Come adeguarsi al GDPR
CONTATTACI ADESSO
I 12 passi proposti dalla ICO - Information Commissioner’s Office, autorità di controllo inglese - sono un buon punto di partenza per avvicinarsi al nuovo Regolamento Europeo sulla protezione dei dati che entrerà in vigore il 25 maggio 2018. Subito dopo aver preso consapevolezza del cambiamento già in atto, viene la riflessione sulle informazioni.
Consapevolezza significa accertarsi che le persone in posizioni di comando e in ruoli chiave dell'organizzazione siano consapevoli dell’aggiornamento contenuto nel General Data Protection Regulation. Esse hanno il dovere di confrontarsi con l’impatto che il cambiamento avrà sulle attività quotidiane e di individuare quelle aree che potrebbero presentare problemi di adeguamento alla nuova normativa sulla protezione dei dati personali. L'allineamento al GDPR potrebbe avere implicazioni significative in termini di risorse da allocare, specialmente per le organizzazioni grandi o complesse e rimandare all'ultimo minuto renderebbe probabilmente tutto più complicato.
Il GDPR comporta l'obbligo di tenere traccia delle attività di trattamento dati e adegua la tutela
dei diritti al mondo connesso in rete. Occorre quindi documentare i dati personali di cui siamo in
possesso, cosa abbiamo, da dove arrivano e con chi li condividiamo. Ad esempio, se vi accorgete di
essere in possesso di dati incorretti che avete condiviso con un'altra organizzazione, dovrete
comunicarlo a quest'ultima in modo tale che essa possa correggere i propri registri. E senza sapere
quali sono i dati personali di cui siete in possesso, da dove arrivano e con chi li avete condivisi
non sarete in grado di farlo. Per questo dovreste tenerne accurata traccia e magari organizzare un
audit dei dati a livello aziendale o in alcune specifiche aree di business.
Così facendo provvederete anche ad adeguarvi al principio di responsabilità contenuto nel
regolamento UE 2016/679 sulla privacy, principio che obbliga le organizzazioni a poter dimostrare
come rispettano le regole sulla protezione dei dati implementando opportune politiche e procedure.
In vista del 25 maggio 2018 ogni azienda dovrebbe rivedere le proprie informative e predisporre un piano per implementare da subito gli aggiornamenti richiesti dal General Data Protection Regulation. Quando vi trovate a raccogliere dati personali, al momento dovete fornire alle persone alcune informazioni come la vostra identità e come intendete usare i suddetti dati. Questo avviene solitamente attraverso una cosiddetta informativa sulla privacy. Il GDPR 2016/679 obbligherà a fornire alle persone delle informazioni aggiuntive, quali ad esempio la base normativa che adottate per il trattamento dei dati e il periodo di tempo per cui li conserverete, oltre a ricordare loro che potranno sempre rivolgersi all'ICO qualora ritengano che le informazioni non siano state trattate correttamente. La nuova normativa comunitaria ci obbliga a fornire queste informazioni in un linguaggio chiaro, conciso e semplice da comprendere.
Per chiunque tratta dati personali è fondamentale accertarsi che tutti i diritti della persona siano rispettati. Tra i cosiddetti diritti individuali, infatti, il General Data Protection Regulation include i seguenti:
Se state già attrezzando la vostra organizzazione in questo senso, il passaggio agli stardard del nuovo Regolamento Europeo dovrebbe essere relativamente semplice. È il momento giusto, quindi, per rivedere le vostre procedure e verificare ad esempio come vi comportereste nel caso in cui qualcuno chieda - ad esempio - la cancellazione dei propri dati personali da voi raccolti. I vostri sistemi sarebbero in grado di trovare e cancellare facilmente questi dati? E chi sarebbe il responsabile in merito? Il diritto alla portabilità dei dati, invece, è un concetto completamente nuovo che approfondiamo in un post dedicato.
Per adeguarsi al General Data Protection Officer sarà opportuno aggiornare le procedure e pianificare come gestire le richieste di accesso ai dati nel rispetto della normativa. Il tempo massimo per soddisfarle passerà dagli attuali 40 a un massimo di 30 giorni. Potrete rifiutarvi oppure chiedere un compenso in caso di richieste che siano manifestamente infondate o eccessive. Nel caso rifiutaste, dovrete comunicare alla persona il motivo del rifiuto e ricordargli che comunque ha diritto a rivolgersi all'autorità di supervisione. Tutto ciò andrà fatto al più presto, senza causare ritardi e in ogni caso entro il termine del mese.
Se la vostra organizzazione gestisce abitualmente un numero elevato di richieste di accesso, attrezzatevi da un punto di vista logistico in modo da poter rispondere più rapidamente a tali richieste. Sarebbe opportuno valutare se sia fattibile o comunque preferibile sviluppare dei sistemi che permettano ai soggetti di accedere alle loro informazioni online, in modo semplice e autonomo.
Con il GDPR ogni organizzazione dovrà necessariamente identificare le basi su cui fondare la raccolta e il trattamento dei dati, documentandola e aggiornando la comunicazione in modo da esplicitarla. Stante la legge sulla privacy attualmente in vigore, molte organizzazioni non hanno dato grande peso a questo aspetto ma con l'introduzione del nuovo Regolamento Europeo il passaggio sarà necessario perché alcuni dei diritti delle persone varieranno a seconda della base normativa di riferimento usata per trattare i loro dati. L'esempio più lampante è che le persone godranno di diritti più efficaci nel caso in cui richiedano la cancellazione dei loro dati là dove questi siano raccolti e trattati sulla base normativa del consenso.
La base normativa che adottate per il trattamento dei dati personali andrà esplicitata nell'informativa sulla privacy e qualora riceviate una richiesta di accesso da parte di un soggetto. Dal 25 maggio 2018 dovrà essere possibile verificare le tipologie di trattamento che effettuate e identificare la base normativa che seguite, la quale dovrà anche essere documentata per un corretto adeguamento ai criteri di responsabilità illustrati nel General Data Protection Regulation.
Per ogni organizzazione sarà sicuramente necessario verificare le modalità con cui viene richiesto, raccolto e gestito il consenso al trattamento dei dati personali. Secondo gli standard del Regolamento UE 2016/671 il consenso deve essere libero, specifico, informato e inequivocabile. Questo significa che dovrà sempre sussitere una scelta deliberata (opt-in), senza caselle pre-spuntate o assenza di scelta. Il consenso, inoltre, deve essere sempre separato da istanze riguardanti termini e condizioni e dovrete permettere ai soggetti di verificarlo ed eventualmente revocarlo in modalità semplici. Una raccomandazione che vale in egual misura per pubblica amministrazione e impiegati pubblici.
Ovviamente tutto questo non significa che sarà obbligatorio richiedere ex-novo tutti i consensi già ottenuti ma, se basate il vostro trattamento dati sul consenso dei soggetti, sarà opportuno assicurarsi che tutto sia conforme agli standard del GDPR. Se questi principi di libertà, specificità, chiarezza e accesso non sono pienamente rispettati, allora dovrete cambiare i meccanismi con cui ottenete il consenso e ricercarlo in modo che sia adeguato al nuovo Regolamento Europeo.
La prima domanda da porsi è: nelle mie attività di trattamento dei dati sono coinvolti dei minorenni? Per la prima volta, la normativa introduce una tutela speciale dei dati personali relativi ai bambini con riferimento in particolare ai social network e al commercio elettronico. Se la vostra organizzazione fornisce servizi online a minori di 16 anni e vi basate sul consenso per raccogliere informazioni che li riguardano, allora avrete probabilmente bisogno del consenso di un genitore o di un tutore per trattare i loro dati in modo legale.
Ricordate che secondo il nuovo Regolamento Europeo il consenso deve essere sempre verificabile e che, nel raccogliere i dati dei minori, l'informativa dovrà essere scritta in un linguaggio accessibile ai bambini.
Tutte le organizzazioni hanno il dovere di accertarsi di aver implementato le corrette procedure per identificare, riportare e indagare le violazioni di dati personali. Il General Data Protection Regulation 2016/679 introduce l'obbligo per tutte di notificare all'ICO le violazioni che mettono a rischio i diritti e le libertà individuali in casi in cui possano scaturirne discriminazione, danni alla reputazione, perdite finanziarie o di segretezza, o qualunque altro danno significativo a livello sociale o economico. Nei casi di rischio più elevati, andranno avvisati anche tutti i soggetti che ne sono coinvolti direttamente.
Cosa significa tutto questo per un'azienda, un ente, chiunque tratti dati personali? Significa implementare apposite procedure per poter innanzitutto identificare e poi riportare e indagare una possibile violazione di dati personali. Dovrete verificare che tipo di dati effettivamente avete in vostro possesso e come prevenire ed eventualmente agire nel caso si verifichi una violazione. Le organizzazioni più grandi dovranno sviluppare politiche e procedure strutturate per far fronte a violazioni riguardanti i dati. Sono infatti previste pesanti sanzioni sia in caso di violazioni che in caso di mancata denuncia delle stesse.
Il GDPR 2016/679 introduce come requisito legale la privacy pianificata definendola come protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Effettuare valutazioni dell'impatto sulla privacy - la cosiddetta PIA (Privacy Impact Assestment) - è sempre stata una buona norma da adottare in ogni organizzazione ma con il General Data Protection Regulation in alcuni casi diventa addirittura obbligatorio valutare l'impatto della protezione dei dati cui il legislatore si riferisce con la definizione di DPIA (Data Protection Impact Assessment).
Diventa necessaria una DPIA qualora il trattamento dei dati possa concretamente rappresentare un elevato grado di rischio per i soggetti. Ad esempio:
Dovreste quindi valutare se vi troviate nelle condizioni per cui sia necessario avviare un Data Protection Impact Assessment. Chi se ne occuperà? Chi vi sarà coinvolto? Sarà un processo condotto in locale o a livello centralizzato? Quando la DPIA indica un rischio rispetto al trattamento dei dati e l’organizzazione non è in grado di affrontare il rischio in modo corretto, allora è consigliabile consultare l’autorità garante per verificare che le procedure di trattamento risultino adeguate alla normativa comunitaria sulla privacy. Proprio per questo l’autorità garante europea e il Gruppo di Lavoro Articolo 29 hanno prodotto una guida per capire capire come implementare la PIA all'interno dell’organizzazione.
Questi stessi incaricati dovranno innanzitutto verificare in modo puntuale che questo ruolo si integri nella governance e nella struttura aziendale. Da verificare, poi, con attenzione anche l'obbligatorietà della nomina formale di un DPO - il Data Protection Officer - secondo quanto previsto dal GDPR. In ogni caso sarà fondalmentale che qualcuno all'interno dell'organizzazione – oppure che un consulente esterno per la protezione dati – sia incaricato della responsabilità sull'adeguamento della protezione dei dati alla nuova normativa europea in vigore dal 25 maggio 2018, e che abbia autorità, competenza e supporto per svolgere tale ruolo in modo efficace.
Le organizzazioni che operano in più di uno stato membro dell'Unione Europea sono chiamate a individuare l'autorità guida ("lead authority") di supervisione alla protezione dei dati. L’autorità va ricercata nello stato all'interno della UE in cui risiedono la sede principale e l’amministrazione dell’organizzazione oppure in cui si prendono decisioni in merito ai dati trattati. Il GDPR prevede infatti che se l’organizzazione effettua un trattamento di dati trans-frontaliero allora è opportuno individuare la località in cui avvengono i principali processi decisionali e, di conseguenza, l’autorità guida di supervisione. Sono coinvolte le organizzazioni che hanno sedi in più Paesi della UE o una singola sede in un Paese UE ma in cui l’attività di trattamento dati riguarda direttamente soggetti risiedenti in altri stati dell'Unione.
