Di seguito gli adempimenti necessari per una corretta gestione dei dati personali rilasciati e/o affidati dagli interessati al Titolare del trattamento. Il sistema necessita di una gestione caso per caso, creata ad hoc per ogni singolo soggetto/azienda in quanto non esiste uno standard fisso e unico per qualunque progetto.
Il nuovo GDPR prevede ed applica due principi:
- Il principio della privacy by Design
- Il principio della privacy By Default
Tali principi, stabiliscono e prevedono che il consenso al trattamento dei dati personali debba essere rilasciato in maniera valida, revocabile ed esplicita al fine di garantire la costante salvaguardia dei dati rilasciati dagli interessati al trattamento.
Il principio della Privacy By Design, prevede una tutela a 360 gradi dell’utente, sulla base di un processo di tutela continua il cui epicentro è l’interessato (utente) e, conseguentemente, ogni attività effettuata dal Titolare del trattamento nella gestione e conservazione dei dati dell’interessato deve, necessariamente, garantire la riservatezza e la protezione dei dati personali dello stesso.
Il principio della Privacy By Default, invece, riguarda, nello specifico, le modalità di gestione e trattamento dei dati, da interpretarsi alla luce del sostanziale concetto di STRETTO INDISPENSABILE: il trattamento e la richiesta dei dati personali dell’utenza è possibile solo nella misura necessaria per gli scopi previsti e per un tempo strettamente necessario a questi fini.
GLI ELEMENTI NECESSARI ALL’ADEGUAMENTO SONO I SEGUENTI:
- Registro dei Trattamenti;
- Informative;
- Lettere di Designazione;
- Procedure;
- Registro Data Breach;
- Analisi dei Rischi;
- Privacy by Design e DPIA
1. Registro dei Trattamenti
L’azienda, ente o professionista cui l’interessato/utente/cliente, affida le proprie informazioni personali, diviene immediatamente Titolare del Trattamento che, come tale, sarà obbligato alla tenuta di un registro dei trattamenti. Tale registro andrà esibito alle autorità di controllo (Garante) in caso di verifiche.
Esso dovrà contenere:
• il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati (DPO) ove previsto;
• le finalità del trattamento, cioè i fini, stabiliti dal Titolare del Trattamento, per cui si trattano i dati;
• la descrizione delle categorie di interessati e delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (come per es. i Responsabili del Trattamento, cioè i fornitori, a cui il titolare affida i dati personali custoditi);
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
• ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2. Informative
Il titolare fornisce agli interessati tutte le informazioni relative al trattamento (art. 12 e ss. GDPR): a tale fine una informativa è un documento attraverso il quale il futuro interessato viene reso edotto delle finalità e delle modalità dei trattamenti operati dal titolare del trattamento nonché di tutte le informazioni relative ai trattamenti eseguiti in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
L’informativa deve contenere i seguenti requisiti:
• identità del Titolare;
• i dati dei Responsabili e dei Destinatari del Trattamento;
• la natura obbligatoria o facoltativa del conferimento;
• eventuale presenza di processi decisionali automatizzati compresa la profilazione;
• eventuali legittimi interessi perseguiti;
• il periodo di conservazione dei dati personali;
• eventuali trasferimenti di dati all’estero;
• eventuale trattamento di dati particolari;
• diritti degli interessati e come esercitarli.
3. Lettere di Designazione
Secondo quanto previsto dall’art. 29 GDPR, il responsabile del trattamento, che abbia accesso a dati personali degli interessati, non può trattare tali dati se non è istruito ad hoc dal titolare del trattamento.
A tale fine i soggetti incaricati ed autorizzati dal Titolare del Trattamento dovranno essere appositamente formati al fine di agevolare l’attuazione del Regolamento da parte del titolare del trattamento dei dati personali, che deve ottenere il consenso libero e informato degli utenti interessati.
Ciò posto, nel rispetto del principio della Privacy By Design, ogni designazione di un Responsabile del trattamento o la nomina di soggetti autorizzati, dovranno avvenire per mezzo di un documento, generalmente redatto in forma scritta.
4. Procedure
Il Titolare del Trattamento regola la propria attività mediante dettagliate procedure al fine di dimostrare la conformità al GDPR.
Tra le procedure più comuni ricordiamo:
• La tenuta di un registro per la gestione delle violazioni dei Dati personali (Data Breach);
• Gestione esercizio Diritti interessati;
• Processo per la nomina di Responsabili del Trattamento;
• Processo per la nomina di Soggetti Autorizzati (Ex. Incaricati);
• Processo per la conservazione e cancellazione dei dati personali.
5. Registro Data Breach
Secondo quanto previsto dall’art. 33, co. 5, del GDPR il Titolare del Trattamento deve documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni.
Il Registro, dovrà essere fornito al Garante o agli Ufficiali accertatori in caso di accertamenti.
Il registro dovrà contenere:
• data e ora della violazione;
• sorgente dell’informazione sulla violazione;
• conseguenze della violazione (quantità dei dati personali e degli interessati coinvolti dalla violazione);
• data o ora della notifica della violazione all’autorità di controllo;
• motivo per il quale la violazione è stata ritardata o non è stata comunicata all’autorità di controllo;
• cause della violazione;
• provvedimenti adottati a seguito della violazione.
6. Analisi dei Rischi
Secondo quanto previsto dall’art. 32 del GDPR, il titolare del trattamento mette in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendono:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
Alla luce di ciò, risulta evidente la necessità di una costante e concreta valutazione del rischio (risk based): solo attraverso tale valutazione il Titolare del Trattamento potrà ridurre al minimo o annullare i profili di responsabilità in capo ad esso o del responsabile del trattamento.
7. DPIA (Data Protection Impact Assessment)
Il DPIA (valutazione di impatto del trattamento – Data Protection Impact Assessment) è un onere posto direttamente a carico del titolare del trattamento dall’art. 35 GDPR ed è volto ad assicurare la massima trasparenza e protezione nel trattamento dei dati personali.
Attraverso tale strumento il Titolare del Trattamento analizza nel dettaglio i rischi derivanti dai trattamenti posti in essere e sviluppa una valutazione preventiva (in ossequio al principio della Privacy by Design) delle possibili conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati e fornisce agli stessi interessati ogni informazione necessaria.
La valutazione di impatto deve contenere almeno:
– la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l’interesse legittimo perseguito dal titolare;
– la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità;
– la valutazione dei rischi per i diritti e le libertà degli interessati;
– le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
In base all’articolo 35 del GDPR ecco di seguito i casi nei quali la DPIA è necessaria:
• il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
• il trattamento riguarda dati sensibili o giudiziari su larga scala;
• il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Per saperne di più o per richiedere una consulenza gratuita non esitare a contattarci a info@studioevoluto.it oppure compila il form sottostante e ti contatteremo al più presto