|
|
|
Quali sono i principali adempimenti cui un counselor è tenuto in vista dell’entrata in vigore del GDPR? Siccome siamo certi che questa domanda renda insonni le notti di molti professionisti, abbiamo dunque pensato di
redigere una sorta di checklist operativa, che prenda in considerazione non solo gli adempimenti previsti dal GDPR, ma anche quelli già previsti dalla normativa italiana attualmente in vigore, la quale non viene affatto abrogata
dal nuovo regolamento.
Premessa
Prima di tutto, però, iniziamo un po’ a “familiarizzare” con questo mondo, per molti counselor ancora poco conosciuto, con la consapevolezza che andremo a trattare argomenti che ai più risulteranno ostici.
Il General Data Protection Regulation, per gli amici GDPR, è il nome dato al Regolamento Ue 2016/679 ovvero il nuovo regolamento europeo sulla privacy che, in estrema sintesi (veramente estrema):
- Introduce regole più chiare sull’informativa e sul consenso al trattamento dei dati personali.
- Definisce i limiti al trattamento automatizzato dei dati personali.
- Pone le basi per l’esercizio dei nuovi diritti.
- Fissa le norme in caso di violazione dei dati (l’ormai famoso data breach).
L’applicazione del nuovo regolamento, varato nel 2016, partirà il prossimo 25 maggio 2018.
A questo punto vediamo insieme cosa, nel concreto, dobbiamo fare per essere in linea sia con il D. Lgs. 196/2003 (testo unico sulla privacy) sia con il Regolamento Ue 2016/649 (GDPR).
Ci siamo? Pronti, attenti... via!
Checklist operativa
1. Predisposizione della modulistica che deve essere utilizzata al primo incontro con il cliente per raccogliere i dati.
Continueremo a fare ciò che abbiamo sempre fatto ovvero richiedere ai nostri clienti il consenso al trattamento dei loro dati a seguito della consegna dell’informativa. La nuova informativa che sottoporremo ai nostri
clienti sarà però diversa da quella che attualmente utilizziamo (e che faceva, fino ad oggi, riferimento al solo D. Lgs. 196/2003) in quanto dovrà essere in linea con ciò che richiede il nuovo regolamento europeo.
I soci di AssoCounseling verranno avvisati non appena sarà disponibile sul sito web il nuovo modello da utilizzare.
2. Verifica dei dati che si intende sottoporre a trattamento.
Così come già previsto dall’art. 11 del D. Lgs. 196/2003, anche l’art. 5 del Regolamento Ue 2016/679 impone ai professionisti la così detta “minimizzazione dei dati”. Che significa? Significa che
dobbiamo raccogliere dati che non siano eccedenti rispetto alle finalità del trattamento, cioè che siano “limitati a quanto necessario, rispetto alle finalità per le quali sono trattati”.
Ai fini dell’erogazione di un intervento di counseling, che senso avrebbe richiedere al nostro cliente che numero di scarpe porta? Dovremo dunque richiedere solo quei dati effettivamente necessari
e utili per erogare un intervento di counseling, sia esso individuale, svolto in un’azienda, in una sessione di formazione, etc. Naturalmente il concetto di “necessario e utile” deve essere declinato in base
al contesto e dunque può variare.
3. Verifica che i dati raccolti siano sempre accessibili, ma solo al personale autorizzato.
Occorre, con buona pace dei disordinati cronici, una gestione “ordinata” dei dati e delle informazioni, siano essi conservati in forma cartacea (fascicoli, raccoglitori, etc.) o digitale (PC, tablet, etc.).
Tale gestione deve essere al riparo da occhi indiscreti, ma soprattutto deve essere tale da non consentire accessi da parte di estranei non autorizzati.
Se lavoriamo da soli (cioè se non abbiamo dipendenti o collaboratori) sarà sufficiente predisporre un luogo fisico per la gestione dei dati cartacei (una stanza che funge da archivio oppure un mobile
che può essere chiuso a chiave).
4. OK, ma io non lavoro da solo.
In questo caso devo nominare e istruire adeguatamente tutti i miei collaboratori o comunque chi, a vario titolo, può accedere ai dati che ho raccolto e che sto conservando. Dovrò anche modificare opportunamente l’informativa
per far sapere al mio cliente che non sarò il solo a entrare in contatto con i suoi dati.
Occorre redigere un organigramma (chi-fa-cosa) e procedere alle nomine. Per i soci di AssoCounseling saranno disponibili i facsimili per i contratti e le nomine degli incaricati.
5. Come stiamo messi a sicurezza informatica?
Il riferimento che troviamo nelle norme è relativo all’implementazione di software nonché di procedure adeguate a prevenire attacchi o minacce di vario genere.
Se non capiamo un tubo informatica, rivolgiamoci a un professionista esterno. Se invece pensiamo di poter fare da soli, allora dobbiamo provvedere a installare e tenere aggiornato un software antivirus
e un software anti intrusione (un firewall, ad esempio). Oltre a questo dobbiamo adeguatamente definire strumenti di verifica degli accessi (una password che abbia certe caratteristiche, ad esempio, e che venga cambiata
almeno una volta ogni 6 mesi).
6. Mi sa che, oltre al PC, utilizzo anche strumenti informatici rimovibili…
Gli strumenti informatici rimovibili sono, classicamente, i così detti hard disk esterni: dai più complessi e strutturati alla più semplice penna USB. Dovremo mettere in atto tutte quelle misure tese a minimizzare i rischi di
perdita accidentale o sottrazione fraudolenta dei dati.
Qui il minimo sindacale è rendere operativo l’hard disk esterno solo con una valida password di accesso. Dopodiché è necessario caricare e lasciare nell’hard disk esterno solo i dati necessari
che devono essere trattati nel corso della sessione esterna al proprio studio.
7. E quella roba che si chiama backup?
Forse è meglio se la chiamiamo salvataggio dei dati. Si tratta di un’operazione davvero fondamentale per la protezione dei dati dello studio e consiste nel copiare i propri dati (database, archivi, cartelle, etc.) in un
supporto esterno che dovrà essere (ovviamente!) anch’esso adeguatamente protetto.
L’allegato B al D. Lgs. 196/2003 ci dice che il salvataggio deve essere effettuato almeno una volta la settimana. Questo è il minimo, ma noi suggeriamo di farlo più spesso qualora facciate
quotidianamente molte modifiche e/o nuovi inserimenti. Il salvataggio può essere effettuato manualmente (copio i dati dal mio PC e li incollo fisicamente in un altro supporto) oppure attraverso appositi software che,
oltre a copiare i dati, fanno molto altro (verificano le differenze e ne tengono traccia, provvedono a fare ripristini mirati, etc.).
8. Quando sarò in pensione avrò sempre accesso ai dati raccolti nel corso della mia attività lavorativa?
Assolutamente no! Ogni professionista è obbligato a definire il periodo di conservazione dei dati (che non può essere eterno!!!).
Oltre a definire questo periodo (in alternativa sarà sufficiente indicare i criteri utilizzati per determinarlo) occorre ricordarsi di farne apposita menzione nell’informativa.
9. Il mio meraviglioso PC, compagno di tante scorribande, ha esalato l’ultimo respiro: che devo fare?
Il tema della così detta “spazzatura elettronica” è cruciale nell’ambito della nuova normativa. Se decidi di buttare via il tuo vecchio PC, non puoi semplicemente riporlo nel cassonetto della indifferenziata,
ma devi adottare misure specifiche.
In questo caso ci viene in aiuto il provvedimento del Garante del 5 dicembre 2008, che spiega bene e nel dettaglio cosa fare per dismettere un PC. Lo trovi tra i link alla fine di questa pagina.
10. Il mio studio è protetto in maniera tale da prevenire accessi fisici indesiderati o comunque fraudolenti?
Qui occorre fare la disamina dei luoghi fisici dove svolgiamo le attività di counseling. Naturalmente avere uno studio autonomo è diverso dall’avere una stanza esclusiva in uno studio associato ed è ancora diverso
dall’avere una stanza condivisa con altri all’interno di uno studio.
Come regolarsi? L’unica risposta possibile è con il buon senso. Pensate ai dati che gestite come a una cosa “preziosa” (dei gioielli, ad esempio) e regolatevi di conseguenza. La massima
attenzione va posta se condividete una stanza con altri. In questo caso il minimo sindacale è avere un proprio armadietto chiuso a chiave, un proprio pc o, in alternativa, un pc che abbia profili di accesso differenziati e
riservati. Verificare inoltre che la porta di ingresso della stanza di cui avete la disponibilità sia chiusa a chiave e che anche gli altri che ne usufruiscono facciano altrettanto e adottino le medesime attenzioni.
Il principio di responsabilizzazione
Il nuovo regolamento introduce il principio di “accountability” ovvero di responsabilizzazione. Ciò significa che per ogni trattamento deve essere possibile risalire ai presupposti giuridici che giustificano lo stesso:
l’informativa, la base giuridica su cui si fonda il trattamento (es. il consenso, il legittimo interesse, l’obbligo contrattuale, l’obbligo di legge), il periodo di conservazione di tali dati, etc.
Secondo Paolo Balboni, Presidente della European Privacy Association, la privacy deve essere gestita a livello di modello ciclico. Pensiamo per esempio al “ciclo di Deming: Plan-Do-Check-Act”, ovvero il ciclo
di continuo miglioramento. Lo stesso dovrebbe avvenire dal punto di vista della privacy.
A nostro avviso, per un counselor, “principio di responsabilizzazione” significa anche affiancare a un profilo meramente giuridico una dimensione etica che “promuove un decisionismo responsabile che sia in grado di
promuovere un dialogo rispettoso della legalità e della capacità di rispettare il principio di trasparenza”.
Dì la verità: dopo questa lettura ti sei quasi appassionato all’argomento, vero? Di seguito alcuni link utili.
Per approfondire
Decreto legislativo, testo coordinato, 30/06/2003 n° 196, G.U. 29/07/2003
http://www.altalex.com/documents/codici-altalex/2014/02/10/codice-della-privacy
Come rottamare il pc in tutta tranquillità
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1571960
GDPR: il Modello Organizzativo Privacy in materia di protezione dei dati personali
http://www.unolegal.it/gdpr-modello-organizzativo-privacy/
Il GDPR in 10 passi
https://www.cws.it/pdf/assets/0L1nB_Il%20GDPR%20in%2010%20passi.pdf
Il principio di accountability: uno dei pilastri del GDPR
http://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr
Regolamento CE, Parlamento Europeo 27/04/2016 n° 679, G.U. 04/05/2016
http://www.altalex.com/documents/news/2018/03/05/regolamento-generale-sulla-protezione-dei-dati-gdpr
|
|
titolo: Counselor a prova di GDPR. Il vademecum chiaro e semplice di AssoCounseling
autore/curatore: Tommaso Valleri
argomento: Privacy
fonte: AssoCounseling
data di pubblicazione: 11/05/2018
keywords: privacy, GDPR, accountability, counseling
|