Dopo un lungo iter iniziato nel 2011 \u00e8 stato portato a termine dal Comitato dei ministri del Consiglio d’Europa, il processo di modernizzazione della Convenzione 108 del 1981<\/a> sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.<\/span><\/p>\n L’adozione formale \u00e8 avvenuta in occasione della Ministeriale di Elsinore il 18 maggio scorso.Il Protocollo emendativo, che aggiorna la Convenzione 108, sar\u00e0 aperto alla firma il 25 giugno, in occasione della sessione dell’Assemblea Parlamentare del Consiglio d’Europa.<\/p>\n La modernizzazione della Convenzione 108, che \u00e8 tuttora l’unico strumento sulla protezione dei dati vincolante a livello internazionale, risponde alle molte sfide intervenute negli anni per l’avvento delle nuove tecnologie, assicurando la tenuta dei principi della Convenzione e rafforzandone i meccanismi per la sua effettiva implementazione.<\/p>\n Il Protocollo contiene diverse novit\u00e0 rispetto all’originario. In particolare:\u00a0 il rafforzamento degli obblighi di trasparenza a carico dei titolari del trattamento; l’ampliamento\u00a0 dei diritti degli interessati, che ora racchiudono anche il diritto a non essere soggetto a decisioni puramente automatizzate e a conoscere la logica del trattamento; maggiori garanzie per la sicurezza dei dati, incluso l’obbligo di notificare i data breach, e di assicurare un approccio di privacy by design. Il Protocollo rafforza inoltre i compiti delle Autorit\u00e0 di protezione dati e del Comitato della Convenzione<\/strong>, chiamato a svolgere un ruolo nella valutazione dell’effettivo rispetto dei principi della Convenzione che deve essere assicurato dai Paesi che ne faranno parte.<\/p>\n Roma, 21 maggio 2018 – Garante Privacy<\/em><\/a><\/p>\n AboutPharma – 21 maggio 2018 di Alessio Chiodi<\/a><\/p>\n Se il padrone di casa sapesse a quale ora viene il ladro, non si lascerebbe scassinare la casa. Anche voi tenetevi pronti\u2026\u201d recita una nota parabola del Vangelo che pu\u00f2 tornare utile anche per le pi\u00f9 laiche ispezioni delle autorit\u00e0 in materia di tutela privacy. Perch\u00e9 ora che le regole del gioco stanno cambiando, anche i controlli potrebbero aumentare. E non si sa quando verranno a bussare alla porta per chiedere conto delle attivit\u00e0 di un\u2019azienda.<\/p>\n Se si dovesse immaginare un vademecum di comportamento, in questo caso, la prima regola sarebbe: essere pronti a gestire un\u2019ispezione del Garante per la protezione dei dati personali. Generalmente le ispezioni sono precedute da segnalazioni o ricorsi. Oppure sono iniziative del Garante all\u2019interno di una road map ben definita. Tuttavia se un\u2019azienda viene contattata dall\u2019autorit\u00e0 preposta per avere informazioni specifiche sulla propria attivit\u00e0, allora \u00e8 probabile che di l\u00ec a poco ci sar\u00e0 una visita ispettiva. Magari di persona. Nei casi meno gravi, delle visite di routine \u00e8 la Gdf a occuparsene. In quelli pi\u00f9 gravi sono gli ispettori del Garante. E senza il supporto del nucleo della Guardia di finanza. Secondo quanto scritto dall\u2019avvocato Gianluigi Marino, partner di OsborneClarke (AboutPharma n\u00b0154, pagine 90-91), se l\u2019ispezione \u00e8 condotta in prima persona dagli ispettori, \u00e8 possibile aspettarsi che la situazione diventi controversa. L\u2019ispezione potrebbe portare alla luce altre possibili violazioni. Quindi, in base al soggetto che provvede agli accertamenti, si comprende il maggiore o minore livello di consapevolezza dell\u2019autorit\u00e0 riguardo i problemi dell\u2019azienda ispezionata.<\/p>\n I controlli possono essere comunicati (il giorno prima) o avvenire a sorpresa. Prima dell\u2019ispezione viene richiesto un documento chiamato \u201crichiesta di informazioni\u201d. Con questo elemento, notificato al momento dell\u2019accesso in sede, si chiede conto di tutti gli adempimenti legislativi e regolamentari in materia di dati personali. Come viene raccolto il consenso? In che modo viene data l\u2019informativa agli interessati? Come vengono contrattualizzati i responsabili esterni del trattamento? Tutte domande a cui va trovata una risposta.<\/p>\n Le procedure interne devono essere snelle, veloci. Gli onori di casa vanno fatti subito. Generalmente, ad adempiere a questo compito sono il responsabile interno della privacy, il capo ufficio legale, il capo della funzione compliance o il Dpo.<\/p>\n Va tutto trascritto, registrato e controllato. Meglio riservarsi di verificare la correttezza di quanto dichiarato. Meglio ancora se a vagliare il tutto \u00e8 un legale interno alla societ\u00e0 o un consulente esterno.<\/p>\n Sar\u00e0 pi\u00f9 facile accedere alla documentazione richiesta. Tuttavia sono previsti quattordici giorni per l\u2019invio del materiale. Niente di preoccupante se nell\u2019immediato non vengono soddisfatte le richieste degli ispettori. Accade di frequente.<\/p>\n Le indagini durano circa due o tre giorni. Quindi \u00e8 necessario che la figura aziendale preposta a seguirle stenda un rapporto esaustivo su quanto \u00e8 accaduto.<\/p>\n Meglio solo le copie. Inoltre bisogna prendere nota delle banche dati ispezionate, farsi rilasciare una copia del verbale dall\u2019ispettore, dare sempre informazioni veritiere. In caso di dubbi, meglio non rispondere e rimandare ad accertamenti successivi. Come agli esami universitari, meglio tacere che dare una risposta scorretta. In caso di documentazione riservata \u00e8 bene cancellare o rendere anonimi dati sensibili che non si vogliono rendere conoscibili all\u2019ispettore. Per esempio, i termini economici degli accordi. Marino si chiede: \u201cle organizzazioni saranno sufficientemente responsabilizzate da reggere all\u2019impatto del Gdpr e delle nuove ondate di ispezioni dei prossimi semestri?\u201d.<\/p>\n Nelle settimane scorse \u00e8 circolata una notizia, poi rivelatasi falsa, su un possibile periodo transitorio da concedere alle aziende non compliant dopo la data del 25 maggio 2018. Il Garante \u00e8 dovuto intervenire pubblicamente per smentire qualsiasi informazione relativa a questo \u201cperiodo ponte\u201d. E confermare l\u2019effettiva entrata in vigore il 25 maggio. Anzi, a dirla tutta, una sorta di periodo transitorio c\u2019\u00e8 gi\u00e0 stato. Il Gdpr \u00e8 entrato in vigore nel 2016, ma le istituzioni europee hanno deciso di concedere ulteriori due anni per consentire l\u2019adeguamento alle aziende.<\/p>\n Notizie correlate:\u00a0PRIVACY: Fimmg, Ecco i passaggi per mettersi in regola entro il 25<\/a><\/p>\n![\"\"](\"http:\/\/www.fedaiisf.it\/wp-content\/uploads\/2014\/11\/Garante-per-la-protezione-dei-dati-personali.jpg\")
<\/a>Il Protocollo<\/a> garantisce standard elevati in una cornice normativa flessibile che facilita la loro adozione da parte di un ampio numero di Paesi, inclusi quelli che non fanno parte del Consiglio d’Europa. Costituisce, inoltre, un ponte tra i diversi approcci regionali, incluso il Regolamento (UE) 2016\/679<\/a><\/strong>\u00a0 (pienamente applicabile dal prossimo 25 maggio) che colloca l’adesione da parte di Paesi terzi alla Convenzione 108 tra i criteri da considerare nella valutazione di adeguatezza di tali Paesi nel contesto dei trasferimenti dei dati.<\/p>\n
\nGdpr [General Data Protection Regulation], ispezioni alla porta: ecco cosa fare<\/span><\/h2>\n
I controlli della Guardia di finanza o del Garante per il trattamento dei dati personali saranno costanti e non sempre comunicati per tempo. Ecco un vademecum per evitare errori che potrebbero costare caro alle aziende. Dal numero 158 di AboutPharma<\/h4>\n
![\"\"](\"http:\/\/www.fedaiisf.it\/wp-content\/uploads\/2014\/10\/guardiadifinanza.jpg\")
<\/a>Primo punto: essere pronti<\/h2>\nSecondo punto: trovare le risposte giuste<\/h2>\n
Terzo punto: avere una figura che segue le ispezioni<\/h2>\n
Quarto punto: verbalizzare quanto avviene e quanto viene detto<\/h2>\n
Quinto punto: avere una compliance privacy ben rodata<\/h2>\n
Sesto punto: considerare la durata delle operazioni<\/h2>\n
Settimo punto: mai rilasciare documenti originali<\/h2>\n
Ottavo punto: non ci saranno deroghe<\/h2>\n
![\"\"](\"http:\/\/www.fedaiisf.it\/wp-content\/uploads\/2014\/09\/schedario.png\")
<\/a>Nota<\/strong> Garante Europeo Privacy: \u00abarchivio<\/strong>\u00bb: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;<\/em><\/p>\n