GDPR, i passi da fare per adeguarsi al Regolamento generale

Il GDPR, abbreviazione di General data protection regulation, è il nuovo regolamento generale europeo che indica le nuove disposizioni in materia di protezione dei dati personali (Consulta il testo del GDPR). È stato applicato a partire dal 25 maggio 2018, due anni dopo la sua approvazione, risalente al 2016. Questo regolamento non solo consolida le garanzie in materia di privacy nei confronti dei cittadini europei, ma ne decreta delle nuove.

Questo regolamento, compreso all’interno del “Pacchetto protezione dati”dell’Unione Europea, non ha avuto bisogno di particolari leggi di recepimento, ma è stato applicato automaticamente nelle legislazioni dei Paesi membri dell’Unione Europea. Occorre esclusivamente un lavoro di armonizzazione con le proprie leggi, da parte dei vari stati membri.

Leggi anche GDPR: Come e quando compilare la valutazione di impatto

Ecco il Capitolo 11 del libro “Come applicare il GDPR e il Codice privacy: 

I passi da compiere per adeguarsi al Regolamento generale sulla protezione dei dati personali

L’adeguamento al Regolamento generale sulla protezione dei dati richiede che le persone chiave della struttura organizzativa siano consapevoli delle modifiche intervenute in materia di protezione dei dati personali e siano coinvolte nello svolgimento delle operazioni necessarie per l’adeguamento ai nuovi adempimenti.

Quali concretamente i principali passi da fare per adeguarsi alla normativa in materia di protezione dei dati personali di recente applicazione?

Si rende necessario, in primis, analizzare quali siano le attività che abbiano un impatto da un punto di vista privacy, distinguendo le operazioni svolte quale titolare e quelle effettuate come responsabile del trattamento. Per quanto riguarda i trattamenti dei dati di cui il soggetto è titolare, occorre:

  • Effettuare una mappatura dei trattamenti svolti, analizzando le categorie di dati trattati e di soggetti interessati, le finalità per cui i dati vengono acquisiti e trattati e le basi giuridiche del trattamento, i tempi di conservazione, le misure tecniche e organizzative adottate, il flusso dei dati verso l’esterno – ed eventualmente anche all’estero – e verificando se si rendono necessarie delle modifiche al fine di garantire il rispetto dei principi generali e delle regole prescritte dalla normativa.
  • Predisporre e tenere aggiornati i registri delle attività del trattamento, contenenti tutti gli elementi indicati nell’art. 30 del GDPR.
  • Verificare se ricorre una delle ipotesi in cui si rende necessario designare il Responsabile della Protezione dei dati (o Data Prtotection Officer) e documentare le valutazioni compiute per stabilire appunto se si applichi o meno l’obbligo di nomina di un tale soggetto.
  • Valutare se, pur non sussistendo un obbligo di designazione di un Responsabile della protezione dei dati (o Data Protection Officer), sia comunque opportuno individuare e avvalersi di un tale soggetto.
  • Se si rientra nelle ipotesi in cui occorre designare un DPO o comunque se si ritiene opportuno procedere alla sua designazione su base volontaria, valutare attentamente il soggetto (interno o esterno) cui conferire tale incarico, verificando che lo stesso sia in possesso dei requisiti richiesti dalla normativa.
  • Analizzare tutte le attività che comportano un trattamento di dati e verificare quali soggetti siano coinvolti e a quale titolo.
  • Se si intendono svolgere attività con soggetti che condividono il potere decisionale su finalità e mezzi del trattamento, configurandosi un’ipotesi di contitolarità, definire rispettive competenze e responsabilità attraverso apposito accordo interno.
  • Se si intende affidare all’esterno o se si sono affidate all’esterno alcune attività (come ad esempio nel caso di agenti o fornitori di servizi IT) andrà sottoscritto con il soggetto esterno – responsabile del trattamento – apposito contratto (data processing agreement) in cui definire tutte le specifiche del trattamento, così come indicato nell’art. 28 del GDPR.
  • Autorizzare il personale interno al trattamento dei dati personali, rivedendo le precedenti nomine a responsabile e/o a incaricato gestite ai sensi degli artt. 29 e 30 del Codice privacy (ora abrogati), e istruirlo sulle modalità di gestione dei dati conosciuti nello svolgimento delle attività di propria competenza.
  • Verificare se le attività di trattamento svolte o da svolgere comportano un trasferimento dati all’estero e, in tal caso, la sua conformità alla legge, accertando, a tal fine, se vi è una decisione di adeguatezza (si pensi al Privacy Shield cui possono aderire le società americane) oppure, in assenza di tali decisioni, se vi sono garanzie adeguate di natura contrattuale o pattizia (fra cui le norme vincolanti d’impresa – BCR – e le clausole contrattuali standard) o, se non sussiste nessuna delle garanzie indicate, se il trasferimento dei dati avviene in base all’art. 49 (che individua la possibilità di trasferimento se vi è il consenso dell’interessato, se avviene per obblighi derivanti dal contratto di cui è parte l’interessato o sottoscritto a favore dell’interessato, per esercitare il diritto di difesa o in presenza delle altre condizioni indicate espressamente da tale norma).
  • Rivedere le procedure interne per garantire i diritti dell’interessato e per fornire riscontro alle richieste formulate, entro il termine di un mese definito dalla normativa.
  • Revisionare le informative privacy che ad oggi vengono gestite, integrando il contenuto di tali documenti con gli elementi richiesti dal Regolamento europeo in materia di protezione dei dati.
  • Verificare che le comunicazioni e le informazioni all’interessato siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
  • Analizzare le basi giuridiche del trattamento, prestando attenzione nel caso in cui lo stesso venga effettuato sulla base del consenso (dovendosi, in tal caso, garantire che l’interessato possa manifestare la sua volontà con un atto positivo, libero e specifico) o di un legittimo interesse (previa valutazione tesa a bilanciare lo stesso con gli interessi e le libertà degli interessati).
  • Valutare i rischi legati al trattamento svolto o da svolgere e, nel caso in cui gli stessi siano elevati, effettuare una valutazione di impatto per la protezione dei dati (DPIA), ai sensi dell’art. 35 del GDPR, potendo a tal fine utilizzare il software gratuito messo a disposizione dalla CNIL, indicato anche dal nostro Garante per la protezione dei dati.
  • Effettuare una consultazione preventiva solo nel caso in cui, all’esito della valutazione di impatto, dovessero residuare dei rischi.
  • Verificare le misure di sicurezza adottate e valutare la necessità di implementare nuove misure – tecniche e organizzative – che garantiscano un livello di sicurezza adeguato al rischio.
  • Dotarsi delle misure tecniche e organizzative necessarie per poter effettuare, entro 72 ore, le notifiche al Garante di eventuali violazioni subite (data breach) e tenere un registro in cui annotare le violazioni, anche quelle per cui si è ritenuto non fosse necessario effettuare la notifica.
  • Dotarsi delle procedure che consentano di valutare se si renda necessario comunicare la violazione dei dati all’interessato.

Per quanto riguarda le attività svolte invece quale responsabile del trattamento, occorre:

  • Analizzare il data processing agreement solitamente proposto dal titolare, verificando le istruzioni riportate, che il responsabile è tenuto a rispettare.
  • Acquisire l’autorizzazione (specifica o generale) del titolare per potersi avvalere di altri responsabili, sottoscrivendo con essi apposito contratto con cui imporre gli stessi obblighi in materia di protezione dei dati contenuti nel contratto stipulato tra titolare e responsabile del trattamento.
  • Dotarsi di un registro delle categorie di attività relative al trattamento svolte per conto di un titolare del trattamento.
  • Verificare se occorre nominare un Responsabile della Protezione dei dati (o Data Protection Officer), considerando, a tal fine, se si rientra in una delle ipotesi – previste dall’art. 37 del GDPR e della normativa nazionale – in cui la designazione è obbligatoria e documentare la valutazione compiuta che ha condotto alla scelta.
  • Dotarsi delle misure tecniche e organizzative necessarie per poter informare il titolare senza ingiustificato ritardo di eventuali data breach e – se previsto nell’accordo sul trattamento dei dati – adottare quelle misure tecniche e organizzative necessarie per effettuare direttamente le notifiche e le comunicazioni per conto del titolare, nel caso di violazioni.
  • Verificare se le procedure in essere consentono di poter assistere adeguatamente il titolare nell’evasione di richieste relative ai diritti degli interessati e nella valutazione di impatto – attività in cui il responsabile del trattamento può essere coinvolto attraverso le istruzioni contenute nell’accordo sul trattamento dei dati.
  • Analizzare le misure di sicurezza adottate e valutare la necessità di implementare nuove misure tecniche e organizzative che consentano di garantire un livello di sicurezza adeguato al rischio.

Sul GDPR consigliamo:

Come applicare il GDPR e il codice privacy negli studi e nelle aziende

Come applicare il GDPR e il codice privacy negli studi e nelle aziende

Roberta Rapicavoli, 2018, Maggioli Editore

Dal 25 maggio 2018 trova piena applicazione il Regolamento generale sulla protezione dei dati personali: si tratta del Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation, direttamente applicabile negli Stati membri UE. A partire dalla predetta data tutti...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Please enter your comment!
Inserisci il tuo nome