Il 25 maggio p.v. scadrà il termine per l’adempimento degli obblighi di adeguamento dipendenti dal Regolamento (UE) 2016/679 – GDPR in materia di Privacy.
Il nuovo Regolamento sulla privacy comporta l’adozione di una serie di misure organizzative ed operative in capo alle imprese, a tutela del trattamento dei dati personali e sensibili del personale, dei clienti e dei fornitori. Il mancato adempimento degli obblighi di legge comporta gravi sanzioni, in particolare in caso di trattamenti peculiari come il mancato “controllo” dei PC e delle reti aziendali (cyber security), la videosorveglianza, la geolocalizzazione, la profilazione dei clienti.
Importanti novità riguardano anche l’informativa sulla privacy, che dovrà contenere una serie di indicazioni aggiuntive rispetto a quanto previsto dall’attuale Codice della privacy, le procedure da attuare in caso di violazione degli archivi, il registro delle attività di trattamento e altro.
Nel dettaglio, sono di seguito indicate le macroattività necessarie affinché le aziende possano recepire in modo completo, adeguato e pertinente quanto previsto in oggetto.
Attività da svolgersi entro il 25 maggio 2018:
Sessioni formative rivolte ai dipendenti aziendali.
Analisi completa e dettagliata della situazione aziendale in merito allo stato di applicazione della normativa, primaria e secondaria, in materia di protezione dei dati personali
Si tratta di un’attività di valutazione approfondita della situazione dell’azienda rispetto agli obblighi stabiliti dalla vigente normativa.
Tra gli adempimenti cui l’azienda è tenuta, si elencano, a titolo solo esemplificativo e non esaustivo:
- fornitura di informative ai soggetti interessati;
- raccolta dei relativi consensi al trattamento;
- individuazione di responsabili al trattamento interni ed esterni;
- individuazione degli amministratori di sistema;
- predisposizione delle istruzioni agli incaricati del trattamento;
- verifica sulle politiche di trattamento dei c.d. “dati sensibili”;
- verifica della presenza di un sistema di videosorveglianza, ed analisi della conformità alle disposizioni vigenti in materia, in particolare alle previsioni del provvedimento in materia di videosorveglianza da parte del Garante della Privacy del 8 aprile 2010;
- verifica sulle prescrizioni in materia di trasferimento dei dati all’estero;
- adozione delle misure di sicurezza.
Analisi del rischio e realizzazione di adeguate procedure di controllo e implementazione delle misure di sicurezza nell’ottica del principio di accountability introdotto dal GDPR.
Il nuovo Regolamento UE GDPR 679/2016 in materia di protezione dei dati personali precede l’obbligo di effettuare un’analisi dei rischi circa la sicurezza dei dati. Tale attività consiste nella messa in atto di una previa valutazione dei rischi, per proteggere i dati personali dalla distruzione o dalla perdita accidentale o illegale e per impedire qualsiasi forma illegittima di trattamento.
L’approccio è dunque basato sull’analisi del rischio e delle misure di accountability (responsabilizzazione) di titolari e responsabili.
Il regolamento pone infatti con forza l’accento sulla accountability, cioè sull’adozione di comportamenti proattivi da parte di titolari e responsabili tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del Regolamento).
In base all’articolo 30 del GDPR, il responsabile e l’incaricato del trattamento devono infatti mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Revisione completa e stesura delle procedure e dei documenti richiesti per la compliance al GDPR
L’attività di revisione e di stesura delle procedure e della modulistica richiesta per la compliance al GDPR prevede di analizzare e predisporre una serie di elementi, alcuni già previsti dal D.Lgs. 196/03, altri che si rivelano una novità rispetto le precedenti disposizioni in essere, di seguito riportati.
Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento se effettuano trattamenti a rischio (es. stato di salute), devono tenere un registro delle operazioni di trattamento.
Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
I contenuti del registro sono fissati tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti: DPIA
La DPIA è uno strumento che consente ai titolari di implementare sistemi di trattamento dati conformi al regolamento, e in taluni casi di trattamento la sua conduzione è obbligatoria. Si tratta di una procedura scalabile che può assumere forme diverse, tuttavia i requisiti basilari di una DPIA efficace sono fissati nel Regolamento.
La DPIA è un elemento essenziale ai fini del rispetto del Regolamento qualora si preveda di svolgere o si svolga un trattamento a rischio elevato. Ciò significa che i titolari dovrebbero utilizzare i criteri indicati nel Regolamento per stabilire se sia o meno necessario condurre una DPIA. I titolari sono liberi, sulla base delle rispettive politiche interne, di ampliare la casistica dei trattamenti soggetti a DPIA oltre quanto richiesto dalla lettera del regolamento; in ultima analisi, così facendo si potranno accrescere la fiducia e l’affidamento degli interessati e degli altri titolari.
Se si prevede di svolgere un trattamento che può presentare un rischio elevato, l’approccio deve prevedere di:
- selezionare una metodologia per la conduzione della DPIA che soddisfi i criteri concordati con il titolare del trattamento, e dunque specificare e mettere in atto una procedura sistematica di DPIA;
- prevedere il coinvolgimento dei soggetti interessati e ne definisca con precisione le rispettive responsabilità (titolare, RPD/DPO, interessati o loro rappresentanti, responsabile della sicurezza informativa, ecc.);
- fornire all’autorità di controllo competente, ove previsto, la relazione sulla DPIA svolta;
- riesaminare periodicamente la DPIA e il trattamento che ne forma l’oggetto.
Consenso
Tutti i moduli e procedure relativi all’acquisizione e gestione del consenso devono essere oggetto di revisione, e se necessario di nuova stesura, alla luce dei criteri vigenti, alcuni dei quali introducono alcune novità di seguito riportate.
Per i dati “sensibili” il consenso deve essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione).
Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica, e prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.
Informativa
Tutti i moduli e procedure relativi alla gestione e i contenuti delle informative devono essere oggetto di revisione, e se necessario di nuova stesura, alla luce dei criteri vigenti, alcuni dei quali introducono alcune novità di seguito riportate.
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al D.Lgs. 196/03.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
In fase di verifica dei contenuti dell’informativa, particolare attenzione sarà prestata ai tempi e alle modalità dell’informativa.
Il Regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.
Nota:
ogni volta che le finalità cambiano il regolamento impone di informarne l’interessato prima di procedere al trattamento ulteriore.
Si deve dunque la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie prima del 25 maggio 2018.
Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica e delle modalità indicate nell’informativa stessa.
Diritti degli interessati
Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Deve inoltre essere oggetto di valutazione la complessità del riscontro all’interessato, per stabilire eventualmente l’ammontare del contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive).
Si deve inoltre definire la procedura di gestione di tali richieste, tenendo conto del fatto che la risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
E’ opportuno infatti che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica).
Quanto alla definizione eventuale di un contributo spese da parte degli interessati, che il regolamento rimette al titolare del trattamento, l’Autorità intende valutare l’opportunità di definire linee-guida specifiche.
Diritto di accesso
Deve essere definita una procedura riguardo l’esercizio del diritto all’accesso.
Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Oltre al rispetto delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti, i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali.
Diritto di cancellazione (diritto all’oblio)
Deve essere definita una procedura riguardo l’esercizio del diritto all’oblio.
Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione”.
Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.
Diritto di limitazione del trattamento
Deve essere definita una procedura riguardo l’esercizio del diritto di limitazione del trattamento.
Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.
Diritto alla portabilità dei dati
Deve essere definita una procedura riguardo l’esercizio del diritto di portabilità dei dati.
Si tratta di uno dei nuovi diritti previsti dal Regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare.
Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.
Poiché la trasmissione dei dati da un titolare all’altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto dovrebbero adottare sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile.
Attività da svolgersi successivamente al 25 maggio 2018:
Sessioni formative rivolte ai dipendenti aziendali.
L’ attività di formazione è focalizzata sulle tematiche specifiche relative alla normativa privacy e sull’adozione delle misure di sicurezza presso la sede dell’azienda.
Le sessioni formative, indirizzate al Responsabile della protezione dei dati, al titolare e ai responsabili del trattamento, trattano le responsabilità in materia, con riferimento al Regolamento europeo sulla privacy dal forte impatto sull’operare quotidiano, uniformato nell’intera UE.
L’obiettivo formativo deve consistere nel sensibilizzare i partecipanti sul valore dei dati, illustrare i principi, le responsabilità nel trattamento dei dati personali connesse alle funzioni, i rischi che minacciano i dati, le misure di sicurezza necessarie e gli adempimenti in materia.
I contenuti principali delle sessioni formativi dovrebbero essere tali da poter illustrare in modo esauriente:
- Definizione ed evoluzione del Codice della Privacy
- Organigramma privacy (Titolare, responsabile, amministratore di sistema, incaricato al trattamento)
- Adempimenti verso gli interessati (Informativa, consenso) e verso il Garante (notificazione)
- Sicurezza informatica, misure di sicurezza
- Responsabilità e sanzioni, le ispezioni del Garante
- Dal Codice della Privacy al Regolamento europeo in materia di protezione dei dati personali – Il Regolamento europeo: ambito di applicazione
- Trasparenza, Accountability, Privacy by design e privacy by default, la valutazione di impatto privacy
- Il registro dei trattamenti
- Data breach: la notificazione delle perdite di dati e attacchi informatici: nuovi
- obblighi e impatto
- Requisiti e contratti con i fornitori
- Cenni sul cloud e wi-fi
- Gli adempimenti relativi a particolari trattamenti di dati personali (videosorveglianza, geolocalizzazione, altri dati c.d. sensibili).
- I nuovi diritti sui dati degli interessati: portabilità e diritto all’oblio
- L’Autorità Garante ed il Comitato dei Garanti europei –
- Il data protection officer, ruoli, compiti, responsabilità, buone prassi
- Le novità in materia di sanzioni amministrative, responsabilità: come contemperare la trasparenza con il diritto alla protezione
- Casi concreti
