GDPR: Come adeguarsi al nuovo Regolamento sulla privacy

nuovo regolamento privacy

Il 25 maggio 2018 sarà operativo il nuovo Regolamento Generale Europeo per la protezione dei dati personali (GDPR), che uniformerà le normative sulla privacy in tutti i paesi europei. L'obiettivo della Commissione Europea è quello di semplificare il contesto normativo che riguarda gli affari internazionali, garantendo a tutti i cittadini europei il controllo sui propri dati personali.

Il nuovo Regolamento è stato sviluppato in particolare per chiarire l'utilizzo dei dati personali fatto dai social network e dai provider di servizi cloud. Delinea una serie di azioni da attuare per prendere le misure di sicurezza che implicano in molti casi una riorganizzazione strutturale per le imprese.

Abbiamo visto in un precedente articolo (Il nuovo regolamento europeo sulla protezione dei dati personali) quali siamo le principali novità; ora andiamo più nello specifico e vediamo cosa devono fare concretamente le imprese per adeguarsi al regolamento, e arrivare preparate al prossimo maggio.

Le prime azioni da intraprendere, secondo il Garante della Privacy, sono:
  • Nominare in tempi stretti il Responsabile della protezione dei dati;
  • Istituire il Registro delle attività, in cui vanno descritti i trattamenti dati effettuati e le procedure per la sicurezza adottate;
  • Notificare la violazione dei dati personali entro 72 ore.

adeguarsi al regolamento europeo protezione dati

Il progetto di adeguamento

Prima ancora di muoversi verso l'adeguamento burocratico, le aziende dovrebbero informarsi per comprendere l'importanza e il valore dei dati, oltre ai danni economici legati alla perdita delle informazioni: se un'impresa perde dati rilevanti, perde denaro come diretta conseguenza.

Le aziende dovrebbero strutturare un progetto che consenta loro di pianificare tutte le azioni da compiere per adeguarsi al Regolamento e avere la certezza di non aver trascurato informazioni importanti riguardanti se stessa ed eventuali società ad essa collegate. Le imprese singole dovranno muoversi in autonomia, mentre nelle aziende con varie sedi e nei gruppi di imprese, è la casa madre a doversi occupare di organizzare un progetto di adeguamento per tutte le società controllate.

L'analisi preliminare sul contesto aziendale serve ad avere un quadro completo e schematizzare l'organizzazione dei ruoli, la cultura e le competenze a disposizione, i processi e le regole di gestione dati, la documentazione che ha effetti sul trattamento, le tecnologie e gli strumenti per la gestione della sicurezza informatica, i sistemi di controllo e di audit interno.

Per adeguarsi al Regolamento le aziende devono capire se possono gestire il progetto con le proprie risorse o necessitano di una consulenza esterna. Il progetto di adeguamento al GDPR serve per assicurare un'applicazione omogenea delle norme sul trattamento dei dati, valutare le implicazioni delle nuove disposizioni sui processi esistenti e individuare i punti critici e le azioni da attuare per adeguarsi al Regolamento.

Via Agenda Digitale

Il Titolare del trattamento

Questa nuova figura sarà obbligatoria in tutte le imprese e avrà un ruolo chiave nella gestione di tutte le attività effettuate sui dati personali.

Il Titolare del trattamento dei dati è la persona fisica, o la persona giuridica (ente, società, associazione) che prende le decisioni sulle modalità e sulle finalità del trattamento dei dati, sugli strumenti da utilizzare e sulle misure di sicurezza. È anche il responsabile in caso di violazione del Codice Privacy.

Se il Titolare è individuato nella persona giuridica che corrisponde alla società, all'ente o all'associazione, non vi sarà la necessità di cambiare i documenti sulla privacy al variare della persona fisica che rappresenta l'organizzazione (amministratore, direttore, ecc.).

Il Titolare ha il ruolo di progettare le regole di trattamento dei dati, organizzando le strategie di raccolta, utilizzo, elaborazione. Dovrà inoltre dimostrare di minimizzare i rischi di violazioni, prendendo delle adeguate misure di sicurezza.

Per eseguire le operazioni di trattamento inerenti all'attività, il Titolare può naturalmente avvalersi di collaboratori (sia interni che esterni); spetta comunque a lui valutare l'adeguatezza del personale e se necessario prevedere dei corsi di formazione.

titolare trattamento dati

Il Responsabile del trattamento

Un'altra figura ha un ruolo importante nel processo di trattamento dei dati messo in atto dal Titolare: il Responsabile del trattamento. Anche in questo caso può trattarsi sia di una persona fisica che di una giuridica, può essere un soggetto pubblico oppure privato.

Il Responsabile viene nominato dal Titolare e si occupa di gestire il trattamento dei dati, completamente o solo in parte. Il potere decisionale riguardo a finalità, mezzi e modalità del trattamento spetta comunque solo al Titolare.

La nomina del Responsabile è facoltativa, ma la sua figura è prevista perché può capitare che il Titolare non abbia tutte le competenze pratiche – operative necessarie alla corretta gestione dei dati, soprattutto nei casi di grandi organizzazioni in cui il Titolare ha numerosi adempimenti. La figura del Responsabile quindi è stata pensata come una prima misura per contrastare i rischi connessi alle attività di trattamento dati.

servizi cloud web hosting

Web hosting

Chi gestisce un sito web deve sapere che il servizio di web hosting è giuridicamente responsabile del trattamento dei dati, perché elabora i dati per conto del Titolare. Quindi è necessario un contratto scritto tra Titolare e web hosting, in cui indicare cosa può fare il web hosting con i dati e quali misure di sicurezza deve adottare. In caso di violazioni commesse dal web hosting, il Titolare sarà comunque il responsabile di fronte alle autorità. 

Il Registro delle attività di trattamento svolto

Il Registro dei trattamenti sui dati personali è uno strumento indispensabile per gestire le informazioni in modo conforme al GDPR, ma anche per documentare e dimostrare tale conformità.

Sarà obbligatorio per tutte le imprese che superano i 250 dipendenti. Quelle che ne hanno meno possono non adottarlo, a meno che non trattino dati sensibili o categorie particolari (definite dagli articoli 9 e 10 del GDPR), e che il trattamento dei dati non presenti un rischio per i diritti e la libertà dell'interessato.

Il registro dovrà essere gestito dai titolari e dai responsabili dei dati, che saranno obbligati a cooperare con il Garante della Privacy e a consentirgli l'accesso su richiesta, per monitorare ed esaminare le operazioni del trattamento.

registro del trattamento dati personali

L'istituzione del Registro delle attività servirà a garantire:
  • il controllo della sicurezza sui dati personali;
  • il diritto all'oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali quando non servono più alle finalità per cui erano stati forniti;
  • la portabilità dei dati da un titolare ad un altro, semplificando molte pratiche burocratiche per l'interessato;
  • valutare ed analizzare i rischi dei trattamenti.

Sapere con esattezza quali trattamenti siano svolti in azienda, con quali modalità e quali siano le misure di sicurezza prese, permetterà infatti alle aziende di valutare se sono state adottate tutte le misure necessarie a garantire il rispetto della privacy.

Il registro è uno strumento utile per mappare i flussi di dati in modo ordinato e organizzato, verificare che tipo di rischi ci possano essere in relazione agli specifici trattamenti, individuare le criticità e valutare le azioni da intraprendere per minimizzare i rischi e garantire l'integrità e la riservatezza secondo le nuove regole.

Il registro quindi “non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali” (http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali). Per questo il Garante della Privacy invita tutte le imprese ad istituire il registro, indipendentemente dalle loro dimensioni.

esempio di registro trattamento dati
Via Orlandi & Partners

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e prevede i seguenti contenuti obbligatori (definiti nell'articolo 30 del GDPR):
  • nome, cognome e contatti del Titolare del trattamento, del Rappresentante del Titolare e del Responsabile della protezione dei dati (se presenti)
  • finalità del trattamento dei dati
  • descrizione delle categorie di dati e delle categorie di interessati
  • descrizione delle categorie dei destinatari a cui saranno comunicati i dati personali (comprese imprese e sedi estere)
  • indicazione dei trasferimenti di dati verso paesi esteri e organizzazioni internazionali, con identificazione dei destinatari
  • termini previsti per la cancellazione delle diverse categorie di dati
  • descrizione delle misure di sicurezza tecniche e organizzative, documentando le motivazioni.
Questa è una lista dei contenuti minimi che devono essere indicati nel registro, ma dato che è anche uno strumento operativo potrà ovviamente contenere tutte le informazioni utili al Titolare per la gestione dei dati.

Sanzioni

Le imprese che non si adegueranno in tempo al Regolamento andranno incontro a pesanti sanzioni pecuniarie: fino a 20 milioni di euro o al 4% del fatturato totale annuo.

Concludendo

Il nuovo Regolamento Europeo per la Protezione dei Dati Personali implica una riorganizzazione strutturale da parte delle imprese riguardo alla gestione di tutti i dati raccolti nel contesto aziendale.
Per adeguarsi alle nuove norme, le aziende dovranno innanzitutto eseguire un'analisi preliminare e valutare le risorse a loro disposizione, le tipologie dei dati raccolti, i processi utilizzati e le tecnologie di cui si avvalgono. L'analisi preliminare porterà ad avere un quadro completo sul proprio modello di gestione dei dati e sarà utile per individuare un sistema di controllo sulla sicurezza. 

Sarà poi necessario nominare un Titolare del trattamento, che potrà essere una persona fisica oppure coincidere con la società, l'ente o l'organizzazione (persona giuridica) che prende le decisioni in merito al trattamento dei dati e alle misure di sicurezza attuate. Il Titolare potrà nominare a sua volta un Responsabile del trattamento, che lo affiancherà nella gestione dei dati, completamente o solo in parte. Entrambe le figure dovranno avere delle competenze approfondite in materia di protezione della privacy che potranno ottenere tramite gli appositi corsi di formazione organaizzati dal Garante della Privacy.

Le imprese con più di 250 dipendenti avranno inoltre l'obbligo di istituire il Registro delle attività di trattamento, nel rispetto dei requisiti obbligatori indicati nel GDPR. Si tratta di uno strumento utile per gestire in modo corretto e organizzato i dati personali, individuare le criticità, valutare e minimizzare i rischi sulla sicurezza; per questo il Garante della Privacy ne consiglia l'adozione a tutte le imprese, indipendentemente al numero di dipendenti. 

L'introduzione del GDPR porterà quindi a semplificare e uniformare le varie normative di tutti i paesi UE e garantirà un alto livello di sicurezza a tutti i residenti in Europa. Le imprese dovrebbero iniziare sin da ora a muoversi verso l'adeguamento, per non arrivare impreparate al prossimo 25 maggio. 

Elena Cressotti

Approfondimenti

Il Regolamento Generale sulla Protezione dei Dati:
https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati
 

Adeguarsi al Gdpr in Italia: i passi da fare (per evitare problemi):
https://www.agendadigitale.eu/sicurezza/adeguarsi-al-gdpr-i-passi-da-fare-per-evitare-problemi/ 

[GUIDA] Come costruire il registro dei trattamenti privacy in azienda secondo il GDPR:
http://www.orlandi.mobi/2017/06/21/guida-come-costruire-il-registro-dei-trattamenti-privacy-in-azienda-secondo-il-gdpr/ 

Protezione dei dati, come fare bene l'analisi dei rischi:
https://www.agendadigitale.eu/sicurezza/protezione-dei-dati-perche-lanalisi-dei-rischi-e-cruciale-per-le-aziende/
 
Garante Privacy: Guida all'applicazione del Regolamento:
http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali

Corso di base certificato sul regolamento generale sulla protezione dei dati (UE-RGPD):
https://www.itgovernance.eu/shop/product/corso-di-base-certificato-sul-regolamento-generale-sulla-protezione-dei-dati-ue-rgpd?gclid=Cj0KCQiA9_LRBRDZARIsAAcLXjc0v3x0F4o0ztcvVjceGmrDZ7EQGgulX3zuZILIwu3XN2Th689uMqkaAiCbEALw_wcB

Iscriviti alla newsletter