Regolamento privacy: Come adeguarsi al GDPR – Informativa privacy 2018
Dal 25 maggio 2018 è operativo il nuovo Regolamento Generale Europeo per la protezione dei dati personali (GDPR), che uniformerà le normative sulla privacy in tutti i paesi europei. L’obiettivo della Commissione Europea è quello di semplificare il contesto normativo che riguarda gli affari internazionali, garantendo a tutti i cittadini europei il controllo sui propri dati personali.
Le prime azioni da intraprendere, secondo il Garante della Privacy, sono:
- Nominare in tempi stretti il Responsabile della protezione dei dati;
- Istituire il Registro delle attività, in cui vanno descritti i trattamenti dati effettuati e le procedure per la sicurezza adottate;
- Notificare la violazione dei dati personali entro 72 ore;
- Aggiornare l’informativa privacy del sito web.
Per adeguarsi al Regolamento le aziende devono capire se possono gestire il progetto con le proprie risorse o necessitano di una consulenza esterna. Il progetto di adeguamento al GDPR serve per assicurare un’applicazione omogenea delle norme sul trattamento dei dati, valutare le implicazioni delle nuove disposizioni sui processi esistenti e individuare i punti critici e le azioni da attuare per adeguarsi al Regolamento.
Il Titolare del trattamento
Questa nuova figura è obbligatoria in tutte le imprese e ha un ruolo chiave nella gestione di tutte le attività effettuate sui dati personali.
Il Titolare del trattamento dei dati è la persona fisica, o la persona giuridica (ente, società, associazione) che prende le decisioni sulle modalità e sulle finalità del trattamento dei dati, sugli strumenti da utilizzare e sulle misure di sicurezza. È anche il responsabile in caso di violazione del Codice Privacy.
Se il Titolare è individuato nella persona giuridica che corrisponde alla società, all’ente o all’associazione, non vi sarà la necessità di cambiare i documenti sulla privacy al variare della persona fisica che rappresenta l’organizzazione (amministratore, direttore, ecc.).
Il Titolare ha il ruolo di progettare le regole di trattamento dei dati, organizzando le strategie di raccolta, utilizzo, elaborazione. Dovrà inoltre dimostrare di minimizzare i rischi di violazioni, prendendo delle adeguate misure di sicurezza.
Per eseguire le operazioni di trattamento inerenti all’attività, il Titolare può naturalmente avvalersi di collaboratori (sia interni che esterni); spetta comunque a lui valutare l’adeguatezza del personale e se necessario prevedere dei corsi di formazione.
Il Responsabile del trattamento
Un’altra figura ha un ruolo importante nel processo di trattamento dei dati messo in atto dal Titolare: il Responsabile del trattamento. Anche in questo caso può trattarsi sia di una persona fisica che di una giuridica, può essere un soggetto pubblico oppure privato.
Il Responsabile viene nominato dal Titolare e si occupa di gestire il trattamento dei dati, completamente o solo in parte. Il potere decisionale riguardo a finalità, mezzi e modalità del trattamento spetta comunque solo al Titolare.
La nomina del Responsabile è facoltativa, ma la sua figura è prevista perché può capitare che il Titolare non abbia tutte le competenze pratiche – operative necessarie alla corretta gestione dei dati, soprattutto nei casi di grandi organizzazioni in cui il Titolare ha numerosi adempimenti. La figura del Responsabile quindi è stata pensata come una prima misura per contrastare i rischi connessi alle attività di trattamento dati.
Web hosting
Chi gestisce un sito web deve sapere che il servizio di web hosting è giuridicamente responsabile del trattamento dei dati, perché elabora i dati per conto del Titolare. Quindi è necessario un contratto scritto tra Titolare e web hosting, in cui indicare cosa può fare il web hosting con i dati e quali misure di sicurezza deve adottare. In caso di violazioni commesse dal web hosting, il Titolare sarà comunque il responsabile di fronte alle autorità.
Il Registro delle attività di trattamento svolto
Il Registro dei trattamenti sui dati personali è uno strumento indispensabile per gestire le informazioni in modo conforme al GDPR, ma anche per documentare e dimostrare tale conformità.
è obbligatorio per tutte le imprese che superano i 250 dipendenti. Quelle che ne hanno meno possono non adottarlo, a meno che non trattino dati sensibili o categorie particolari (definite dagli articoli 9 e 10 del GDPR), e che il trattamento dei dati non presenti un rischio per i diritti e la libertà dell’interessato.
Il registro dovrà essere gestito dai titolari e dai responsabili dei dati, che saranno obbligati a cooperare con il Garante della Privacy e a consentirgli l’accesso su richiesta, per monitorare ed esaminare le operazioni del trattamento.
L’istituzione del Registro delle attività servirà a garantire:
- il controllo della sicurezza sui dati personali;
- il diritto all’oblio, cioè il diritto ad ottenere la cancellazione dei propri dati personali quando non servono più alle finalità per cui erano stati forniti;
- la portabilità dei dati da un titolare ad un altro, semplificando molte pratiche burocratiche per l’interessato;
- valutare ed analizzare i rischi dei trattamenti.
Sapere con esattezza quali trattamenti siano svolti in azienda, con quali modalità e quali siano le misure di sicurezza prese, permetterà infatti alle aziende di valutare se sono state adottate tutte le misure necessarie a garantire il rispetto della privacy.
Il registro è uno strumento utile per mappare i flussi di dati in modo ordinato e organizzato, verificare che tipo di rischi ci possano essere in relazione agli specifici trattamenti, individuare le criticità e valutare le azioni da intraprendere per minimizzare i rischi e garantire l’integrità e la riservatezza secondo le nuove regole.
Il registro quindi “non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali” . Per questo il Garante della Privacy invita tutte le imprese ad istituire il registro, indipendentemente dalle loro dimensioni.
Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e prevede i seguenti contenuti obbligatori (definiti nell’articolo 30 del GDPR):
- nome, cognome e contatti del Titolare del trattamento, del Rappresentante del Titolare e del Responsabile della protezione dei dati (se presenti)
- finalità del trattamento dei dati
- descrizione delle categorie di dati e delle categorie di interessati
- descrizione delle categorie dei destinatari a cui saranno comunicati i dati personali (comprese imprese e sedi estere)
- indicazione dei trasferimenti di dati verso paesi esteri e organizzazioni internazionali, con identificazione dei destinatari
- termini previsti per la cancellazione delle diverse categorie di dati
- descrizione delle misure di sicurezza tecniche e organizzative, documentando le motivazioni.
Questa è una lista dei contenuti minimi che devono essere indicati nel registro, ma dato che è anche uno strumento operativo potrà ovviamente contenere tutte le informazioni utili al Titolare per la gestione dei dati.
Informativa privacy 2018
Oltre ad adeguare l’organizzazione aziendale, il nuovo regolamento GDPR richiede anche di aggiornare l’informativa sulla privacy del sito web. Gli utenti devono essere informati sull’utilizzo dei propri dati con un linguaggio chiaro e trasparente, facendo riferimento al “GDPR General Data Protection Regulation– Regolamento UE 2016/679″.
In particolare, l’informativa deve spiegare:
- in che modo e per quale scopo verranno trattati i propri dati personali;
- se il conferimento dei propri dati personali è obbligatorio o facoltativo;
- le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
- a chi saranno comunicati o se saranno diffusi i propri dati personali;
- i diritti previsti dall’art. 7 del Codice;
- chi è il titolare e (se è stato designato) il responsabile del trattamento.
In tal senso, occorre semplificare anche le informative sui cookies: gli utenti devono poter accettare o rifiutare il monitoraggio dei cookies e degli altri identificatori. Non è più necessario il consenso per i cookies non intrusivi (es: dati di navigazione, cronologia degli acquisti su e-commerce).
Sanzioni
Le imprese che non si adegueranno in tempo al Regolamento andranno incontro a pesanti sanzioni pecuniarie: fino a 20 milioni di euro o al 4% del fatturato totale annuo.
Concludendo
Il nuovo Regolamento Europeo per la Protezione dei Dati Personali implica una riorganizzazione strutturale da parte delle imprese riguardo alla gestione di tutti i dati raccolti nel contesto aziendale.
Per adeguarsi alle nuove norme, le aziende dovranno innanzitutto eseguire un’analisi preliminare e valutare le risorse a loro disposizione, le tipologie dei dati raccolti, i processi utilizzati e le tecnologie di cui si avvalgono. L’analisi preliminare porterà ad avere un quadro completo sul proprio modello di gestione dei dati e sarà utile per individuare un sistema di controllo sulla sicurezza.
E’ poi necessario nominare un Titolare del trattamento, che potrà essere una persona fisica oppure coincidere con la società, l’ente o l’organizzazione (persona giuridica) che prende le decisioni in merito al trattamento dei dati e alle misure di sicurezza attuate. Il Titolare potrà nominare a sua volta un Responsabile del trattamento, che lo affiancherà nella gestione dei dati, completamente o solo in parte. Entrambe le figure dovranno avere delle competenze approfondite in materia di protezione della privacy che potranno ottenere tramite gli appositi corsi di formazione organizzati dal Garante della Privacy.
Le imprese con più di 250 dipendenti avranno inoltre l’obbligo di istituire il Registro delle attività di trattamento, nel rispetto dei requisiti obbligatori indicati nel GDPR. Si tratta di uno strumento utile per gestire in modo corretto e organizzato i dati personali, individuare le criticità, valutare e minimizzare i rischi sulla sicurezza; per questo il Garante della Privacy ne consiglia l’adozione a tutte le imprese, indipendentemente al numero di dipendenti.
L’introduzione del GDPR ha quindi a semplificare e uniformare le varie normative di tutti i paesi UE e garantisce un alto livello di sicurezza a tutti i residenti in Europa.