Iustec Protagonista dell’evento formativo Tradata
l’Avv. Maurizio Reale e l’ing. Leopoldo Zanini coinvolti nel progetto “QUATTRO ATTORI PER ZERO RISCHI – Oltre la perizia: Ingegneri, Imprese, Assicurazione e Legali come parti di un Sistema”
Lo scorso venerdì 29 novembre 2019 si è tenuto presso l’Hotel Astoria di Fermo il seminario “Quattro Attori per Zero Rischi – Oltre la perizia: Ingegneri, Imprese, Assicurazione e Legali come parti di un sistema” quale proseguo degli eventi divulgativi sul tema “Impresa 4.0” organizzati dalla Commissione ICT dell’Ordine degli Ingegneri di Fermo, in collaborazione con il Consiglio Nazionale degli Ingegneri, Federazione degli Ingegneri delle Marche, Confindustria Centro Adriatico, Confindustria Macerata, Confindustria Marche Nord.
L’evento si è posto l’obiettivo di fare il punto sul lavoro che da mesi la Commissione ICT Fermana, in collaborazione con l’Avv. Maurizio Reale del Foro di Teramo e del sig. Enrico Pambianchi (Consulente Assicurativo), sta svolgendo nell’interesse di ogni Attore coinvolto nell’incentivazione “Impresa 4.0”.
L’occasione ha permesso ai Relatori (ing. Roberto Fioravanti, ing. Leopoldo Zanini e ing. Simone Fedeli, sig. Enrico Pambianchi, avv. Maurizio Reale, ing. Sergio Botta, ing. Brunella Ortenzi) di stimolare i Professionisti Ingegneri affinchè cambino il proprio approccio da “garanzia di risultato” alla più corretta “garanzia di mezzi”, a seguito del’evoluzione del Paradigma dell’Ingegnere del Terzo Millennio, sempre più proiettato verso nuove tecnologie e scenari complessi e intangibili, dove il perimetro di verifica e controllo delle proprie azioni viene articolato da molteplici variabili difficimente prevedibili (cyberminacce, contesti simulati, ecc.).
La complessità e vastità delle nuove competenze richieste dal mercato necessitano di due comportamenti che il nuovo Ingegnere deve porre in essere: lavoro in equipe per condividere competenze, limitare le proprie responsabilità predispondendo manleve nei propri contratti di prestazione d’opera.
Lo stesso Codice Deontologico viene in aiuto, ricordando all’Ingegnere che NON deve assumersi responsabilità oltre il proprio perimetro di azione, NON può essere un Tuttologo e NON deve essere uno Yes Man in relazione ad ogni richiesta del Committente.
Il sig. Pambianchi, invece, ha evideziato i punti di vista della Compagnia Assicurativa, preoccupata dalla complessità del Ruolo del Perito/Consulente Impresa 4.0, e della soggettività interpretativa dell’Agenzia delle Entrate in merito alle definizioni lasche dei requisiti (interconenssione, telecontrollo, ecc.): definire chiaramente i ruoli, le responsabilità e limitare il proprio raggio di azione favorisce la corretta evoluzione del Professionista Ingegnere, più facilmente assicurabile e più credibile dallo stesso Committente. La possibilità di Polizze “Single Project” consentiranno, inoltre, di preservare la propria polizza RC dedicando al singolo caso una copertura ad-hoc.
l’avv. Maurizio Reale (Componente Consorzio Iustec), dal canto suo, ha evidenziato come già il Codice Civile (art. 2230) preveda la predisposizione di contratti di prestazione d’opera intellettuale con la specificità di perimetri di azione e manleve opportune, che purtroppo non sempre l’Ingegnere se ne agevola, questo perchè appassionato all’individuazione delle soluzioni e quindi “eticamente coinvolto” nella risoluzione del Problema proposto dal Committente. Lo stesso Reale suggerisce ai Professionisti Ingegneri di provvedere alla definizione dei più opportuni strumenti legali che anticipino e definiscano a priori le relative responsabilità, e che consentano al Committente e al Professionista di inquadreare correttamente il rapporto professionale.
La presenza dell’ing. Stefano Zannini, Direttore IT della Valmex spa, ha poi spostato l’attenzione sulle esigenze delle Imprese, che stanno modificando il proprio approccio ad “Impresa 4.0” come opportunità di ripensare e digitalizzare i propri processi produttivi, cercando nel Professionista Ingegnere un valido supporto Consulenziale nella “riqualificazione” e bonifica del DATO raccolto in produzione, al fine di ricavarne INFORMAZIONI sempre più utili nella formalizzazione delle decisioni di Business. Altresì l’ing. Zannini ricorda come l’Impresa richieda al Nuovo Ingegnere la capacità di Risolvere i problemi “chiavi in mano”, e questo puiò avverarsi solo in presenza di un Team di Professionisti.
Infine l’ing. Botta ha snocciolato gli undici obiettivi che la Commissione ICT Fermana si pone di raggiungere, suddivisi nelle tre aree di Intervento:
- Professionisti con la predisposizione di un “Protocollo” dell’Ingegnere I4.0, composto da contratti tipo cui l’Ingegnere possa perfezionare con il proprio Committente, comportamenti attinenti le linee guida che la Commisione intende emanare, polizze assicurative RC conseguenti il protocollo stesso
- Territorio con il presidio fisico, attività di promozione, protocolli di collaborazione con le principali Organizzazioni di Rappresentanza delle Imprese (Confindustria, Confapi, Confartigianato, CNA, ecc.)
- Sistema Ordinistico con un’assuzione Pro Attiva verso le Istituzioni Locali e Nazionali, al fine di stimolare il Legislatore in Leggi che facilitino il cambio di Paradigma.
“Il Ruolo dell’Ingegnere sta cambiando,” – racconta l’ing. Leopoldo Zanini (Componente Consorzio Iustec) – “attraverso una inesorabile evoluzione del Professista Ingegnere, ancora identificato dalla Società come “colui che costruisce case, ponti, strade, macchine, oggetti”. Le stesse Compagnie Assicurative continuano a promuovere Coperture Assicurative che ricalcano queste “percezioni”. Purtroppo l’Ingegneria dell’Informazione sta cambiando gli scenari professionali, e la specializzazione del singolo Professionista non basta a garantire un corretto approccio alle nuove esigenze delle Imprese. Oramai la richiesta da perte delle Imprese del “Temporary Problem Solving Engineer” è un fatto al quale ogni Professionista deve fare i conti. Occorre “astrarre” la propria passione alla risoluzione del problema assumendo il più corretto approccio “asettico” e consulenziale, come Professionisti di altre categorie fanno da tempo. Ciò a seguito del cambio di Paradigma che rende più complessa e “grigia” l’identificazione delle Singole Responsabilità (si pensino agli attacchi Cyber, i cui risultati non sempre dipendono dalla bontà delle scelte del Professionista). L’avv. Reale e il sig. Pambianchi ci stanno aiutando ad assumere la consapevolezza delle Manleve in ogni accordo professionale, e alla necessità di calibrare con attenzione le proprie polizze RC a seguito delle mutate condizioni al contorno. Questo nuovo approccio consulenziale distribuito su più figure (garanzia di mezzi) rispetto al precedente scorretto approccio al risultato del singolo, farà evolvere il Professionista garantendo lo stesso Committente che potrà affidarsi a Prefessionisti più realisti e collaborativi”
L’ Associazione Nazionale Commercialisti ha scelto il Consorzio Iustec per la gestione Privacy
L’Avv. Maurizio Reale del Consorzio Iustec è stato designato DPO dell’Associazione Nazionale Commercialisti, affiancato da altri componenti del Consorzio per le attività di Adeguamento GDPR.
L’Associazione Nazionale Commercialisti nasce nel 1950, ha sede a Roma e si compone di numerosi organismi aderenti, tra associazioni e delegazioni territoriali, distribuiti su quasi tutto il territorio nazionale.
L’ANC persegue lo scopo di rappresentare e tutelare gli interessi comuni e diffusi degli iscritti all’ordine dei dottori commercialisti e degli esperti contabili e di assumere, sostenere e valorizzare tutte quelle iniziative che, in campo contrattuale, tecnico, culturale, amministrativo e tributario, possano contribuire alla crescita e alla promozione della Categoria.
L’ANC, attraverso una diffusa e documentabile attività convegnistica, si propone di offrire ai colleghi occasioni di aggiornamento e formazione, anche attraverso l’espletamento, in collaborazione con gli Ordini territoriali, di attività prevista ai fini della formazione continua obbligatoria cui i professionisti iscritti sono soggetti per legge.
L’ANC è soggetto autorizzato dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro a svolgere attività per la formazione professionale obbligatoria degli iscritti ai rispettivi Albi.
L’Associazione, inoltre, è tra le Associazioni di categoria firmatarie del codice di autoregolamentazione delle astensioni collettive dalle attività svolte dai Dottori Commercialisti e dagli Esperti Contabili.
“E’ un onore ed impegno ambizioso affiancare ANC nella sorveglianza del Regolamento Europeo 679/16, per la tradizione culturale, etica e d’immagine che quest’Associazione rappresenta verso gli Associati e verso la Collettività” – queste le parole dell’Avv. Maurizio Reale che, così, prosegue – “Conosco la realtà ANC attraverso convegni condivisi, la qualità delle pubblicazioni e la specificità e la competenza dei Componenti sono da stimolo affinchè il mio ruolo sia di Garanzia per l’Associato e di Consulenza per l’Associazione”.
Secondo il Presidente del Consorzio ing. Peluso :
“La complessità della materia, l’eterogeneità delle competenze e quindi delle professionalità richieste per adempiere correttamente ad ogni requisito normativo, organizzativo e tecnologico, richiedono sempre più il coinvolgimento sistemico, metodico ed organizzato di più professionisti ed imprese. La scelta consortile stimola il confronto e la condivisione di opportunità tra soci, in una collaborazione a «geometrie variabili» adatta alle diverse tipologie di attività che il mercato richiede. Non a caso, proprio grazie alla conformazione consortile, è stato possibile far convivere le azioni di adeguamento e di controllo poiché associati differenti compiono attività diverse senza conflitto d’interessi. Anzi, la certezza della condivisione degli obiettivi e delle medesime sensibilità degli attori coinvolti nelle relative attività massimizza la collaborazione ottenendo come risultato un’aderenza alla norma in maniera più veloce ed esatta”
Privacy e GDPR?
UNA GUIDA PER CAPIRE COSA FARE
Il Regolamento GDPR non prevede la compilazione di modelli, dichiarazioni, schemi fissi predefiniti. Questo può costituire una difficoltà per le imprese, in quanto mancano punti di riferimento che aiutino ad orientarsi, a comprendere cosa occorre fare per “essere in regola”.
Il servizio ZGDPR fornisce , anzitutto, un “navigatore”, una mappa che guida l’impresa nelle varie tappe che la porteranno all’obiettivo finale.
UNO STRUMENTO PER FARLO NEL MODO PIU’ SEMPLICE
E’ così possibile individuare tutti gli elementi informativi necessari:
- persone dell’azienda o collaboratori esterni coinvolti;
- strutture fisiche (locali);
- software e strumenti utilizzati
Per i diversi tipi di documenti previsti dal GDPR (informative, consensi, incarichi…) esistono template precaricati, che sarà sempre comunque possibile personalizzare con la stessa semplicità di una videoscrittura.
ZGDPR è la soluzione Cloud che ti guida e supporta in ogni momento nella gestione degli adempimenti richiesti dal nuovo GDPR.
Gli impatti del GDPR sul business Quali sono gli impatti da considerare al di là delle sanzioni? E come possiamo essere proattivi di fronte al GDPR?
Con il nuovo regolamento denominato GDPR i cittadini dell’Unione Europea hanno un controllo molto più esteso di prima sui loro dati personali. Unitamente ad una maggiore rassicurazione sulle procedure di protezione dei dati stessi, che andranno aumentando di efficacia con il tempo.
Secondo il GDPR si intende per “dato personale” ogni informazione relativa ad una persona come una fotografia, un nome, un indirizzo email, un post su un social network o un indirizzo IP legato al computer con il quale viene effettuata una visita ad un sito Web.
In principio non esiste grande distinzione tra dati personali raccolti in contesti privati o in contesti lavorativi, quando si agisce come persone fisiche o come rappresentanti di un’azienda. E’ vero che le informazioni personali diffuse e raccolte nell’ambito di una relazione di lavoro sono collegate alle aziende che di fatto agiscono tramite i loro dipendenti e collaboratori. Ma è bene pensare che i diritti alla protezione del dato personale si applichino in generale a tutti i dati che fanno capo all’operato di un individuo.
Quali sono i diritti introdotti o rafforzati dal GDPR?
- Il diritto di accedere al proprio dato personale e di domandare come lo stesso viene trattato dalla società una volta raccolto,
- Il diritto di essere dimenticato, nel senso di vedere il proprio dato personale cancellato a richiesta,
- Il diritto alla portabilità del dato, quando si cambia fornitore ad esempio,
- Il diritto ad essere informato sulle procedure di raccolta del dato prima che il dato personale venga raccolto,
- Il diritto ad ottenere correzioni del dato quando il dato sia non aggiornato e/o non corretto,
- Il diritto a restringere gli ambiti del trattamento del dato o di fermare del tutto il trattamento, anche qualora il dato personale rimanga nei registri di chi lo ha raccolto,
- Il diritto di opporsi al trattamento del dato, specialmente al trattamento per fini di marketing diretto,
- Il diritto di ricevere notifiche nel caso in cui siano occorsi fatti che mettono in pericolo la protezione del dato personale, con immediatezza rispetto all’accadere del fatto stesso.
Di fatto le implicazioni che tali diritti pongono all’attività di business sono importanti. Le disposizioni che devono essere attuate allo scopo di permettere l’esercizio delle nuove protezioni del dato personale sono numerose.
Il modo più efficace per poter realizzare le disposizioni necessarie è probabilmente quello di agire proattivamente e facendo in modo che il GDPR diventi un’occasione per innalzare la qualità generale delle azioni compiute dall’azienda e dai suoi individui.
Le tante occasioni in cui i rappresentanti aziendali entrano in contatto con individui e con i loro dati personali possono quindi trasformarsi in momenti di esercizio della “disciplina della qualità” che ogni singola azienda può darsi per rispettare il GDPR ma anche per raggiungere i propri obiettivi.
In questo senso, l’attitudine positiva al GDPR e l’orientamento al business e alla reputazione aziendale sono concretamente due facce della stessa medaglia.
Come iniziare il processo per l’adeguamento al GDPR
Essere in linea con le richieste del GDPR e garantire il soddisfacimento dei diritti alla protezione del dato personale (link ad altro articolo) richiede un processo di adeguamento strutturato.
Da cosa iniziare?
Non basta adottare misure genericamente intese a proteggere le reti informatiche e a salvaguardare la correttezza degli interventi del personale sui dati, come accadeva in passato.
Una componente fondamentale del GDPR, infatti, è il principio che prevede la cosidetta “privacy by design”, ovvero un livello di protezione dei dati che viene garantito sin dalla protezione del modo con cui i dati stessi sono stoccati e trattati.
Sarà quindi necessario che ogni funzione aziendale si soffermi ad analizzare sul come vengono raccolti i dati nei diversi processi che la riguardano.
In linea generale le fasi da affrontare per iniziare il processo di adeguamento al GDPR si possono elencare in questo modo.
- Informarsi adeguatamente circa il contenuto del GDPR,
- Effettuare una comunicazione aziendale che consenta di informare i responsabili toccati dal processo,
- Raccogliere informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli,
- Analizzare il rischio connesso alla protezione dei dati,
- Determinare quali dati si intendano mantenere,
- Identificare e mettere in atto le contromisure di sicurezza necessarie,
- Disegnare i nuovi processi di gestione del dato e adottare gli strumenti necessari per la loro gestione,
- Stabilire le procedure di mantenimento della situazione di adeguamento.
Questi i passi strettamente necessari per una procedura minima di adeguamento.
E’ da intendersi che il disegno dei processi di gestione avrà riguardo non solo alle procedure di tipo tecnico / informatico. L’impatto del GDPR, infatti, rileva dal punto di vista di tutti i punti di contatto con i dati personali. Pertanto saranno da analizzare tutti i processi aziendali per disegnare le nuove attività con riguardo alle attività di:
- Selezione e gestione del Personale
- Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …),
- Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti,
- Produzione, che comprende processi in cui gli operatori agiscono con il loro nome in azienda e al di fuori,
- Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.
Rapporto CLUSIT 2018
(fonte: clusit.it)
La stima dei danni globali causati dal fenomeno ammontano a circa 500 miliardi di dollari. Si tratta di un vero e proprio “salto quantico”.
Mentre scrivo queste righe si sta votando in Italia. Si tratta di elezioni politiche di grande importanza cadute in un momento di attenzione mediatica spasmodica sul fenomeno cybercrime e di grandi investimenti in sicurezza per- lomeno sul fronte delle aziende grandi e grandissime per via dei progetti di adeguamento al GDPR. Tuttavia, nonostante questa “tenaglia” mediatico/normativa che ben difficilmente si ripresenterà nel breve periodo, la campagna elettorale non ha tenuto in nessuna conside- razione il tema della sicurezza informatica e della necessità di aumento dell’attenzione dei cittadini, della pubblica amministrazione e delle imprese su questo fenomeno.
In termini numerici, nel Report leggerete che si è assistito ad una crescita del 240% degli attacchi informatici rispetto al 2011, anno a cui risale la prima edizione del Rapporto Clu- sit, e del 7% rispetto al 2016. Ma non è tanto il dato numerico a spaventare quanto invece l’elemento qualitativo sottostante: oggi il fenomeno mira a interferire in maniera pesante non solo nella vita privata dei cittadini (peraltro vittime nel 2017 di crimini estorsivi su larghissima scala) quanto invece sul piano finanziario e geopolitico. Insomma, il gioco si fa serio e un altro innalzamento del livello potrebbe non essere sop- portabile.
Alcuni dati: il Rapporto Clusit 2018 sottolinea come il Cybercrime (la cui finalità ultima è sottrarre informazioni, denaro, o entrambi), è sempre la prima causa di attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016). Inoltre, sono in forte aumento rispetto gli attacchi compiuti con finalità di Information Warfare con un preoccupante +24% rispetto al 2016 ed ancora il Cyber Espionage (lo spio- naggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale) cresce del 46% rispetto al precedente periodo di osservazione. Il dato più interessante di tutti, e più preoccupante, è però quello relativo ai costi generati globalmente dalle sole attività del Cybercrime: dal Rapporto Clusit 2018 emerge infatti che sono quintuplicati per un importo complessivo, come già scritto a inizio prefazione, di 500 miliardi di dollari nel 2017. Si deve considerare, nel calcolo, che nel corso del 2017 truffe, estorsioni, furti di denaro e di dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. E l’Italia come è messa in questo contesto? Sulla base delle cifre in gioco a livello globale noi stimiamo che l’Italia nel 2016 abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro. Non abbiamo dati più recenti e non interessa forse neanche sapere se la cifra sovra o sottostima i danni. L’ordine di grandezza è sintomatico di un problema più ampio perché comunque sia i danni appaiono essere 10 volte superiori alla stima degli investimenti in sicurezza risultate dalle ricerche dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano.
Come nelle precedenti edizioni, il Rapporto Clusit 2018 dedica nei cosiddetti “Focus On” approfondimenti a singoli settori e a problematiche particolarmente attuali in tema di si- curezza cyber, a firma di esperti autorevoli. Quest’anno sono in evidenza la Sicurezza Ma- rittima, l’Industria 4.0, il Cloud, la Mail Security, il Business Risk, le attività di Profiling, la diffusione delle criptovalute e la Blockchain, il Ransomware, la Gestione dei Fornitori.
Come già accaduto nei mesi precedenti al Rapporto Clusit 2017 l’attenzione mediatica sul tema è fortissima e si contano a centinaia se non a migliaia gli eventi che vengono organiz- zati in Italia e che ruotano attorno, in questo momento storico, alla sicurezza informatica e al GDPR. Per questo motivo ci aspettiamo che gli investimenti in sicurezza aumentino così come ci attendiamo che sempre più forte sarà la spinta verso la esternalizzazione con la finalità di aumentare la sicurezza delle imprese e pubbliche amministrazioni che non avranno mai la capacità economica di proteggersi adeguatamente.
Vi lascio quindi alla lettura del Rapporto Clusit 2018 che avete fra le mani, augurandomi ancora una volta che la nostra ricerca serva ad aumentare la consapevolezza della necessità di una maggiore e sempre più efficace cultura della sicurezza informatica.
Ringrazio tutti coloro che hanno dedicato tempo e sforzi alla stesura del Rapporto Clusit 2018 e mi auguro che le elezioni politiche ci consegnino un governo ancora più attento a questa tematica e che miri alla cultura della sicurezza informatica fin dai più giovani e che completi e renda attuabile un quadro di indirizzo e normativo che permetta di raggiungere gli importanti traguardi necessari per vincere una sfida difficilissima.
2.500 copie cartacee, oltre 70.000 copie in elettronico e più di 300 articoli pubblicati nel 2017, sono l’evidenza della rilevanza del rapporto CLUSIT ed è quindi importante diffon- derlo, leggerlo, farlo conoscere, perché solo dalla consapevolezza può derivare la conoscen- za del problema, la capacità di adottare scelte idonee e quindi la sicurezza nostra e di tutti.
Fornitura di Data Protection Officer
Figura Professionale di Responsabile della Protezione dei Dati Personali
Tra gli adempimenti di più ampio impatto sul mercato con l’attuazione del GDPR, c’è l’obbligo a nominare il responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO).
Il DPO è un professionista la cui responsabilità è quella di osservare, valutare e suggerire la gestione del trattamento di dati personali all’interno di un’azienda, affinché questi siano trattati nel rispetto del GDPR.
Deve possedere competenze giuridiche, informatiche, di risk management e di analisi dei pro-cessi.
Sono obbligati alla nomina tutte le Amministrazioni Pubbliche, ed in ambito Privato le Organizzazioni le cui attività richiedono su larga scala un monitoraggio regolare e sistematico di Dati Personali, oppu-re quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.
Il Consorzio IUSTEC, grazie alla propria composizione di Professionisti, Avvocati ed Aziende ICT specializzate in temi di Privacy e Cyber Security, offre la propria esperienza nella fornitura di DPO certificati UNI 11697, ognuno con capacità specifiche nei maggiori ambiti di intervento (Sanità, Pubbliche Amministrazioni, ICT, Enti Formativi) al fine di assicurare la massima competenza.
I componenti del Consorzio IUSTEC sono Soci-Fondatori dell’Associazione
Avvocati: una guida sulle regole deontologiche in materia di privacy
L’articolo è pubblicato nella sua versione integrale sul quotidiano online di informazione giuridica “ALTALEX”, diretto da Alessandro Buralli.
Il contenuto dell’articolo proposto da Altalex, nella rubrica settimanale Avvocato 4.0, è una guida agile e chiara per garantire la compliance dello studio legale non solo al Regolamento europeo per il trattamento dei dati personali ma anche alle nuove “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, appena pubblicate in Gazzetta Ufficiale.
Valutazione di impatto: quando è necessaria?
Il Data Protection Impact Assessment, o DPIA, non è sempre un documento da redigere in forma obbligatoria. Tuttavia quando se ne configura l’obbligo, la sua assenza può portare a sanzioni molto importanti.
Il chiarimento sulle fattispecie che configurano l’obbligo è arrivato con il provvedimento del Garante della Privacy n° 467 dell’11 Ottobre 2018 in attuazione dell’articolo 35 del regolamento UE sulla protezione dei dati n° 2016/679 che affida alle autorità di controllo dei diversi stati europei il compito di identificare le fattispecie ove l’obbligo sia previsto.
Le situazioni che comportano l’obbligo configurano evidentemente un elevato rischio per le persone i cui dati personali sono oggetto di trattamento.
Le casistiche individuate dal Garante della Privacy italiano identificano 12 tipologie di trattamento da sottoporre a valutazione di impatto, nonostante l’elenco non debba ritenersi esaustivo:
- Trattamenti valutativi o di scoring su larga scala, profilazione e attività predittive anche online o attraverso app;
- Decisioni automatizzate che producono effetti giuridici (come lo screening dei clienti di una banca per il tramite di dati di una centrale rischi);
- Osservazione, monitoraggio o controllo degli interessati, trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (compresi i trattamenti di metadati);
- Trattamenti su larga scala di dati aventi carattere estremamente personale;
- Trattamenti nel rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione);
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
- Trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; intelligenza artificiale; assistenti vocali online attraverso lo scanning vocale e testuale; monitoraggi con dispositivi indossabili; tracciamenti di prossimità come il wi-fi tracking);
- Scambio tra diversi titolari di dati su larga scala con modalità telematiche; interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (ad esempio mobile payment);
- Trattamenti di categorie particolari e di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
- Trattamenti sistematici di dati biometrici;
- Trattamenti sistematici di dati genetici.