Riguardo al nuovo Regolamento Europeo sul trattamento dei Dati Personali, ecco un riassunto delle “best practice” che abbiamo raccolto insieme ad un gruppo di studio nato proprio per fare chiarezza ed aiutare i nostri Clienti.
DEFINIZIONI FONDAMENTALI
Trattamento: Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto, o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Titolare del trattamento (obbligatorio): è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Quindi ha il compito di impartire direttive e istruzioni sul trattamento dei dati e svolgere funzioni di controllo su essi.
Responsabile del trattamento (obbligatorio): è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento. Egli dovrà seguire meticolosamente le istruzioni del titolare del trattamento in fase di trattamento di dati sensibili. I compiti del responsabile sono di avvertire il titolare del trattamento in caso di data breach, rispettare i vincoli di riservatezza, cancellare o restituire i dati personali al termine del trattamento.
DPO (facoltativo): è il soggetto a cui il Titolare, o il Responsabile, si affida per garantire la conformità dell’organizzazione ai requisiti stabiliti dal Regolamento. Il DPO agisce in modo indipendente e riferisce direttamente ai vertici. È designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’arti. 39 GDPR. Il DPO risulta essenziale e raffigura il punto di riferimento per tutto ciò che concerne la Privacy e i mezzi necessari a preservarla. Infatti, si tratta di una figura professionale con conoscenze specifiche nell’ambito della sicurezza informatica e del GDPR.
A mente del Regolamento (art. 37), la nomina del DPO è obbligatoria:
- se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali; oppure
- se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; oppure
- se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Registro dei trattamenti (facoltativo): registro che deve contenere i seguenti elementi: il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO); le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie dei dati personali (dati sensibili, giudiziari ecc…); le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
L’obbligo di redazione e adozione del registro non è, tuttavia, generale. Il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
COSA FARE PER STARE IN REGOLA
1) MAPPARE I TRATTAMENTI (con il registro dei trattamenti).
2) INDIVIDUARE E ASSEGNARE I RUOLI CHIAVE SPIEGATI SOPRA.
3) DEFINIRE E ATTUARE GLI ADEMPIMENTI PER PRIORITA’ D’AZIONE.
- Assicurarsi che siano trattati solo i dati personali strettamente necessari alle finalità di trattamento;
- Identificare la base giuridica del trattamento (consenso, interesse legittimo, contratto, obblighi legali);
- Revisionare tutte le informative per essere conformi al Regolamento;
- Regolamentare i rapporti con i Responsabili del trattamento;
- Verificare che gli incaricati del trattamento siano a conoscenza degli obblighi in materia di protezione dei dati personali e che siano presenti clausole di riservatezza;
- Prevedere le modalità d’esercizio dei diritti degli interessati;
- Valutare e adottare le misure di sicurezza adeguate
Se sono stati individuati specifici trattamenti di Dati Personali suscettibili di generare dei rischi elevati per i diritti e le libertà dei Soggetti Interessati, dovrà essere eseguita una Valutazione d’Impatto sulla protezione dei dati per ognuno di quei trattamenti.
4) DEFINIRE MISURE DI SICUREZZA ADEGUATE (in base allo stato dell’arte aziendale)
Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5) DEFINIRE POLICY E PROCEDURE ORGANIZZATIVE
Con policy e procedure organizzative, si intende una serie di accorgimenti atti a garantire i diritti degli interessati. Ad esempio:
- la formazione dei soggetti interni che trattano i dati personali;
- la corretta gestione dei reclami e delle richieste di esercizio dei diritti da parte degli interessati;
- la prevenzione e la gestione delle violazioni ai dati personali.
6) DEFINIRE UNA PROCEDURA DI DATA BREACH
Con violazione dei dati personali si intende: “la violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Ci sono tre tipi di violazione:
- Di confidenzialità, quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale;
- Di integrità, quando si verifica un’alterazione di dati personali non autorizzata o accidentale;
- Di disponibilità/accesso, quando si verifica perdita, inaccessibilità, o distruzione, sempre non autorizzata o accidentale, di dati personali.
In caso di Data Breach è fondamentale essere tempestivi nel segnalare eventuali violazioni, sia al garante, sia al DPO e in alcuni casi anche ai diretti interessati (se i dati non erano crittografati o se non si è riparata la falla di sicurezza in tempi brevissimi).
Compito di accertare il data breach è del titolare del trattamento, o del responsabile che a sua volta ha il compito di avvisare immediatamente il titolare. Il titolare è obbligato a comunicare immediatamente la breccia all’Autorità di controllo.
All’interno della notifica di violazione vanno inseriti: la natura della violazione e le circostanze in cui si è verificata; il numero approssimativo di soggetti coinvolti; il contatto del DPO; le probabili conseguenze della violazione e le misure già adottate per ridurre i danni e porre rimedio alla violazione.
7) DOCUMENTARE LA CONFORMITA’
Documentazione necessaria per provare la conformità al Regolamento.
Tra la documentazione troveremo: Registro dei trattamenti, Informative, moduli raccolta consensi, attestazione dei consensi raccolti, gestione dei diritti esercitati, contratti e nomine dei responsabili, gestione degli incarichi del trattamento, procedure interne, analisi dei log, reports, configurazioni e policy).
