ADEMPIMENTI NECESSARI PER L’ ADEGUAMENTO AGLI OBBLIGHI PRIVACY E GDPR

Il 25 maggio 2018, è entrato in vigore il Regolamento (UE) 2016/679 (di seguito, anche, «GDPR»), il quale ha tra i suoi obiettivi e novità quelli di:

  • armonizzare la disciplina sulla protezione dei dati personali all’interno di tutta l’Unione europea;
  • rafforzare e introdurre nuovi diritti degli interessati;
  • attribuire fondamentale importanza ai principi della accountability, della privacy by design e by default;
  • inasprire le sanzioni portandole sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo;
  • introdurre la figura del Data Protection Officer (di seguito, anche, «DPO»).

Per la conformità al GDPR, enti ed organizzazioni devono configurare un c.d. «sistema privacy», che si evolve nel tempo, costituito dai seguenti componenti:

  1. Registro dei Trattamenti
  2. Informative
  3. Lettere di Designazione
  4. Procedure
  5. Registro Data Breach
  6. Analisi dei Rischi
  7. Privacy by Design e DPIA

1) Registro dei Trattamenti
Quando un cliente, o dipendente, affida i propri dati ad una azienda o ad una organizzazione questa diviene Titolare del Trattamento.
Il Titolare del Trattamento deve tenere un registro che contiene almeno:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO) ove previsto;
  • le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;
  • la descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare affida i dati personali custoditi);
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Scopri come adeguare in modo semplice la Tua Azienda al GDPR

2) Informative
Ai sensi del GDPR, il Titolare adotta misure appropriate per fornire all’interessato (cliente, dipendente o prospect) tutte le informazioni relative ai trattamento.
Mediante l’impiego dell’informativa il Titolare fornisce agli Interessati tutte le informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici.
Fra le informative ricordiamo quelle rivolte alla clientela, ai dipendenti e la cookie policy.
L’informativa deve contenere almeno:

  • identità del Titolare;
  • dati dei Responsabili e dei Destinatari del Trattamento;
  • eventuali legittimi interessi perseguiti;
  • eventuali trasferimenti di dati all’estero;
  • il periodo di conservazione dei dati personali;
  • diritti degli interessati esercitabili;
  • eventuale trattamento di dati particolari;
  • la natura del conferimento (obbligatorio o meno);
  • eventuale presenza di processi decisionali automatizzati compresa la profilazione.

3) Lettere di Designazione
Ai sensi dell’art. 29 del GDPR chiunque tratta dati personali per conto del Titolare del Trattamento deve ricevere specifiche istruzioni.

Il Titolare può ricorrere a:

  • Responsabili del Trattamento, in genere fornitori a cui il Titolare affida i dati personali;
  • Soggetti Autorizzati (persone fisiche, compresi gli Amministratori di Sistema, ex. Incaricati),costituiti in genere dai dipendenti del Titolare a cui vengono attribuiti i privilegi di accesso per accedere ai dati.


Le designazioni di Responsabili ed Autorizzati sono in genere redatte in forma scritta mediante specifiche lettere con termini appropriati.


Scopri come adeguare in modo semplice la Tua Azienda al GDPR

4) Procedure
Il Titolare del Trattamento regola la propria attività mediante specifiche procedure ai fini di dimostrare la conformità al GDPR:

  • Privacy by Design / Default e DPIA;
  • Gestione delle violazioni dei Dati personali (Data Breach);
  • Gestione esercizio Diritti interessati;
  • Processo per la nomina di Responsabili del Trattamento;
  • Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati).
  • Processo per la conservazione e cancellazione dei dati personali

5) Registro Data Breach
Ai sensi dell’Art. 33 c.5 del GDPR “Il Titolare del Trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Il Titolare del Trattamento deve tenere un registro preposto alla registrazione delle violazioni dei dati personali in cui annotare tutte le violazioni avvenute comprese quelle che non vanno notificate al Garante Privacy cioè quelle che non hanno un rischio elevato per le libertà e i diritti degli interessati.


Scopri come adeguare in modo semplice la Tua Azienda al GDPR

6) Analisi dei Rischi
L’articolo 32 del GDPR, afferma che: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”

L’approccio che ogni Titolare del trattamento deve seguire, per il trattamento dei dati personali, deve essere basato sul rischio: più alto è il rischio e più severe devono essere le misure che il Titolare o il Responsabile del trattamento devono considerare mitigare il rischio.

A tal fine sia il Titolare che il Responsabile devono configurare, in relazione ai trattamenti eseguiti un modello per la determinazione dei rischi per le libertà e i diritti degli interessati considerando:

  • L’impatto per gli interessati a seguito di una violazione che riguarda la riservatezza, integrità, disponibilità dei dati nonché aspetti critici del trattamento eseguito;
  • Le minacce che possono insistere sui trattamenti;
  • Le misure di mitigazione delle minacce che possono insistere sui trattamenti


7) Privacy by Design / Default e DPIA
Il GDPR disciplina il concetto di Privacy by Design all’rt. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.
Ai sensi di tale disposizione, il Titolare del Trattamento ha il dovere di adottare misure tecniche e organizzative adeguate al fine di dare concreta attuazione alle disposizioni ed ai principi in materia di protezione dei dati (in particolare la minimizzazione), garantendo la conformità ai requisiti del regolamento ed un efficace esercizio dei diritti degli Interessati. A tale riguardo bisognerà tenere conto:

  • dello stato dell’arte e costi di implementazione di ogni misura;
  • della natura, contesto, ambito di applicazione e finalità del trattamento in progetto;
  • dei rischi (e connessa probabilità e gravità degli stessi) che il trattamento potrebbe porre per le libertà e i diritti degli Interessati.


Il progetto (applicazione o procedura organizzativa) che prevede l’istituzione e/o la modifica sostanziale di un trattamento, avendo come punto di riferimento il principio di “Privacy by Design”, è da implementare in modo tale da porre particolare attenzione alla gestione dell’intero ciclo di vita dei dati personali, alla raccolta e alla cancellazione degli stessi con specifico riguardo alle garanzie procedurali in merito all’esattezza, alla riservatezza, all’integrità, alla sicurezza fisica e alla cancellazione dei dati personali.
All’interno del processo di Privacy by Design, se il trattamento dovesse presentare rischi elevati per gli interessati, il Titolare del Trattamento è tenuto alla esecuzione di un DPIA
Il GDPR impone ai Titolari del Trattamento l’esecuzione della DPIA (Data Protection Impact Assessment), cioè una valutazione d’impatto ai fini privacy, per tutti quei trattamenti che possano “…presentare un rischio elevato per i diritti e le libertà delle persone fisiche” in considerazione della natura, dell’oggetto, del contesto e delle finalità.
La DPIA è una valutazione che deve essere condotta seguendo specifiche metodologie (vedi provvedimento WP 248); l’articolo 35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento.
La conformità al GDPR è un percorso che non si esaurisce con la semplice redazione di informative da sottoporre alla firme degli interessati.