GDPR: piccolo vademecum per grandi adeguamenti


Piccolo vademecum per gli adempimenti in ambito Privacy che le aziende sono chiamate ad adottare per adeguarsi all'impianto normativo europeo e nazionale
GDPR: piccolo vademecum per grandi adeguamenti

Come ti salvo l’azienda dal GDPR: piccolo vademecum per grandi adeguamenti

Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679 (da adesso GDPR), il quale apporta una serie di innovazioni e comporta una serie di obblighi, non solo per i singoli cittadini ma anche per aziende, enti pubblici, liberi professionisti ed associazioni.

Il Legislatore ha voluto introdurre regole più chiare in merito all’informativa ed al consenso stabilendo precisi limiti al trattamento automatizzato dei dati, alla relativa violazione e all’interscambio degli stessi al di fuori della Comunità Europea.

La definizione presente nell’articolo 4 stabilisce l’oggetto del regolamento:

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

e la gestione stessa come:

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Il consenso ad un certo trattamento che fino ad oggi poteva anche essere tacito, diventa obbligatoriamente esplicito ed il cittadino deve poter verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.

Per le aziende, di qualsiasi ordine e grado, per gli studi professionali, per tutti, è cambiata radicalmente la visione generale che passa da un censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio Sistema Rischi dove si devono fare attente misurazioni, mettere in atto politiche di riduzione del rischio, pianificare i costi che vanno ad impattare sul conto economico dell’impresa.

I legislatori europei hanno voluto evidenziare con forza l’importanza del provvedimento stabilendo forti sanzioni pecuniarie nel caso di violazione della norma (art.84).

Parimenti, le imprese che saranno particolarmente virtuose, in cui il titolare potrà in ogni momento certificare i propri trattamenti, avranno diritto a valutazioni meno stringenti nel caso si manifestassero problematiche nei processi privacy.


Che cosa bisogna fare quindi per implementare Sistema Privacy nella propria azienda?

Si dovranno formalmente individuare, definire e nominare, prima di tutto, i “soggetti del Regolamento”:

Il «titolare del trattamento» (art. 4) è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali...;

Il «responsabile del trattamento» (art. 4) è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento...;

Dovrà essere, quindi, mappata l’azienda, dando una rilevanza all’organigramma in modo da poter attribuire funzionalmente ogni risorsa ad una unità operativa, includendo non solo il personale dipendente, ma tutti coloro che hanno una qualche attività con l’impresa stessa (ogni persona che può essere coinvolta in un processo di trattamento dati).

Gli articoli 37, 38 e 39 del GDPR trattano della figura del DPO (Data Protection Officer) ed in particolare della sua designazione, posizione e dei compiti ad esso spettanti.

La figura del Data Protection Manager (DPO) non sempre è necessaria.


Designazione del responsabile della protezione dei dati

Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogni qualvolta:

•    il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

•    le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

•    le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Il DPO deve essere dotato di totale autonomia nella gestione delle problematiche affidate e devono essergli fornite risorse necessarie all’assolvimento dei compiti. Viene peraltro visto come consulente interno per i temi privacy, con posizioni e compiti chiaramente disciplinati.

La figura del DPO è già presente sullo scenario internazionale da molti anni come un consulente interno o esterno, esperto delle normative e delle problematiche privacy, sarà probabile che molte aziende, pur non obbligate ad avere un DPO, si doteranno di una figura con tale incarico, destinata a diventare il controller interno del Sistema Privacy.

In base a tale mappatura si dovranno focalizzare le risorse che vengono coinvolte nelle attività quali il censimento dei dati personali presenti e dei relativi trattamenti e riportare alle singole risorse gli incarichi relativi al trattamento di quei dati.

Si dovrà prevedere per ogni risorsa una lettera di incarico che evidenzi con puntualità compiti e responsabilità di trattamento e prevedere un piano formativo idoneo a preparare tali figure ad una corretta gestione del trattamento.

L’autorizzazione che il soggetto interessato, a cui fanno capo i dati personali, deve dare per un determinato trattamento ha subito con il GDPR una compiuta regolamentazione.

Il Codice della Privacy (D.lgs. 196/2003) permetteva, in talune situazioni, formule per cui la mancanza di opposizione ad un trattamento diventava implicitamente un assenso.

Il regolamento europeo si esprime invece definendo:

«consenso dell'interessato» qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Quindi, in ogni caso, l’interessato dovrà esprimersi in merito al trattamento, fornendo un consenso effettivo ed inequivocabile, ad esempio con dichiarazione scritta o attraverso mezzi elettronici o verbali (con registrazione).

Ogni operazione di comunicazione dovrà, quindi, far capo ad un preciso consenso formalizzato per ogni controparte, da esibire o riprodurre nel caso l’interessato ne facesse richiesta.

Attraverso l’informativa l’interessato viene messo a conoscenza di tutte le informazioni circa il trattamento e delle modalità in cui può esercitare i diritti riconosciutigli dal GDPR.

La conservazione ed il trattamento del dato creano eventi di rischio (accesso indesiderato, perdita, utilizzo non permesso, trattamento non conforme, ecc.).

Risulterà, pertanto, inevitabile attuare una Valutazione del rischio e/o un D.P.I.A. (Data Protection Impact Assessment, ovvero una valutazione di impatto sulla protezione dei dati), una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivante dal trattamento dei loro dati personali.


Qual è la strategia che avete in mente per adeguare la vostra attività gli standard GDPR? Quali strumenti possono aiutarvi a raggiungere nel modo migliore gli obiettivi previsti dal GDPR?

Che si tratti di una piccola o media azienda o uno studio professionale, il primo passo e poter disporre dell’organigramma aziendale aggiornato che fa da fulcro per tutte le operazioni di trattamento, per gli incarichi relativi, per le comunicazioni dirette e per la formazione.

Sarà necessario avvalersi di un software in grado di essere utilizzato su ogni postazione aziendale che fornisca strumenti correlati con le funzioni di cui la propria attività necessita.

Il database centrale su cui si basa l’applicativo deve contenere tutte le informazioni necessarie al Sistema Privacy e deve permetterne la storicizzazione periodica in modo da creare sistemi di reportistica.

Le funzionalità di document management permettono di archiviare, ad esempio, le lettere di incarico legate ai singoli trattamenti, o i report periodici o il materiale documentativo legato agli aspetti privacy.

L’applicativo deve ovviamente permettere di gestire un PIA nella sua interezza, di storicizzarlo, di generare un piano di interventi e deve essere possibile capire che nulla si è trascurato nella pianificazione e nella gestione delle problematiche privacy in modo da essere sempre pronti ad eventuali controlli in merito.

Il GDPR prevede ulteriori elementi di progettazione, introducendo ad esempio la Privacy by Design che con un innovativo approccio concettuale pone le basi della privacy del futuro.

L’articolo 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) si esprime in tal senso, ovvero la nascita del sistema di protezione avviene contemporaneamente con l’evento di rischio di cui si deve fare trattamento e quindi non si fa trattamento fintantoché l’intero sistema non è stato definito.

È certamente una visione innovativa del problema che obbliga tutti coloro che introducono nuovi fattori di rischio sul mercato ad introdurre e certificare anche gli opportuni sistemi di sicurezza e di mitigazione del rischio.

Nella progettazione delle banche dati si dovrà sempre cercare di rendere minimo il dato personale utilizzato concentrandolo in componenti limitate e protette, anche applicando la pseudonimizzazione dell’informazione (in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive).

Il medesimo articolo 25 ci dice anche che:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica (Privacy by default).

Il concetto è quello di utilizzare il numero di informazioni necessario e sufficiente al trattamento in atto per limitare già in fase di progettazione il rischio privacy.

Un ulteriore tassello della compliance, relativa al GDPR, è rappresentato dalla redazione dei Registri delle attività di trattamento.

In realtà i registri da conservare e mantenere sono due:

1.    Il registro del titolare del trattamento, che contiene:

•    Anagrafica del titolare stesso, di un contitolare se presente, del rappresentante e del titolare alla protezione dati;

•    Le finalità del trattamento;

•    Le categorie degli interessati a cui fa capo il dato;

•    Eventuali termini per la cancellazione automatica del dato;

•    Un’eventuale descrizione generale delle misure di sicurezza tecnico-organizzative.


2.    Il registro del responsabile del trattamento, in cui sono presenti:

•    L’anagrafica dei responsabili del trattamento;

•    La descrizione delle categorie di trattamento effettuati;

•    Opzionalmente la descrizione delle misure di sicurezza intraprese.


La conservazione può avvenire in forma cartacea, ma anche in forma elettronica rendendo sempre disponibile il dato ad eventuali ispezioni dell’autorità garante.

Ogni attività che dovrete intraprendere per organizzare monitorare e controllare gli aspetti legati al trattamento dei dati personali ha un preciso costo.

Un costo che cresce quanto più si trascurano gli aspetti preventivi legati alla mitigazione del rischio.

Una buona organizzazione vi consentirà di preventivare con buona approssimazione l’impianto di un sistema di gestione privacy efficiente che ridurrà gli imprevisti evitando di dover far fronte a situazioni dannose.

Ancor più quando, per trascuratezza, si rischiano pesanti sanzioni da parte del Garante Privacy (In Italia) e delle controparti nelle altre nazioni dell’Unione Europea se si opera sul territorio della Comunità.

Gli articoli 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) e 84(Sanzioni) specificano i criteri da adottare per sanzionare l’attore inadempiente, sanzioni amministrative pecuniarie che possono arrivare fino a 20 milioni di euro e, per le imprese, fino al 4% del fatturato annuo mondiale precedente.

Sono numeri che non possono essere trascurati e che diventano elevati solo se non si è in grado di aver creare, mantenere e gestire un Sistema Privacy di qualità.


Cosa fare in caso di “Data Breach”?

La «violazione dei dati personali» è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.

Il GDPR prende in considerazione le azioni da intraprendersi nel caso di perdita, distruzione, diffusione indebita di dati personali conservati, trasmessi o comunque trattati a causa di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi e altre calamità.

In particolare il testo del GDPR prevede l’obbligo di notifica all’autorità di controllo e la comunicazione della violazione al diretto interessato (art. 33 Notifica di una violazione dei dati personali all'autorità di controllo; art. 34 Comunicazione di una violazione dei dati personali all'interessato).

Questi i temi principali legati all’adozione del nuovo regolamento o GDPR.

Le evidenze riportate ne sottolineano le criticità ed introducono i percorsi che devono essere intrapresi per raggiungere l’obiettivo, soprattutto avvalendosi di professionisti qualificati e attenti.

 

Riportiamo alcuni collegamenti a siti in cui riportano aggiornamenti e notizie sul GDPR:
Garante europeo della protezione dati (GEPD)

Garante privacy

 

Avv. Valeria Crescenzo
Privacy & Data Protection Officer

Articolo del:


di Avv. Valeria Crescenzo - Privacy & Data Protection Officer

L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse