COME POTETE PREPARARVI

Le aziende devono compiere una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e quale sarà l'impatto di tali trattamenti per gli interessati.

Il GDPR è un meccanismo articolato composto da un elevato numero di ingranaggi, per cui è un processo complesso per le aziende prepararsi al GDPR.

In breve occorre che le aziende compiano una revisione completa dei dati che raccolgono e trattano, verificando le basi giuridiche per tali trattamenti e qual è l'impatto di tali trattamenti per gli interessati. Terminate queste fasi, bisogna comunicare tutto ciò all'esterno, precisando anche quali diritti hanno gli individui in relazione a tali trattamenti. Quindi possiamo riassumere in responsabilità e trasparenza i principi generali del GDPR.

ALCUNI SUGGERIMENTI IMPORTANTI

PROTECTION BY DESIGN

Recepite le indicazioni per la “protection by design” e assicuratevi che il rispetto della protezione dei dati sia incorporato in qualsiasi nuovo processo implementato o prodotto che viene distribuito. Questa analisi deve essere definita all’inizio del processo per consentire una valutazione strutturata e sistematica. L’implementazione della protection by design può dimostrare tanto la conformità normativa quanto creare un vantaggio competitivo per l’azienda/ente.

EVENTUALE DESIGNAZIONE DI UN DATA PROTECTION OFFICER

L’Art 37 prevede la nomina di questa figura laddove sussistano almeno una delle tre seguenti circostanze:
  • quando il trattamento è effettuato da un’autorità/ente pubblico;
  • quando il core business del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • quando il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.
Conviene sin da subito procedere alla verifica delle condizioni per l’applicabilità della figura del Data Protection Officer, e laddove previsto, individuare un percorso che porti alla sua scelta e designazione, nonché la relativa contrattualizzazione.

I RESPONSABILI DEL TRATTAMENTO

Un aspetto delicato e importante al contempo riveste il ruolo del cd. Data Processor Officer o Responsabile del trattamento (Articolo 28), definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Vengono in rilievo in particolare le figure degli “outsourcer”, per cui si rende necessario verificare che le deleghe di responsabilità per il trattamento siano affidate ad entità che diano sufficienti garanzie di implementare appropriate misure per garantire la compliance GDPR. Le evidenze devono chiaramente derivare da accordi/contratti di regolamentazione dei rapporti, anche in rifermento all’eventuale esigenza che tali soggetti debbano procedere proprio alla nomina di un loro DPO.

REGISTRO DEI TRATTAMENTI

L’articolo 30 del GDPR prevede di mantenere un registro delle attività di trattamento. L’adempimento si sostanzia nella ricognizione esaustiva di quali sono i processi oggetto di trattamento, sul perché e come il data controller (titolare del trattamento) ha bisogno di trattarli, chi sono gli interessati (i data subject), il periodo di conservazione, il luogo di custodia dei dati, e altre informazioni.

DATA BREACH

Uno degli aspetti più inquietanti, anche per le possibili conseguenze (perdita o compromissione di dati, reputazione aziendale, conseguenze sul piano giuridico) è la necessità di prepararsi qualora si dovesse malauguratamente verificare una violazione della sicurezza dei dati e la conseguente necessità di mettere in pratica politiche preventive chiare e procedure funzionali, per garantire che si possa reagire rapidamente a qualsiasi violazione dei dati, e affinché la violazione (cd. data breach) possa essere comunicata in tempo dove richiesto.

ACCOUNTABILITY

La “rendicontazione” consiste nello stabilire un quadro preciso e definito per le responsabilità, che garantisca di avere politiche chiare in atto per dimostrare che vengono soddisfatti gli standard richiesti. A tal fine bisogna introdurre anche una cultura del monitoraggio, volta al riesame e alla valutazione delle procedure di trattamento dei dati, che siano mirate a ridurre al minimo il trattamento e la conservazione dei dati, e alla definizione delle misure di salvaguardia. Bisogna verificare che il personale sia addestrato per capire quali sono i suoi obblighi/adempimenti; condurre appropriate e verificabili (auditable) valutazioni d’impatto sulla privacy per esaminare eventuali attività di trattamento a rischio, e le misure adottate per affrontare i problemi specifici.

RISPETTO DEI PRINCIPI FONDAMENTALI

Analizzate le basi giuridiche per cui utilizzate i dati personali, considerato il tipo di trattamento che avete intrapreso o per cui vi siete impegnati. Ad esempio, per capire se vi rivolgete a soggetti che hanno prestato il loro consenso al trattamento, o potete viceversa dimostrare di poterne fare a meno in quanto avete un interesse legittimo nel trattamento che non è subordinato agli interessi della persone. Le aziende spesso danno per scontato che hanno bisogno di ottenere il consenso delle persone interessate per elaborare i loro dati. Tuttavia, il consenso è solo uno dei diversi modi per legittimare l’attività di trattamento e potrebbe non essere la migliore (ad esempio può essere ritirato). Qualora i presupposti si basano sull’ottenimento del consenso, verificate se i documenti informativi e le forme di consenso sono adeguate e controllate che i consensi siano stati spontanei, specifici e informati. Ciò in quanto sarete comunque voi a sostenere l’onere della prova.

LE COMUNICAZIONI FORMALI

Controllate le comunicazioni informative (es. disclaimer e note legali) e le politiche sulla privacy. Il GDPR richiede che le informazioni fornite debbano adottare un linguaggio chiaro e semplice. Le procedure devono essere trasparenti e facilmente accessibili.

I DIRITTI DEGLI INTERESSATI (DATA SUBJECTS)

Tenete a mente i diritti delle persone interessate e siate preparati per eventuali richieste degli stessi per esercitare i loro diritti in base al GDPR (ora art. 7 D.Lgs. 196/2003), come ad esempio il diritto alla portabilità dei dati e il diritto alla cancellazione. Se si memorizzano o archiviano i dati personali, prendete in considerazione i motivi legittimi per il loro mantenimento (cd. data retention) – sarà a vostro carico l’onere della prova per dimostrare che i motivi legittimi prevalgono rispetto gli interessi delle persone interessate. Non è escluso che possiate anche trovarvi di fronte a individui che hanno aspettative irrealistiche dei loro diritti.

DATA TRANSFER

Per i trasferimenti di dati transfrontalieri, cosi come per quelli internazionali, compresi i trasferimenti infragruppo, sarà importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che non sono riconosciute come aventi un’adeguata regolamentazione sulla protezione dei dati. Questa non è una nuova prescrizione rispetto quanto attualmente previsto, ma il mancato rispetto potrebbe comportare una multa fino ad un massimo di 20 milioni di euro o del 4% del fatturato annuo globale.