Il Costo del DPO – Data Protection Officer

Responsabile della protezione (RDP)

Competenze e costi della figura professionale privacy

 

Con l’entrata in vigore del GDPR, dal 25/5/2018, si è resa obbligatoria per alcuni tipi di azienda la figura del DPO, un consulente altamente specializzato nella normativa e pratica in materia di protezione dei dati, capace di adempiere ai propri compiti.

Ci dovremmo pertanto trovare di fronte ad una figura di elevato livello professionale, di comprovata formazione, competenza ed esperienza, operante nel settore da diversi anni, e perennemente aggiornato.

 

Il responsabile della protezione dei dati deve essere designato in base alle sue qualità professionali, in particolar modo della conoscenza specialistica della normativa e delle prassi per la protezione dei dati, ovvero della sua capacità di assolvere ai compiti designati dall’art. 39 del GDPR.

Le mansioni indicate dal suddetto articolo sono:

  • informare e fornire consulenza al Titolare, o al Responsabile, e ai suoi dipendenti che eseguono il trattamento dei dati, in merito agli obblighi derivanti dal nuovo Regolamento e da altre disposizioni dell’Unione o degli Stati membri relativamente alla protezione dei dati (cfr. art 35)
  • sorvegliare che tali norme vengano rispettate, insieme alle politiche del Titolare o del Responsabile del trattamento in materia di protezione dei dati personali, compresi formazione e attribuzione delle responsabilità del personale che esegue i trattamenti o addetti alle attività di controllo
  • laddove richiesto, fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati dell’introduzione di nuove tecnologie nel processo di protezione, e controllarne lo svolgimento ai sensi dell’art. 35
  • cooperare con il Garante ed ogni organo di controllo avente l’autorità
  • operare da punto di contatto con l’autorità per il controllo per tutte le questioni annesse al trattamento, tra cui la consultazione preventiva ai sensi dell’art. 36, e le consultazioni inerenti a qualunque altra questione.

 

Come si evidenzia dalle specifiche dell’art. 39, ci troviamo di fronte ad una figura che svolge prettamente attività di consulenza, ovvero predisposta ad informare l’azienda in merito agli adempimenti normativi previsti e sorvegliarne l’osservanza degli stessi, con relativa applicazione. Anche per questo è altamente sconsigliato che il DPO sia un dipendente stesso dell’azienda, ma una figura consulenziale esterna ad essa.

 

Se ne deduce pertanto che, in ambito di costi, non possa essere una tariffa fissa, ma correlata sempre al tipo di interventi che il DPO deve operare nell’azienda, essendo una serie di aspetti altamente variabili sia da azienda ad azienda, sia nel tempo per la stessa azienda, laddove opera cambiamenti della sua attività, anche lievi.

Se prendiamo in considerazione

  • la grandezza dell’azienda,
  • il campo in cui opera,
  • il numero dei dipendenti,
  • la complessità dei trattamenti effettuati dal Titolare,
  • il tipo e la quantità di dati trattati,
  • la versatilità delle procedure,
  • la presenza di un sistema di gestione
  • le infrastrutture IT,
  • l’esposizione del sistema alle varie tipologie di Data Breach,

ci si rende conto come non sia possibile stabilire un costo forfettario per ogni azienda,ma che deve essere correlato a tutti questi, e molti altri, aspetti aziendali, valutati attentamente dopo aver conosciuto l’azienda in modo non superficiale come possa essere in un paio di incontri.

 

Di conseguenza, un DPO capace, consapevole e professionale non potrà mai stabilire una tariffa senza conoscere l’azienda ed avere eseguito almeno un Audit per conoscere meglio l’azienda e la tipologia di trattamenti effettuati. Chi si presenta a voi proponendo il servizio di Data Protection Officer a tariffa fissa, vi sta offrendo un servizio spesso scadente, solo per darvi una figura di “carta” e facendovi credere di essere compliant alla normativa.

Per concludere citiamo il Professor Francesco Pizzetti, docente di diritto all’Università di Torino e precedente Presidente dell’Autorità Garante della Privacy Italiana:

“Importante verificare che il DPO sia esperto in protezione dei dati e conosca bene il core Business aziendale. Il costo dipende poi da tutto questo. Sapendo che un buon DPO è un investimento anche se costa relativamente molto. Un cattivo DPO, soprattutto se incompetente, è un rischio gravissimo anche se (e soprattutto se) si fa pagare poco. Di solito vuol dire che sa di valere poco e comunque darà poco.”

 

La sentenza della corte di giustizia europea indica cos’è un “Archivio di Dati Personali”

La Corte di Giustizia Europea si è espressa in merito alla definizione di “archivio di dati personali”, fornendo un chiarimento fondamentale per la definizione stessa, che nonostante si basi sulla Direttiva 95/46, anziché sul GDPR, ha valenza anche per quest’ultimo, visto che riprende la nozione di “archivio” dalla Direttiva stessa.

E’ fondamentale osservare che questa sentenza è la prima (della corte di Giustizia) che chiarisce cosa si debba intendere con la definizione di “archivio di dati personali”.

Nella sentenza si legge: “Archivio di dati personali, altresì definito semplicemente “archivio”, un qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.

La definizione di “archivio”, secondo l’art.2, lettera c), della direttiva 95/46 include l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca”.

In sostanza, finora si era considerato archivio solo ciò che rientrava in una catalogazione in sistemi automatizzati, sofisticati, similmente agli archivi digitali, limitando l’applicazione della normativa solo a quelle tipologie di sistemi, e non tenendo in considerazione gli archivi cartacei.

La sentenza della Corte di Giustizia Europea sarebbe però da considerarsi pre-GDPR, in quanto riguarda la Direttiva 95/46, e non il GDPR stesso, che nell’art 4 definisce il termine “archivio”. Tuttavia, nel GDPR la definizione non è affatto chiarissima, come si evince dal testo: “Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato, o ripartito in modo funzionale o geografico”.

La parte affatto chiara riguarda pertanto i criteri determinati da utilizzare per accedere all’archivio, non chiarendo le caratteristiche che devono avere questi criteri, tanto che in passato numerose corti europee hanno appunto considerato archivi solo quelli comparabili ai digitali, escludendo i cartacei.

Nell’ultima sentenza, la Corte di Giustizia Europea va pertanto nella direzione opposta, includendo nella definizione di archivio anche quelle raccolte non automatizzate, cartacee, atte a raccogliere in modo organizzato i dati personali utilmente ad una successiva consultazione ed impiego dei dati stessi.

E’ pertanto un chiarimento fondamentale anche in riferimento alla denominazione di “archivio” del GDPR, che nella sua dichiarazione non risolve problemi interpretativi della definizione stessa.

California Consumer Privacy Act (CCPA)

Il 28 giugno 2018 il governatore Jerry Brown ha firmato il California Consumer Privacy Act (CCPA), considerate da molti come una delle leggi sulla Privacy più dure degli Stati Uniti.

Il CCPA è stato concepito per proteggere i californiani dalle società che accedono indiscriminatamente ai loro dati. Permette inoltre che i loro dati non vengano venduti.
E’ chiaramente una risposta ad un’iniziativa che si sarebbe dovuta votare a Novembre e che, nonostante non tutti siano soddisfatti della nuova legge, è stata pertanto ritirata.

Tuttavia, lo stato della California condurrà un periodo di consultazione pubblica prima del 2020 per permettere di fornire le opportunità di rafforzare questa nuova legge.

Il CCPA è stato appena varato, e sarà senza dubbio oggetto di molte analisi, ma qui intanto offriamo una prima panoramica.

Vi sono molte leggi e regolamenti sui dati, negli Stati Uniti, ma il CCPA è molto chiaro su ciò che propone, ed è, come detto, probabilmente la legge più dura in materia di privacy. La California spesso conduce a innovazioni, e possiamo aspettarci che altri stati, se non il governo federale stesso, adottino questa legge. In ogni caso, questo Stato comprende un mercato talmente vasto che la maggior parte delle aziende statunitensi sono attive lì, e dovranno seguire in ogni caso il CCPA.

Questo è destinato alle imprese che hanno un’entrata annuale pari o superiore ai 25 milioni di $, o che commercializzano dati di più di 50.000 utenti o endpoint, o il cui ricavato dalle entrate della vendita dei dati superi il 50% del fatturato.

CCPA VS. GDPR

Possiamo notare come il CCPA sia stato chiaramente influenzato dal GDPR dell’Unione Europea, ed è interessante confrontare i due atti legislativi.

Ad esempio, come il GDPR, anche il CCPA contempla il diritto all’oblio, il diritto alla portabilità, e all’accesso ai dati. A differenza del GDPR, però, prevede che i danni espliciti possono essere concessi ai singoli in caso di violazione dei dati.

Il CCPA, a differenza, non parla di titolare o soggetto dei dati, ma di “consumatore”, ovvero una persona fisica residente in California. Per persona fisica si intende però un individuo, una ditta, una società, una joint venture, un sindacato, un’associazione, una società a responsabilità limitata, un comitato o una qualsiasi altra organizzazione o gruppo di persone che agiscono in concerto.
Nel CCPA è il “consumatore”, e non la persona, che è salvaguardato nei suoi diritti.
Nel GDPR si parla di “Data Controller” e “Data Processor”, mentre il CCPA si occupa solo di “business”.

Altra differenza interessante tra GDPE e CCPA e la differenza tra dati e metadati.
Il CCPA dichiara molto chiaramente che il consumatore ha il diritto di essere informato delle categorie di dati personali, categorie di fonti di dati, e di categorie di terzi con cui un’azienda condivide i dati personali. Nel GDPR, invece, si parla solo di dati personali, e della necessità di un linguaggio semplice per la divulgazione agli interessati. L’enfasi che il CCPA posta sulle categorie solleva interessanti dubbi sui metadati, ovvero come le categorie, il modo in cui sono definite, e il modo in cui le informazioni sono effettivamente suddivise in categorie. Ovviamente, il CCPA tutela anche i diritti sui dati effettivi.

Un’altra differenza interessante è la specificità delle rivelazioni. Il GDPR afferma che agli interessati devono essere fornite spiegazioni chiare e specifiche su quali scopi verranno utilizzati i dati personali, e il controllore dei dati ha una certa libertà su come farlo. Il CCPA è invece più prescrittivo. Specifica che un’azienda “deve fornire un collegamento chiaro e ben visibile sulla home page internet aziendale, intitolata “Non vendere le mie informazioni personali”, ad una pagina Web internet che consenta ad un consumatore (o ad una persona autorizzata dal consumatore stesso) di scegliere se accettare o meno la vendita delle proprie informazioni personali”.

Il CCPA parla di inferenze in un modo che il GDPR non fa. Il GDPR ha un linguaggio sulla costruzione di un “profilo” di un soggetto dei dati. Il CCPA sembra invece andare oltre, includendo inferenze sui consumatori come parte delle informazioni personali. Nello specifico, le informazioni personali includono “inferenze tratte da qualsiasi informazione identificata in questa suddivisione per creare il profilo di un consumatore che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le preferenze, le predisposizioni, gli atteggiamenti, l’intelligenza, le abilità e le attitudini del consumatore.”

Un’altra distinzione tra GDPE e CCPA è che i danni possono essere concessi agli individui. Nel GDPR è possibile riscuotere multe per inadempienza che rappresentano il 4% delle entrate globali o 20 milioni di euro, a seconda di quale sia il maggiore importo. Il CCPA prevede che, in caso di violazione dei dati, un’azienda debba risarcire il consumatore da 100 a 750 dollari. Le stime di ciò che una violazione dei dati costa ad un’organizzazione in passato sono state nella gamma da 100 a 200 dollari, quindi questo potrebbe ora aumentare in modo significativo.

Ma ciò che il CCPA dà con una mano, si riprende con l’altra. I consumatori possono portare azioni, ma ci sono una serie di condizioni che devono essere soddisfatte perché si possa procedere, come informare il Procuratore Generale, che può agire al posto del consumatore. C’è inoltre qualche discussione sulle azioni legali collettive nel CCPA, e ovviamente lo Stato della California non vuole che questa legge porti ad una “fame frenetica” di contenziosi di class action. Potrebbe quindi essere difficile contenere questo aspetto, e c’è da attendersi sicuramente un intenso lobbismo da parte di gruppi legali, durante il periodo della consultazione pubblica nel 2019, per consentire alle imprese di essere più aperte alle cause legali collettive.

LA PRIVACY DEI DATI È QUI PER RIMANERVI.

Ci sarebbe molto di più da scrivere sul CCPA, ma per ora finiamo qui il nostro intervento. Quello che per ora possiamo già vedere, confrontando il CCPA e il GDPR, è che l’area della privacy dei dati è qualcosa che i governi stanno prendendo molto sul serio. Si può inoltre vedere che ci sono diversi patrimoni legali e culturali che influenzano il modo in cui le disposizioni legislative sono presentate dalle diverse giurisdizioni.
Sta infine diventando molto chiaro che i “dati” sono un’area così ampia che diverse leggi affrontano (o ignorano) diverse parti di esso, senza che nessuna di queste sia veramente completa, per la loro vastità e varietà.

Di sicuro, ci aspettiamo sviluppi interessanti, in merito.

Brexit e GDPR Privacy

Il governo Britannico ha pubblicato il “white paper” nel quale specifica le relazioni con l’Unione Europea dopo la Brexit. Il governo Britannico deve ancora definire come saranno trattai e trasferiti i dati personali tra UE e UK dopo la Brexit.

Ancorché il 25 maggio 2018 sia entrato in vigore il GDPR anche in UK. Tuttavia un’orientamento del governo UK si può intravedere nel punto 8.39 del “white paper” nel quel cita che la Commissione Europea è in grado di riconoscere gli standard di protezione dei dati di paesi terzi e decretarne l’essenziale equivalenza al GDPR.

Nel frattempo, durante il Brexit, UK tenterà di mantenere stabile il trasferimento dei dati tra UK e UE.

Bisognerà attendere le evoluzioni per capire anche come si comporteranno con il GDPR attualmente in vigore UK e quindi se lo aboliranno, se faranno una nuova normativa o se ritorneranno alla precedente legislazione.

Se un indirizzo email è presente su un social network non significa che posso inviargli mail commerciali!!!

Il Garante della Privacy dice:

No al social spam. 

Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

Il Garante non è nuovo a questi interventi e si è mosso su segnalazione di una società subissata di mail promozionali non richieste.

Dagli accertamenti, svolti presso la società dall’Autorità, in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social.

Dobbiamo ricordarci che le Linee guida sull’attività promozionale ed il contratto allo spam, emanate il 4 luglio 2013, hanno disciplinato il fenomeno del “social spam”, rendendo illecito il trattamento degli indirizzi di posta elettronica raccolti dai social network ed utilizzati per fini commerciali.

 

Il Garante ha ribadito che gli indirizzi reperiti sui social network non possono essere usati liberamente e, soprattutto, non possono essere usati a fini commerciali, scardinando la tesi sostenuta dalla società, rea di aver inviato le mail commerciali, la quale sosteneva che la semplice iscrizione a social network (Facebook, Linkedin, ecc) implica il consenso all’utilizzo dei dati personali per l’attività di marketing effettuate da terze persone. La non liceità dell’uso dei dati presi dai social, o più in generale dal web, è dovuta al fatto che le funzioni sociali dei social network sono preordinate alla condivisione di informazioni e allo sviluppo di contatti professionali, e non alla commercializzazione di prodotti e servizi.Questa opinione è sostenuta anche da tutte le altre Autorità per la Privacy europee.

Quindi cosa rischia chi fa uso delle mail reperite sui social network per fini commerciali?

La società in oggetto ha preso una ingente sanzione amministrativa, comunemente chiamante multa, e il blocco dei trattamenti, cioè il divieto di utilizzare le mail fino ad oggi raccolte, costringendola a ricominciare la raccolta dei contatti mail secondo quanto previsto dalla normativa.

 

Hai una APP della tua azienda, o stai pensando di farla? GUAI IN VISTA!

Sì perchè anche anche Google annuncia di fare sanzioni sulla privacy agli sviluppatori di App che non rispettano la normativa.

Google si sarà stancata di prendere multe privacy per colpa di quegli sviluppatori di applicazioni che non rispettano la normativa e trattano con eccessiva disinvoltura i dati personali con le loro applicazioni mobile.

Per questo ha deciso di applicare sanzioni, fra cui addirittura la cancellazione dell’ APP dal suo store, a chi sviluppa le applicazioni mobile senza rispettare la normativa sulla privacy.

Ed ovviamente chi sviluppa una app per conto tuo non paga mica lui l’errore, ma la paghi tu per lui!

Quindi, tu azienda che chiedi di sviluppare un’app per il tuo business, sai a chi rivolgerti per essere sicuro che sia in regola con la privacy, così da non rischiare sanzioni?

Il mio amico Marco Goretti ha chiesto aiuto per la privacy ad un informatico ed ha avuto delle brutte sorprese, (vedi la testimonianza video qui:https://goo.gl/TwWDuI );

VUOI CASCARCI ANCHE TU?

Oppure preferisci contattare un professionista che ti metta al riparo dalle sanzioni e ti faccia dormire sonni tranquilli?

Anche perché adesso oltre al Garante Privacy, la Guardia di Finanza e la polizia Postale si è messa a sanzionare sulla privacy anche Google (con gli strumenti in suo possesso) se non fai delle app che la rispettino!

Poi non dirmi che non ti avevo avvisato!

E se ti dicessi che elimineranno i fastidiosi Cookies dai siti Internet?

Finalmente i fastidiosi box cookies spariranno, o almeno così sembra trapelare da alcune indiscrezioni insieme alle nuove misure del regolamento privacy europeo che entrerà in vigore a breve.

I fastidiosi banner, in cui per proseguire la navigazione del sito senza disturbi inutili davi l’ok a prescindere, molto probabilmente saranno messi in cantina da parte dell’Unione Europea, in quanto molto fastidiosi e poco proficui per la tutela della nostra privacy.

Wow che bello! Quindi per chi ha un sito web la privacy sparisce?

ASSOLUTAMENTE NO. Anzi! C’è da non farsi trovare impreparati in quanto, non solo le sanzioni ed i controlli saranno più severi degli attuali, ma resteranno OBBLIGATORI:

  • le policy privacy nelle quali dobbiamo illustrare che vengono utilizzati i dati sul sito internet compresi i cookies
  • l’informativa clienti se ovviamente utilizziamo il sito per avere contatti ed inviare newsletters o materiale marketing a futuri clienti, con la famigerata richiesta del consenso.

Chi ci guadagnerà da tutto ciò?

Quasi tutti, sia i fruitori del sito, che non avranno più quel noiosissimo banner privacy disturbatore, sia i proprietari dei siti che usufruiranno di una razionalizzazione della normativa.

Ed anche noi che vi daremo sempre di più un’importante aiuto per essere in regola con la normativa, cho come vedi è sempre in costante evoluzione, così da evitare le grosse sanzioni previste dal garante.

Ma..qualcuno ci rimetterà di sicuro.

CHI?

Non siamo noi, ma tutti quei siti generatori on line di cookies law, che finalmente diventeranno a tutti gli effetti inutili … (per noi lo sono già e questo lo sapete se avete letto i precedenti articoli).

Come vedi lavoriamo in costante aggiornamento per GARANTIRE agli imprenditori la sicurezza di stare tranquilli, SENZA SANZIONI, perchè sempre in piena regola con le normative.

Ma ATTENZIONE oggi i cookies sono ancora legge!!!

Sei sicuro di essere in regola con la privacy del tuo sito internet e non incorre in inutili e pesantissime sanzione non per colpa tua?

richiedi subito un controllo del tuo sito web non aspettare di prendere una multa anche di svariate decine di migliaia di euro!

Quando ti senti un po’ Nostradamus

Quando ti senti un po’ Nostradamus

➡️ Come avevo previsto, il Divieto della Videosorveglianza sul lavoro batte il Jobs Act  ⬅️

Come avevo previsto nel precedente articolo, ora confermato dalla sentenza della Cassazione numero 51897/16 di questi giorni, è SEMPRE vietato l’utilizzo della videosorveglianza sui lavoratori. 

Schiere di giuristi avevano dato il via libera alle aziende per l’installazione di impianti di videosorveglianza sui luoghi di lavoro senza le preventive (e non automatiche) autorizzazioni dei sindacati o della Direzione Provinciale del Lavoro, dicendo che il nuovo Jobs Act del governo Renzi lo permetteva.

Non sono mai stato d’accordo con chi riteneva questo possibile e mi sono sempre battuto per una attuazione prudenziale di questa normativa molto insidiosa per i datori di lavoro.

Molti giuristi dicevano che si poteva fare.

Io sostenevo che non era da farsi.

E la cassazione ha detto di NO! Dandomi ragione!

Ma allora come posso utilizzare gli impianti di videosorveglianza nella mia azienda?

Te lo dico subito:

Questi impianti possono essere utilizzati SOLO:

▪️ rispettando la normativa privacy
▪️ chiedendo le autorizzazioni ai sindacati o in alternativa alla Direzione Provinciale del Lavoro
▪️ esclusivamente per esigente organizzative e di produzione
▪️ per la sicurezza sul lavoro
▪️ per la tutela del patrimonio aziendale

…ma,

👉 non possono MAI essere utilizzate per il controllo dei dipendenti!

Quindi se hai installato in azienda un impianto di videosorveglianza, sia prima, che dopo l’entrata in vigore del Jobs Act, richiedici un audit Videosorveglianza (controllo di conformità normativo) contattandoci ai recapiti sotto, così da evitare grosse ed inaspettate sanzioni!

Poi non dirmi che non ti avevo avvisato!

👉 Contattaci allo 0510827333 o manda una mail a mail@schmidtconsulting.it