NUOVI DIRITTI PER GLI INTERESSATI
GDPR: Quando si applica?
Il GDPR si applica quando:
• la base operativa dell’organizzazione si trova nell’Unione Europea (indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o no); o l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei;
• l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE;
Il regolamento europeo 679:16, si applica quindi in quasi tutte le attività (Società pubbliche e priva-te, Professionisti, Studi professionali, Pubbliche Amministrazioni, Associazioni, Cooperative, etc di ogni settore e dimensione), spesso anche se la sede non si trova nell’Unione Europea.
Il GDPR è pienamente applicabile a partire dal 25 maggio 2018.
LE PRINCIPALI NOVITA’ : OVERVIEW
Di seguito vengono elencate le principali novità introdotte dal Regolamento Europeo. Da notare che il testo del regolamento non si limita a definire la gestione della privacy ma delinea un vero e proprio “schema” de-finendo diritti, obblighi e procedure. Conseguentemente vi sono nuove figure professionali e la definizione dello schema dei diritti con la definizione e l’ambito di applicazione.
Da evidenziare che tutto il Regolamento è basato sulla applicazione di tre concetti cardine che sono “Pri-vacy by design”, “Privacy by default” e “Accountability”. La comprensione del Regolamento passa senza dubbio dalla comprensione di questi tre concetti che, per la legislazione italiana, introducono delle novità rilevanti. Partiamo dalla definizione dei diritti con una breve descrizione:
a. Definizione dei diritti
► Diritto alla Trasparenza Informativa: una attenzione particolare è posta sulla necessità di assicurare la consapevolezza dell’interessato, fornendo informazioni sulle attività svolte in modo conciso, trasparente, comprensibile, facilmente accessibile, in un linguaggio chiaro e semplice (soprattutto se rivolte a un minore) e gratuito. Inoltre l’utente deve essere consapevole e consenziente nel caso di trasferimento dati Extra UE.
► Diritto al Consenso Attivo: il consenso dell’interessato deve essere effettivo ed inequivocabile (me-diante dichiarazione scritta ma anche mediante apposita casella in un formulario web)
► Diritto alla Profilazione Consenziente: viene sancito il diritto a non subire operazioni di profilazione (creazione di profili utente e personali) inconsapevoli.
► Diritto alla Portabilità, accesso, rettifica e cancellazione dei Dati Personali: viene riconosciuto il diritto dell’interessato di ottenere la restituzione dei propri dati personali da un fornitore di servizi on-line per tra-smetterli ad un fornitore terzo; L’interessato può anche richiedere in ogni momento l’eventuale rettifica, in caso di informazioni non corrette, nonché la cancellazione o limitazione dei propri Dati in caso di cessazio-ne del servizio
► Diritto alla Comunicazione delle Violazioni: è prevista una nuova procedura ad hoc per la notifica di questi eventi;
► Diritto all’oblio: ossia viene codificato il diritto di chiedere ai diversi motori di ricerca di togliere i riferi-menti dell’interessato dalle indicizzazioni ovvero la cancellazione dai singoli siti web;
Alcune definizioni sono state evidenziate con riferimento ai diversi procedimenti:
b. Nuove definizioni
► Joint controllers: Ovvero corresponsabili del trattamento (Art. 26) Si prevede che possa esserci una contitolarità tra due o più titolari del trattamento. I responsabili devono stipulare tra loro un accordo che metta in evidenza in particolare i diritti degli interessati in relazione alle diverse figure;
► Nuova definizione di “dato personale”: Il regolamento introduce le definizioni di dato genetico, dato biometrico, dati relativi alla salute che non sono previsti esplicitamente nel codice della Privacy.
► Principio di “Accountability”: si chiede (artt. 24, 27, 28, 29) al responsabile di agire secondo un prin-cipio di responsabilizzazione che consenta di essere in grado di dimostrare che le misure tecniche/organiz-zative sono aderenti alle specifiche del regolamento e che l’adeguata applicazione di tali misure sia sempre monitorata nel tempo e adeguata dinamicamente ai cambiamenti. Codici di condotta, certificazioni e Risk Assessment periodici sono gli strumenti previsti.
c. Nuovi ruoli
Il GDPR prevede la possibilità, dipendente caso per caso, di individuare più figure coinvolte a diverso titolo nella gestione dei dati Personali e Sensibili trattati in azienda: Titolare, Contitolare, Responsabile, sub-Re-sponsabile, Amministratore di sistema, Soggetti autorizzati
Una delle figure chiave del Regolamento è certamente quella del DPO (Data Protection OFficer), ovvero nella traduzione italiana del Responsabile per la protezione dei dati personali. Di seguito viene riportata una sintesi dei requisiti e delle funzioni di questa figura oltre che le fattispecie per le quali è obbligatoria.
1. Quali sono i requisiti?
- possedere un’adeguata conoscenza della normativa, delle prassi di gestione dei dati personali, della gestione dei processi informatici, della sicurezza dei dati e di altre questioni critiche relative al trattamento di dati personali e sensibili;
- operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio, purché possa adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse.
Il titolare o il responsabile del trattamento dovranno mettere a disposizione del DPO le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.
2. Quali sono i compiti?
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli
- obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del tratta-mento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizza-zione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al tratta-mento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmen-te, consultare il Garante di propria iniziativa.
3. In quali casi è previsto?
Amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati, oppure nel trattamento su larga scala di dati sensibili relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Esempi specifici: istituti di credito, società finanziarie, imprese assicurative, imprese di somministra-zione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, società di call center, società che forniscono servizi informatici e altre
Un titolare del trattamento o un responsabile del trattamento: possono comunque designare un DPO anche in casi diversi da quelli sopra indicati.
Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dati Personali.
d. Nuovo approccio
► Approccio alla Privacy by Design; si passa, per usare i termini inglesi in voga nel dibattito durante l’iter legislativo, da una gestione della privacy “one size fits all” fatta di policy e documenti ad una gestione della privacy “risk based” applicata al funzionamento di ogni Processo Aziendale ed alla progettazione di ciascun Prodotto o Servizio. In altre parole si deve applicare alla gestione della privacy e dei processi aziendali coin-volti non tanto una serie di documenti e moduli standard ma piuttosto una analisi puntuale di ogni singola situazione aziendale;
► Approccio alla Privacy by Default, che in poche parole significa che la protezione del dato deve diven-tare l’impostazione predefinita di tutte le procedure. Il postulato di questo approccio è che nelle diverse pro-cedure organizzative, per impostazione predefinita, devono essere utilizzati unicamente i dati strettamente necessari alle finalità del trattamento
► Gestione basata sul Principio di Accountability: Il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento. Inoltre, deve essere in grado di dimostrare tale conformità nel tempo (in tal senso, “accountability” potrebbe essere tradotto in “rendicontazione”).
Il Titolare non deve limitarsi a fare il minimo, ma dimostrare di avere un atteggiamento proattivo e essersi impegnato al massimo per:
a. implementare un sistema di gestione della privacy, tracciabile, rendicontabile e monitorabile nel tem-po;
b. formare e creare consapevolezza a tutto lo staff dell’organizzazione coinvolto nella gestione dei trat-tamenti di Dati Personali, sulle tematiche Privacy e sulle procedure interne definite (Art. 29 del GDPR).
e. Sanzioni
Vengono introdotte sanzioni amministrative pecuniarie elevate, che possono arrivare fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente
In particolare il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento. Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare un ulteriore uso sia dei dati oggetto del reclamo che dei dati acquisiti utilizzando meccanismi analoghi. Ciò significa che se l’uso improprio riguardava, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.
Il GDPR conferisce inoltre agli utenti il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.
8 PASSI PER LA COMPLIANCE
Di seguito i 8 cardini da comprendere per la Compliance al regolamento europeo 679 del 2016 sulla Pri-vacy.
1. Adeguamento informativa
L’informativa dovrà avere forma scritta e recare i nuovi requisiti indicati dall’art. 13-14 GDPR. Il titolare deve acquisire un consenso inequivocabile al trattamento. Infografiche, linguaggio chiaro, soluzioni tecniche e grafiche devono creare l’informativa più semplice e completa possibile.
In particolare gli utenti devono poter:
► essere informati sull’identità del titolare del sito/app, sui dati raccolti, sui loro diritti in relazione a tali dati, sulle modalità di notifica delle modifiche alla policy, sulla data a partire dalla quale la policy è entrata in vigore e su eventuali accessi di terzi ai loro dati (ad esempio tramite widget di terza parte, pulsanti sociali, servizi pubblicitari etc.). Gli utenti devono inoltre essere a conoscenza delle condizioni di utilizzo del servizio (comprese le eventuali condizioni di vendita dei loro dati)
► essere in grado di prestare, negare o revocare il loro consenso (a seconda della normativa applicabi-le). Secondo il GDPR, il consenso deve essere “esplicito e libero”. Ciò significa che le modalità di acquisi-zione del consenso devono essere inequivocabili e prevedere una chiara azione di “opt-in” (il regolamento vieta espressamente l’uso di checkbox preselezionate o di altri sistemi alternativi di “opt-out”). Il regolamen-to sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento., quindi è fondamentale registrare in modo chiaro tutti i consensi acquisiti
► essere informati sull’uso dei cookie e avere la possibilità di acconsentire o rifiutare. La direttiva ePri-vacy o la Cookie Law impongono infatti la raccolta di un consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.
Consenso e informativa in caso di Trasferimento di Dati all’estero
► Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni. In particolare, il Paese in cui i dati vengono tra-sferiti deve avere un livello “adeguato” di protezione dei dati personali, al pari degli standard dell’Unione Europea. In caso contrario, i trasferimenti possono comunque essere consentiti in presenza di clausole contrattuali standard (SCC) o di norme vincolanti d’impresa (BCR).
► Il trasferimento dei dati verso gli Stati Uniti in particolare è consentito a patto che il responsabile del trattamento aderisca al Privacy Shield, o a patto che l’utente abbia espresso il proprio consenso informato (in tal caso, il consenso deve essere fornito sulla base di informazioni sufficientemente precise, comprese quelle relative alla eventuale mancanza di protezione nel Paese terzo).
GDPR in pratica
L’informativa deve consentire all’interessato di comprendere come avverrà il trattamento dei dati personali. E’ per-ciò necessario differenziare l’informativa con riferimento ai diversi trattamenti e ai diversi target predisponendo, ad esempio, informative diverse per tipologia di servizi ai clienti o ai lavoratori.
ComplianceGDPR genera automa-ticamente i testi di informativa da utilizzare per comporre le informati-ve privacy con i requisiti previsti dal GDPR.
INFO In applicazione del principio di trasparenza, il Working Party Ar-ticle 29 ha rilasciato le Linee Gui-da WP260 che evidenziano come il design dell’informativa debba essere curato per garantire la sua intelligibilità.
2. Nomina nuove figure Privacy e formazione obbligatoria
La designazione del soggetto responsabile del trattamento dei dati personali deve avvenire con contratto o atto giuridico avente forma scritta. Particolare attenzione va prestata agli elementi da inserire in tale contrat-to, analiticamente indicati dall’art. 28 GDPR. Viene inoltre riconosciuta la figura del subresponsabile.
GDPR in pratica
I rapporti contrattuali con fornitori e consulenti che trattano dati personali per conto del titolare del trattamento, come ad esempio società informatiche e webmaster, devono includere clausole contrattuali che garantiscano adeguati livelli di sicurezza e la partecipazione dei responsabili nelle procedure di Data Breach o nel dare riscon-tro alle richieste degli interessati.
Con ComplianceGDPR è possibi-le monitorare i soggetti designati responsabili del trattamento indi-cando le misure di sicurezza a cui devono attenersi, oltre a generare un template di contratto di designa-zione a responsabile esterno del trattamento.
ComplianceGDPR effettua un pri-mo controllo sull’obbligatorietà di nomina del DPO secondo i requisiti dell’art. 37 GDPR.
Il DPO
In alcuni casi è obbligatoria la nomina di un DPO (Data Protection Officer), figura con competenze multidi-sciplinari sia giuridiche che informatiche, con il compito di controllare in modo indipendente il trattamento dei dati e implementare il sistema di gestione della privacy.
Il DPO fornisce consulenza, sorveglia l’osservanza del regolamento, fornisce pareri in merito alla DPIA, coopera con l’Autorità di controllo e funge da punto di contatto con la stessa.
Inoltre secondo l’art. 29 GDPR, ogni organizzazione è obbligata e responsabile a formare tutti i dipendenti che sono coinvolti con trattamenti su dati personali, al fine di fornire loro piena consapevolezza (Secondo il principio dell’Accountability) delle responsabilità, dei rischi e delle procedure connesse alla gestione delle loro attività lavorative ordinarie.
GDPR in pratica
Il Garante Privacy italiano ha pubblicato apposite FAQ per suggerire alcune tipologie di soggetti privati per i quali potrebbe essere obbligatoria la nomina del DPO, come ad esempio istituti di credito, società finanziarie, imprese assicurative, imprese di somministrazione di lavoro e ricerca del personale, società operanti nel settore della cura della salute, società di call center, società che forniscono servizi informatici e altre.
Compliance GDPR fornisce l’ac-cesso agevolato ad attività forma-tive adatte ad ogni profilo:
• Videotutorial pratici di settore
• Corsi Privacy ufficialmen-te accreditati in accordo ai profili professionali previsti dalla norma UNI 11697:2017: dal profilo base “Privacy Specialist”, fino ai profili di “Privacy Manager”, Privacy Au-ditor” e “DPO”
INFO ComplianceGDPR ricorda quali sono i compiti del DPO se-condo quanto indicato dalle Linee Guida sui responsabili della prote-zione dei dati WP243 e consente al DPO di partecipare alla redazione della DPIA secondo quanto previ-sto dalle Linee guida concernenti la valutazione di impatto sulla prote-zione dei dati WP248.
3. Nuovi diritti
I titolari del trattamento dovranno prevedere procedimenti per garantire il rispetto del diritto all’oblio e del diritto alla portabilità dei dati. L’interessato ha infatti diritto di ottenere dal titolare del trattamento la cancel-lazione dei dati personali che lo riguardano e informare altri titolari del trattamento della richiesta dell’inte-ressato. Inoltre, l’interessato ha il diritto di ricevere in un formato strutturato di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento.
GDPR in pratica
I titolari del trattamento, per adempiere alla richiesta di portabilità, dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV, ecc.) unitamente a metadati utili, al miglior livello possibile di granularità.
4. Data Breach
In caso di violazione dei dati il titolare dovrà notificare entro 72 ore l’avvenuta violazione all’Autorità di controllo e, in alcuni casi, agli interessati. Le linee guida sulla notifica del Data Breach WP250 individuano diverse categorie di eventi che possono configurare un Data Breach:
1. “Violazione della sicurezza”: che porta a distruzione, perdita, alterazione, divulgazione non autorizza-ta o accesso non autorizzato a dati personali trasmessi, archiviati o altrimenti elaborati”;
2. “Violazione della riservatezza”: in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
3. “Violazione dell’integrità”: in caso di alterazione non autorizzata o accidentale dei dati personali;
4. “Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata di accesso o distru-zione di dati personali.
GDPR in pratica
La perdita o il furto di un hard disk non protetto da cifratura, il furto di documenti, un attacco ransomware possono determinare un Data Breach.
5. Tenuta Registro dei trattamenti
Il GDPR pone in capo ai titolari ed ai responsabili del trattamento l’obbligo di tenere e mantenere aggiornato un registro delle particolari attività di trattamento dati effettuate.
In genere, questo requisito si applica solo alle organizzazioni con più di 250 dipendenti. Tuttavia, il requisito si applica comunque alle organizzazioni con meno di 250 dipendenti se le loro attività di trattamento:
► non sono occasionali, o;
► includono il trattamento di dati sensibili o di categorie speciali di dati, o;
► possono risultare in un rischio elevato per i diritti e le libertà degli interessati.
Il Registro del Trattamento deve essere tenuto per iscritto. È possibile tenere il registro sia in formato car-taceo che elettronico. Tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.
Per quanto riguarda la tenuta dei registri, può essere utile effettuare audit regolari sui dati in possesso dell’organizzazione. Questa pratica è consigliata non solo al fine di soddisfare prontamente gli obblighi di registrazione, ma anche per facilitare la revisione e l’ottimizzazione
GDPR in pratica
Il registro dei trattamenti deve indicare alcuni elementi obbligatori, che consentono di individuare, per ogni trat-tamento, le categorie di dati personali e le finalità del trattamento stesso, le categorie di destinatari, il periodo di conservazione dei dati personali, la presenza di trasferimenti di dati fuori dall’Unione Europea.
Compliance GDPR è progettato per fungere da Registro ufficia-le dei Trattamenti. Compliance GDPR consente di applicare nel tempo le procedure di Risk As-sessment e di revisionare il Re-gistro dei Trattamenti e tutta la documentazione correlata, con-servando a norma anche lo sto-rico delle versioni precedenti dei documenti, isecondo il principio dell’accountability.
ComplianceGDPR permette di do-cumentare i trattamenti secondo le diverse categorie di dati personali trattati, la durata del trattamento, le finalità e le categorie di interessati, oltre a monitorare le comunicazio-ni di dati e i trasferimenti extraUE. INFO ComplianceGDPR offre un elenco di misure di sicurezza mu-tuate dagli standard internazionali ISO27001 e ISO29151.
6. Analisi dei Rischi
Inuovo regolamento generale ha un approccio basato sulla valutazione del rischio (risk based), piuttosto che sulla protezione dell’utente
Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabi-lità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l’impatto negativo sulle libertà e i diritti degli interessati.
Il GDPR, diversamente dall’approccio precedente, non indica puntualmente le linee guida per proteggere le informazioni, ma chiede di essere in grado di dimostrare di averle protette in modo adeguato, eseguendo una valutazione dei rischi connessi ai dati e ai relativi trattamenti gestiti da ogni specifica organizzazione, quali ad esempio la distruzione, la perdita, la modifica, la divulgazione non autorizzata, l’accesso in modo accidentale o illegale, ad ogni singolo dato personale trasmesso, conservato o comunque trattato.
Il GDPR impone di eseguire un’analisi dei rischi per ogni singolo trattamento, non in ottica del Titolare del Trattamento, ma nell’ottica dell’Interessato
L’output dell’analisi del rischio diventa indispensabile come input per la Data Protection Impact Analysis, DPIA (art. 35) e per garantire la Privacy by Design (art. 25). Diventa quindi chiara la centralità dell’attività di valutazione del rischio.
GDPR in pratica
Compliance GDPR consente, una volta censiti i trattamenti, i dati e gli asset, di eseguire un’analisi del rischio puntuale, secondo un’approccio all’analisi dei rischi conforme alle linee guida ISO 29151 e ISO 27002. Il SW consente di eseguire l’analisi dei rischi dei Trattamenti, personalizzando a propria discrezione i Trattamenti, gli Asset coinvolti, le minacce e le vulnerabilità e generando il piano di trattamento del rischio con l’individuazione e la gestione delle contromisure
ComplianceGDPR effettua l’analisi dei rischi dei trattamenti di dati per-sonali per creare un piano di tratta-mento del rischio
INFO ComplianceGDPR propone alcune categorie di misure di si-curezza utili alla definizione di un piano di rimeditazione e aggiorna-mento continuo per mitigare i rischi del trattamento.
7. Valutazione d’impatto (DPIA : Data Privacy Impact Assessment)
Quando un trattamento prevede in particolare l’uso di nuove tecnologie o, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento dovrà effettuare una DPIA. L’attività di documentazione della DPIA deve essere accurata, secondo la metodologia dell’analisi del rischio e gli elementi indicati dall’art. 35 GDPR.
ComplianceGDPR consente di effettuare una DPIA secondo la metodologia proposta dalle Linee Guida WP248 rev. 01 del Gruppo Articolo 29e dal CNIL, oltre che sugli elementi proposti dalla norma ISO29134.
Le attività di trattamento dei dati considerate ad “alto rischio” includono:
► il trattamento di dati sensibili;
► il monitoraggio sistematico di un’area accessibile al pubblico (ad esempio, tramite video sorveglian-za);
► le situazioni in cui vengono effettuate valutazioni automatizzate e approfondite dei dati personali al fine di influenzare in modo significativo decisioni rilevanti per la vita dell’utente.
La relazione prodotta a seguito di un processo di DPIA dovrebbe includere:
► una descrizione completa dei dati trattati;
► lo scopo dell’attività di trattamento (e, se del caso, le informazioni sugli interessi legittimi del respon-sabile del trattamento);
► una valutazione dell’ambito e della necessità dell’attività di trattamento in relazione alla finalità perse-guita;
► una valutazione del rischio per gli utenti;
► le misure in atto per far fronte a tale rischio.
Misure di Sicurezza
Il GDPR (art. 32 e 83) impone al Titolare e al Responsabile del trattamento di porre in essere misure tecni-che organizzative adeguate al rischio che presenta un determinato tipo di trattamento
In particolare l’art. 32 GDPR elenca alcune delle Misure di sicurezza più critiche (cifratura dei dati, Backup, soluzioni di continuità e procedure di recovery da incidenti che rischiano di compromettere la riservatezza, integrità, disponibilità dei dati e la resilienza dei sistemi e dei servizi di Trattamento).
GDPR in pratica
Le Linee guida in materia di valutazione di impatto sulla protezione dei dati WP248 elencano alcune categorie di trattamento che potrebbero comportare un obbligo di effettuazione della DPIA come, ad esempio, la raccolta di dati pubblici dei media sociali per la generazione di profili, un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet.
ComplianceGDPR propone un elenco di misure di sicurezza a mi-tigazione dei rischi e degli impatti rilevati sui trattamenti in essere. Le misure di sicurezza sono sia di connotazione Legale che IT e sono mutuate dagli standard inter-nazionali ISO27001 e ISO29151.”
8. Accountability nel tempo – dalla progettazione alla gestione ordinaria
Il titolare del trattamento è chiamato a progettare la protezione dei dati personali secondo le caratteristiche del trattamento. Ai fini dell’adeguamento privacy la tutela “dichiarata” dei dati personali nell’informativa deve rispecchiare l’effettiva gestione degli stessi all’interno dell’azienda.
Oltre ai principi già presenti nel sistema attuale, il Regolamento introduce tre ulteriori e fondamentali prin-cipi, che devono trovare effettiva attuazione nella modalità di trattamento dei dati personali ed essere fun-zionali allì’applicazione di un sistema complessivo di gestione attiva della Privacy nel tempo.
► Privacy by Design
► Privacy by Default
► Accountability
GDPR in pratica
Le Linee guida in materia di valutazione di impatto sulla protezione dei dati WP248 elencano alcune categorie di trattamento che potrebbero comportare un obbligo di effettuazione della DPIA come, ad esempio, la raccolta di dati pubblici dei media sociali per la generazione di profili, un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet.
ComplianceGDPR propone un elenco di misure di sicurezza a mi-tigazione dei rischi e degli impatti rilevati sui trattamenti in essere. Le misure di sicurezza sono sia di connotazione Legale che IT e sono mutuate dagli standard inter-nazionali ISO27001 e ISO29151.”
Privacy by design e Privacy by default
La protezione dei dati deve essere posta in essere fin dalla progettazione di servizi basati sul trattamento dei dati personali. La tutela dei dati deve essere “pensata” fin dall’inizio di ogni processo aziendale. La protezione dei dati deve diventare l’impostazione predefinita: il titolare deve garantire misure tecniche e organizzative adeguate affinché siano trattati solo i dati necessari per una determinata finalità.
GDPR in pratica
Le Linee guida in materia di valutazione di impatto sulla protezione dei dati WP248 elencano alcune categorie di trattamento che potrebbero comportare un obbligo di effettuazione della DPIA come, ad esempio, la raccolta di dati pubblici dei media sociali per la generazione di profili, un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet.
GDPR in pratica
Il titolare del trattamento dovrà prevedere regolamenti interni e procedure per stabilire ruoli e responsabilità nei trattamenti dei dati personali, al fine di mettere in sicurezza i singoli trattamenti.
Principio di accountability
Il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire che il trattamento è conforme al Regolamento. Inoltre, deve essere in grado di dimostrare tale conformità (in tal senso, “accountability” potrebbe essere tradotto in “rendicontazione”). Il Titolare non deve limitarsi a fare il minimo, ma dimostrare di avere un atteggiamento proattivo e essersi impegnato al massimo per implemen-tare un sistema di gestione della privacy.di una azienda e migliorarne sia la reputazione che l’efficienza nella gestione della clientela e dei fornitori.
Creare un sistema di gestione della privacy
L’adeguamento al Regolamento europeo richiede un approccio multidisciplinare: l’azienda deve ideare un vero e proprio modello di gestione privacy, sulla base di una progettazione che consideri in modo adeguato i dati personali effettivamente trattati dall’azienda.
Non è possibile utilizzare l’approccio del “copia-incolla” senza un’attenta analisi delle conseguenze per la propria realtà.
La gestione della privacy non si limita alla creazione della modulistica o alla gestione della sicurezza in-formatica. L’adeguamento al Regolamento Europeo Privacy può migliorare la gestione dei dati all’interno di una azienda e migliorarne sia la reputazione che l’efficienza nella gestione della clientela e dei fornitori.