poste in essere per tutelare il diritto delle persone alla protezione dei dati, indica i termini di conservazione e descrive le misure di sicurezza tecniche e organizzative adottate.

Il registro del responsabile del trattamento risulta più semplice, poiché è richiesto che indichi i dati del responsabile, le categorie di trattamento effettuate per conto di ogni titolare, elenca i trasferimenti verso Paesi extra-UE o organizzazioni internazionali e le garanzie che sono attuate per tutelare i diritti delle persone alla protezione dei dati e descrive le misure di sicurezza tecniche e organizzative adottate.

In ogni caso, i registri devono avere forma scritta e possono avere anche formato elettronico e devono essere esibiti agli organi di vigilanza qualora ne sia fatta richiesta.

Per quanto riguarda l’obbligatorietà, è stabilito che lo sia quando:

  • Si effettua almeno un trattamento che può presentare rischi per diritti o libertà degli interessati; o
  • Si effettua almeno un trattamento con continuità e sistematicità (anche periodicamente); o
  • Si effettua almeno un trattamento che prevede dati particolari (ovvero quelli riferiti alla salute, all’appartenenza a sindacati, al credo religioso, alle caratteristiche biometriche…) o riferiti a condanne penali o reati.

In ogni caso, se questi tre criteri fossero tutti inapplicabili nell’ambito che stiamo osservando, i registri sono obbligatori se il titolare o il responsabile hanno più di 250 dipendenti.

Criticità.

La tenuta dei registri, però, si accompagna ad alcune criticità che si dovrebbero considerare bene.

Anzitutto, bisogna individuare quale ruolo si ricopre: talvolta si è solo titolari del trattamento, talaltra solo responsabili. Molto spesso, quando si è responsabili del trattamento che ci è stato affidato da un titolare, si è nella condizione di essere i titolari dei trattamenti su cui abbiamo il completo potere di determinazione delle finalità e dei mezzi di realizzazione. È questo il caso tipico dei commercialisti, degli esperti contabili o dei consulenti del lavoro. Questi soggetti devono predisporre entrambi i registri.

La seconda criticità è data dalla forma del registro – che ovviamente deve essere privo di abrasioni e cancellazioni, con i fogli rilegati e non asportabili – che deve necessariamente essere “scritta”. Nel linguaggio giuridico, semplificando, un documento “in forma scritta” è quello su cui è apposta la firma di chi esercita la legale rappresentanza.

La terza risiede nell’eventuale forma elettronica: in Italia, perché un documento elettronico abbia validità legale, deve avere anche le caratteristiche previste dal Codice dell’Amministrazione Digitale, dal regolamento eIDAS, e dal DPCM 13 Novembre 2014 sulla formazione del documento informatico. È chiaro che non sono considerati validi, né opponibili in giudizio, documenti formati solo con programmi di uso comune per la videoscrittura.

La quarta è che il registro deve essere scritto e mantenuto aggiornato, dando prova delle varie versioni che si susseguono e dimostrazione della loro presenza a una certa data.

La quinta, infine, è rappresentata dal fatto che, qualora indicassimo informazioni non veritiere nei registri, nel momento in cui il Garante o la Guardia di Finanza ne volessero prendere visione, incorreremmo nel reato di falsa dichiarazione, perseguito penalmente.

Vantaggi.

I registri, tuttavia, sono anche forieri di vantaggi che si riflettono in modo concreto sull’intera organizzazione: come sottolinea lo stesso Garante, infatti, i registri sono documenti di censimento e analisi dei trattamenti effettuati. Si tratta di strumenti fondamentali non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio. Proprio per questi motivi, il Garante ne raccomanda la redazione e l’aggiornamento poiché, secondo la sua opinione, questi non costituiscono solo un mero adempimento formale, bensì sono parte integrante di un sistema di corretta gestione dei dati personali; su queste considerazioni, quindi, esorta i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro, prevedendo anche la possibilità, secondo le volontà del titolare o del responsabile, d’inserire ulteriori informazioni se lo si ritiene opportuno nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

In definitiva, i registri dei trattamenti sono obbligatori e necessari per tutti e, se adeguatamente curati nel tempo, sono uno strumento potentissimo per governare l’organizzazione e per difenderla in caso di ispezione o contenzioso, essendo la trasposizione documentale di tutto ciò che è stato fatto per aderire al principio di responsabilizzazione che fa da sfondo all’intero GDPR.


Fonte: Fiscal Focus

Riflessioni in merito alla PIA

Riflessioni in merito alla valutazione d’impatto sulla protezione dei dati (PIA).

Il GDPR ci chiede di fare la valutazione d’impatto sulla protezione dei dati (conosciuta anche con gli acronimi PIA1 o DPIA2). Ma siamo sicuri di averne davvero compreso lo spirito?

In questo periodo noto un grande fermento attorno alla tematica della privacy, con molti articoli che spiegano cose che ormai rasentano la scontatezza.

Trovo pochi, pochissimi approfondimenti. Giusto per non dire che non ne trovo affatto. Gli unici contenuti sono le linee guida che qualche associazione zelante o ente pubblico competente ha avuto la pazienza di sviluppare e rendere pubbliche.

Per converso, social network come LinkedIn pullulano di post, scritti nei gruppi dedicati a specifici settori, in cui alcuni membri, che si presume siano professionisti esperti in quel campo, pongono domande anziché esporre il loro punto di vista.

Uno degli argomenti più gettonati e maggiormente abusati è, appunto, la valutazione d’impatto sui dati personali. C’è chi si chiede ancora se si debba chiamare “PIA” o “DPIA”, chi si pone l’annoso problema su chi debba effettuarla, chi domanda quando va fatta. Domande più che legittime, a cui poche risposte suonano in modo sensibilmente differente da quanto una qualsiasi persona di buon senso potrebbe arrivare a concepire se solamente leggesse  – e capisse cosa ha letto – il GDPR.

Molte risposte si limitano a dire che la PIA deve essere fatta solo quando ci sono rischi elevati per i diritti e le libertà delle persone fisiche.

Allora la domanda più logica, che verrebbe in mente a un incompetente, è: cioè? Quali sono questi rischi? E a questo punto, solitamente, arriva una seconda risposta che grossomodo è sintetizzabile con “i rischi sulla privacy: accesso non autorizzato, cancellazione o perdita del dato, modifica, divulgazione…”, ovvero quelli che siamo stati abituati a considerare, soprattutto in funzione degli standard in materia di sicurezza informatica.

NO!

I rischi per i diritti e le libertà delle persone fisiche non sono (solo) quelli.

Non è il caso di elencarli qui di seguito, ma invito i lettori a riflettere su questi due esempi concreti.

Il primo esempio riguarda i trattamenti effettuati durante le elezioni (se qualcuno è convinto che non ne vengano fatti, gli consiglio caldamente di procedere nella lettura). Cosa accadrebbe all’intera comunità identificata nella Repubblica Italiana se qualcuno si prendesse la briga di non trattare come previsto i dati personali nei seggi elettorali?

Vi ricordo che:

  • Al momento del controllo dell’identità si effettuano almeno l’acquisizione e il confronto dei dati indicati sul documento d’identità, sulla tessera elettorale e sul registro del seggio; e che
  • Fintanto che la scheda elettorale compilata rimane nelle mani dell’elettore è un dato sensibile.

Non veniamo a raccontarci la favola che non esiste il rischio che qualcuno voti più volte o faccia vedere a qualcun altro cosa ha votato.

Il secondo esempio lo riporto testualmente da un articolo pubblicato sul sito del quotidiano torinese La Stampa, il 3 marzo3, in cui praticamente si racconta la storia di due gemelli che per l’ordinamento giuridico italiano non esistono e non possono acquisire diritti personali, né fondamentali, né di alcun altro tipo:

Un ufficio del Comune di Torino ha negato la trascrizione dell’atto di nascita di due gemelli nati in Canada da una coppia di uomini con il sistema della gestazione per altri: l’atto era già stato trascritto per il padre biologico e non è stato esteso all’altro genitore. Palazzo Civico precisa che «le indicazioni date agli uffici erano di eseguire la trascrizione senza indugio. È una questione tecnica che affronteremo e risolveremo». Uno dei motivi del diniego, secondo quanto si è appreso, si richiama alla legge 40 sulla procreazione assistita, che vieta la surrogazione di maternità (permessa in Canada).

«Si tratta – viene spiegato – di una questione puramente tecnica a cui si sta cercando di porre rimedio sia per questo caso, sul quale stiamo lavorando per rimettervi mano, sia per il futuro».

L’amministrazione spiega anche che «non appena si è avuto sentore di casi simili, la Città ha presentato una interrogazione al ministero dell’Interno e allAnusca, l’associazione degli stati civili e anagrafi». «Inoltre – aggiungono – si sta valutando la possibilità di intraprendere una costituzione di parte civile a fianco delle coppie che richiedono il riconoscimento dei figli per far sì che le decisioni dei tribunali valgano anche per gli uffici comunali. Stiamo valutando tutte le strade possibili per risolvere questa problematica tecnica».


  1. Privacy Impact Assessment
  2. Data Protection Impact Assessment
  3. Così come risulta a seguito della modifica delle ore 16:09 del 03/03/2018.

Software per valutazione SLC

Samuel De Fazio

Valutazione SLC: disponibile il mio software programmato in Excel

È ora disponibile il file Excel programmato per la valutazione SLC (stress lavoro-correlato) secondo le linee guida pubblicate dall’INAIL a ottobre 2017, aggiornando quelle del 2011.

Il mio file, scaricabile dal portale iCLHUB, si propone come alternativa alla piattaforma online messa a disposizione dall’INAIL, a cui si può accedere solo previa autenticazione.

Oltre a essere funzionante offline, ha il pregio di poter essere modificato a piacimento dall’utilizzatore, così che possa essere adattato alle sue esigenze.

Si invitano coloro che vorranno scaricarlo a considerare che:

  • La responsabilità della valutazione dei rischi – qualunque essi siano, quindi anche l’SLC – grava sul datore di lavoro.
  • Per ottenere il miglior risultato possibile, la valutazione SLC e la base di dati elaborati dal software devono essere costantemente aggiornate, almeno una volta l’anno.

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.

Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.

Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.

Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.

Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.

 Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.

Infine, ci sono addirittura i criteri per definire una PIA accettabile.

Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.

L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.

Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.

Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.

A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.

Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.

È iniziato il processo di cambiamento del Codice privacy

È iniziato il processo di cambiamento del Codice privacy.

Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.

Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.

Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.

Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.

All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:

“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:

“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.

Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.

Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.

Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.

Nella seguente tabella evidenzio le differenze.

Caratteristiche del contratto Nuovo Codice privacy modificato GDPR
Forma scritta  Sì
Materia disciplinata No
Natura del trattamento No  Sì
Finalità perseguita No  Sì
Tipologia di dati  Sì
Categorie di interessati No
Durata del trattamento  Sì
Obblighi e diritti del titolare del trattamento No  Sì
Obblighi e diritti del responsabile del trattamento  Sì
Modalità del trattamento  Sì
Altre specifiche No  Sì
Obbligo di conformarsi agli schemi proposti dal Garante  Sì

L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.

Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.

Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.

Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

La simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati

Sono due adempimenti richiesti dal GDPR con peculiari caratteristiche che si realizzano attraverso la formazione di due documenti distinti, solamente se ricorrono i casi specificati. Ma a ben vedere, il loro legame è molto più profondo di quanto possa apparire e potrebbe essere utile considerarli “simbiotici”.

In biologia la simbiosi è un rapporto che s’instaura a livello intimo tra due soggetti e che tende a legarli in maniera forte e mutuale, con lo scopo ultimo di portare un vantaggio reciproco a entrambi nel corso del tempo e dell’evoluzione del contesto di riferimento.

È possibile, dunque, trovare questo tipo di connessione tra il registro del responsabile del trattamento e la valutazione d’impatto sulla protezione dei dati? E se è possibile, quanto sarebbe utile farlo?

Questa è la domanda con cui sono uscito dal seminario organizzato da AssoDPO a Milano lo scorso 26 ottobre, durante il quale si è ampiamente dibattuto sullo stato dell’applicazione del GDPR a circa 200 giorni dalla sua definitiva applicazione diretta su tutto il territorio dell’Unione. Molte informazioni utili e un importante spunto di riflessione, appunto.

Come mia abitudine, parto dal considerare i principali riferimenti normativi, per circoscrivere il discorso che altrimenti rischierebbe di divagare troppo. Vi invito, perciò, a considerare il secondo e quinto paragrafo dell’art. 30 e il primo dell’art. 35, avendo sempre in mente i precetti dell’art. 5.

Quando parlo di simbiosi intendo dire che esiste uno stretto rapporto che lega il registro del trattamento del responsabile alla valutazione d’impatto svolta dal titolare e viceversa e, in un’ottica complessiva di gestione del rischio, non trovo poi così assurdo ipotizzare che il contenuto del primo, dovrebbe essere considerato nella seconda, fermo restando che è anche dai risultati della valutazione d’impatto che deriva l’adozione del registro stesso.

Così, se è vero che un titolare che, a seguito della valutazione d’impatto, individuati rischi elevati per i diritti e le libertà degli interessati deve richiedere l’adozione di un registro da parte del suo responsabile anche se questo potrebbe applicare (al netto del rapporto con il titolare) la deroga prevista dal quinto paragrafo dell’art. 30, trovo altrettanto vero che, in un complessivo sistema di gestione dei rischi, il titolare abbia il legittimo interesse, per non dire il diritto, di consultare il registro del responsabile per venire a conoscenza di quali siano gli eventuali altri titolari con cui ha rapporti.

Questo perché oggi non è possibile non considerare anche gli “altri titolari” come una fonte di rischio. Così come in un condominio con locali a uso commerciale, quando si redigono i DVR per la sicurezza sul lavoro, non si possono non considerare anche le altre attività presenti per via delle conseguenze sull’affollamento complessivo in caso di evacuazione o con effetti diretti sulla valutazione di rischi derivanti dalla vicinanza con obiettivi “sensibili” per rischi di rapina o attacchi terroristici (pensiamo, per esempio, se nello stesso stabile ci fossero al piano terra una filiale di una banca o delle poste, e ai piani superiori un laboratorio di oreficeria e un’ambasciata o un consolato), analogamente si dovrebbero considerare gli altri titolari per via dalla loro “attitudine” a essere bersaglio di tentativi di violazioni di dati.

Proviamo a pensare al caso in cui un’azienda che si occupa di conservazione e archiviazione documentale. In pratica l’attività consiste nell’offrire uno spazio fisico in cui è possibile lasciare i propri documenti che saranno conservati e archiviati secondo logiche predefinite su scaffali all’interno di capannoni.

Bene, è chiaro che se oltre ai nostri, ci fossero anche documenti di altri titolari, penso ci sarebbe utile valutare il rischio che qualcuno che si introduce nell’archivio per danneggiare uno degli altri, possa accidentalmente danneggiare anche noi. E questa valutazione ritengo che possa essere utile per una protezione dei dati in senso lato, anche in caso di dati informatici e in caso di dati non personali in senso stretto (bilanci societari, brevetti, progetti di vario genere…).

E quindi lo chiedo di nuovo: esiste una simbiosi tra il registro del responsabile e la valutazione d’impatto sulla protezione dei dati personali?

A mio modo di vedere, la risposta è affermativa: sì, perché se conosco il contesto di riferimento posso valutare e gestire il rischio.

A questo punto, quindi,  la questione si sposta sulla volontà del responsabile di rendere disponibile l’informazione. Gli strumenti contrattuali e tecnici per assistere il titolare nella sua valutazione senza necessariamente diffondere informazioni che il responsabile potrebbe voler o dover mantenere riservate esistono.

Antiriciclaggio: regolamento UE sui Paesi terzi a rischio.

Antiriciclaggio:  regolamento UE sui Paesi terzi a rischio.

Il Regolamento delegato individua con un elenco aggiornato i Paesi terzi ad alto rischio riciclaggio, completando l’attuale quadro normativo revisionato nel mese di luglio.

Lo scorso 20 settembre è stato pubblicato il Regolamento (UE) 2016/1675 della Commissione, del 14 luglio 2016, che integra la direttiva (UE) 2015/849 del Parlamento europeo e del Consiglio individuando i paesi terzi ad alto rischio con carenze strategiche  in tema di antiriciclaggio (Testo rilevante ai fini del SEE).

Questo nuovo regolamento, di fatto, concorre a completare la revisione del quadro normativo di riferimento, mutato in seguito all’aggiornamento effettuato in luglio sul decreto legislativo sull’antiriciclaggio, il Dlgs 231/2007.

L’elenco delle giurisdizioni dei paesi terzi con carenze strategiche nei rispettivi regimi di lotta contro il riciclaggio di denaro e il finanziamento del terrorismo che pongono minacce significative al sistema finanziario dell’Unione (“paesi terzi ad alto rischio”) figura nell’allegato del regolamento, il quale entra in vigore il terzo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea, ossia il 23 settembre 2017, ed è obbligatorio in tutti i suoi elementi e direttamente applicabile negli Stati membri conformemente ai trattati.

Di seguito l’elenco dei Paesi terzi indicati dal regolamento, suddivisi per categorie:

  • Paesi terzi ad alto rischio che hanno preso per iscritto un impegno politico ad alto livello a rimediare alle carenze individuate e che hanno elaborato con il GAFI un piano d’azione:
    • Afghanistan;
    • Bosnia-Erzegovina;
    • Guyana;
    • Iraq;
    • Repubblica democratica popolare del Laos;
    • Siria;
    • Uganda;
    • Vanuatu;
    • Yemen;
  • Paesi terzi ad alto rischio che hanno preso un impegno politico ad alto livello a rimediare alle carenze individuate e che hanno deciso di chiedere assistenza tecnica per l’attuazione del piano d’azione del GAFI, individuati nella dichiarazione pubblica del GAFI:
    • Iran;
  • Paesi terzi ad alto rischio che presentano rischi continui e sostanziali di riciclaggio di denaro e di finanziamento del terrorismo avendo ripetutamente omesso di rimediare alle carenze individuate, che sono individuati nella dichiarazione pubblica del GAFI:
    • Repubblica popolare democratica di Corea.