GDPR - Sienam sicurezza energia ambiente

Vai ai contenuti

GDPR

I nostri consulenti privacy hanno alle spalle una lunga esperienza in tutti i settori che gravitano intorno all'adeguamento al nuovo regolamento: da quello informatico a quello legale, ci occupiamo di fornirti tutti gli strumenti necessari ad essere in regola con quanto previsto dalla check-list di adempimenti per la privacy.
L’esperienza con aziende di molteplici settori e di diverse dimensioni in materia di compliance normativa, sicurezza dei dati, responsabilità penale, i servizi di consulenza in materia di trattamento dati personali (e molto altro) ci permette di offrirti un pacchetto di servizi completo e mirato.
Partendo da un’accurata analisi delle pratiche aziendali in materia di protezione dei dati, siamo in grado di elaborare una strategia mirata ed efficace che comprenda tutti gli aspetti toccati dal GDPR: consenso all'utilizzo dei dati, diritto degli utenti ad avere le proprie informazioni cancellate, sicurezza informatica per evitare data breaches, formazione specifica del personale che lavora quotidianamente con i dati.

Affianchiamo le aziende passo dopo passo effettuando:
  • analisi dei gap da colmare
  • controllo dei processi di gestione degli incidenti
  • identificazione e mappatura dei dati
  • controllo dello stato degli strumenti di cybersecurity
  • valutazione dell'impatto del data-breach (PIA)
  • registri dei trattamenti e degli eventi
  • creazione o miglioramento dell’architettura di sicurezza esistente
  • protezione dei dati personalizzata
  • consulenza DPO
  • revisione delle policy interne

Possiamo svolgere le mansioni di Data Protection Officer, garantendo un controllo continuo sulle procedure interne ed occupandosi delle successive modifiche ed integrazioni delle normative vigenti (o in procinto di diventarlo).

Se invece preferisci che sia una risorsa interna a svolgere queste mansioni, possiamo occuparci di darle la formazione GDPR necessaria a svolgere i suoi compiti nel modo migliore per l’azienda.
Ambito
Il regolamento si applica ai dati dei residenti nell'Unione Europea. Inoltre, a differenza della precedente normativa, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall'UE che trattano dati personali di residenti nell'Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico ("le autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali"). Secondo la Commissione Europea "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer."  Il regolamento disciplina solo il trattamento di dati personali delle persone fisiche.
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:
• i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);

• i dati rientranti in particolari categorie: si tratta dei dati c.d. "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;

• i dati relativi a condanne penali e reati: si tratta dei dati c.d. "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
TRATTAMENTO DEI DATI

Trattamento è qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.

Ad esempio: la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, par. 1, punto 2, del Regolamento (UE) 2016/679).

I soggetti che procedono al trattamento dei dati personali altrui devono adottare particolari misure per garantire il corretto e sicuro utilizzo dei dati.

LE PARTI IN GIOCO

Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);

Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);

Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).

Responsabilità

Il principio di responsabilità legato al trattamento dei dati personali resta ancorato (come nel Codice per la protezione dei dati personali) ad un concetto di responsabilità per esercizio di attività pericolosa con una valutazione ex ante in concreto ed una sostanziale inversione dell'onere della prova. Per non rispondere del danno commesso derivante dal trattamento dei dati personali occorre sostanzialmente provare di aver fatto tutto il possibile per evitarlo. Il Regolamento aggancia e sviluppa questo tipo di responsabilità verso il concetto di Accountability (art. 5 co. 2). Occorre osservare i principi applicabili al trattamento dei dati personali di cui all'articolo 5 adempiendo alle relative obbligazioni ed essere in grado di comprovarlo.

Il GDPR e gli Enti Religiosi

Rispetto ad altre figure giuridiche, obbligate al recepimento del Regolamento Europeo 679/2016 e all’adeguamento delle proprie ‘procedure’ di protezione di dati personali dei propri utenti, le Diocesi e più in generale gli Enti Religiosi, in quanto parte di un ente ecclesiastico dotato di un ordinamento proprio, non sono obbligate ad adottare il GDPR “in toto”, sono invece consigliate alla integrazione della nuova ‘norma’ adeguando il proprio ordinamento.
Siamo quindi in presenza di due ordinamenti, due norme e un unico ente ecclesiastico. L'ente ecclesiastico è un unico soggetto tenuto, pertanto, ad osservare – in contemporanea – sia la disciplina canonica, sia quella statale/europea, ovvero il Decreto Generale CEI 2018 e il Regolamento UE 679/2016.
Già nel 1984, in occasione della Revisione del Concordato Lateranense, lo Stato e la Chiesa italiana hanno elaborato assieme un'unica serie di norme per la disciplina degli enti e dei beni ecclesiastici. In quell'occasione lo stesso articolato è confluito sia nella L. 222/85 (norma statale) sia nel Decreto del Segretario di Stato del 3 giugno 1985 (norma canonica).

I due testi normativi di riferimento (Decreto Generale CEI 2018 e il Regolamento UE 679/2016) non sono completamente identici, benché lo siano alcuni articoli fondamentali. La domanda che ci si deve porre è la seguente: la loro applicazione è concorrente oppure, almeno per alcuni ambiti, la norma europea non è cogente per l'Ente Ecclesiastico? È necessario o possibile applicare contemporaneamente il Regolamento UE 2016/679 ed il Decreto CEI 2018?
La risposta non può che emergere dall'interpretazione dei due testi normativi. E sono le medesime norme a fissare limiti e condizioni. L’art. 91 del Regolamento UE riconosce uno «spazio di libertà» alle chiese, purché diano precise garanzie di tutela della privacy.

Fatte queste premesse, ovvero che la Diocesi deve armonizzare le proprie procedure di sicurezza dei dati al Regolamento Europeo 679/2016 secondo le indicazioni del Decreto CEI 2018 “DISPOSIZIONI PER LA TUTELA DEL DIRITTO ALLA BUONA FAMA E ALLA RISERVATEZZA”, applicando la normativa canonica nell’ambito dei dati trattati per le “attività di Religione o Culto” e il “Codice Privacy” D.Lgs. 196/2003 adeguato al Reg.EU 679/2016 tramite il D.Lgs. 101/2018 per tutte le “attività diverse” comprendenti inoltre l’uso degli strumenti social e messaggerie (FB, Messenger, WhatsApp, Instagram, piattaforme Web, ecc.), sia l’ordinamento civile, sia quello canonico provocano alcune domande.

L’art. 91 del Regolamento europeo si riferisce alle “chiese e associazioni o comunità religiose”. Sorge dunque la domanda su quali enti facciano parte della Chiesa in modo di poter cadere nell’ambito di applicazione delle norme ecclesiali. Per esempio, ci si può chiedere quali siano le condizioni per poter affermare che un ospedale sia cattolico e sottostia alle norme dei Vescovi.
Nell’ordinamento canonico sorge un’altra domanda, quella sulla competenza delle Conferenze episcopali e dei Vescovi sugli enti di diritto pontificio, per esempio gli istituti di vita consacrata di diritto pontificio e le associazioni internazionali. Ognuna delle aree sopra elencate genera un flusso dati che alimenta i database dell'Ente Religioso.

  • Nel caso delle parrocchie i dati registrati sono per lo più dati che è possibile catalogare come provenienti di attività di Religione o Culto e quindi gestibili direttamente applicando il CIC (Diritto Canonico) o direttamente il Decreto CEI del 2018, altri come ad esempio le fotografie di partecipanti ad eventi non immediatamente rapportabili ad attività di Religione, tramite gli obblighi imposti dalla normativa europea.
  • Altro esempio le attività svolte dall'Ufficio Amministrativo (a titolo esplicativo e non esaustivo, le richieste di permessi per la ZTL, aperture di conti bancari, riscossioni di assicurazioni vita, acquisto di attrezzature e servizi, affitti di unità immobiliari, ecc.) tutti questi sono trattamenti che DEVONO essere gestiti e protetti secondo i principi del GDPR.

Torna ai contenuti