,

GDPR – Cosa devono fare le aziende per adeguarsi?

GDPR Cosa devono fare le aziende per adeguarsi
46

La normativa sul trattamento dei dati personali ha subito una sorta di “rivoluzione copernicana” con l’introduzione del Regolamento UE 2016/679, in particolare circa l’approccio all’attività di adeguamento alla normativa e su cosa devono fare le aziende per adeguarsi al GDPR. Non viene più richiesto l’adempimento di specifici obblighi normativamente previsti, ma si introduce un nuovo principio fondamentale, che è quello di responsabilizzazione (accountability) del Titolare del Trattamento, il quale comporta che quest’ultimo sia, appunto, responsabile dell’adozione di politiche e dell’attuazione di misure adeguate per garantire che il trattamento dei dati personali sia conforme al GDPR, ed essere in grado di dimostrarlo.

Per tale motivo, risulta essenziale che nell’attività di compliance alla normativa venga definito un progetto di adeguamento al GDPR per le aziende, che consenta anche di dimostrare le azioni poste in essere e quelle ancora da adottare, con le correlate motivazioni. Tale piano di adeguamento deve necessariamente basarsi sull’analisi delle attività di trattamento dei dati personali in atto nell’azienda, che sia una grande organizzazione o una ditta individuale. A tale fine, come si vedrà più avanti, un ottimo punto di partenza è la redazione del Registro dei trattamenti, a mezzo del quale si riesce ad avere un quadro completo dei trattamenti in atto a partire dal consenso al trattamento dei dati personali.

L’attività di adeguamento privacy

Andando nel dettaglio, vediamo cosa devono fare le aziende per adeguarsi al GDPR, la normativa privacy. Per chiarezza espositiva si ritiene utile suddividere tale attività nel modo che segue, comprendendo sia i compiti più prettamente progettuali, sia quelli di implementazione. L’elenco, redatto con criterio non rigidamente cronologico, in quanto alcune attività per adeguarsi al GDPR dovranno/potranno essere svolte in parallelo, prevede:

  1. Valutazione preliminare;
  2. Nomina del Responsabile della protezione dei dati (DPO);
  3. Redazione del registro dei trattamenti;
  4. Individuazione degli interventi necessari – valutazione dei rischi;
  5. Valutazione d’impatto (DPIA);
  6. Redazione del progetto di adeguamento;
  7. Definizione dei ruoli e delle responsabilità dei soggetti;
  8. Revisione (o redazione) della documentazione;
  9. Definizione delle procedure di gestione delle violazioni di dati (data breach);
  10. Definizione delle procedure sull’esercizio dei diritti dell’interessato.

1. Valutazione preliminare

Il primo passo necessario per stabilire cosa è necessario fare, è capire qual è la situazione in atto, ovvero fare una fotografia o mappa della situazione attuale in merito alla gestione della privacy in azienda, comprendendo le eventuali aziende controllate e/o controllanti, o comunque collegate. Ciò si ottiene prendendo in esame tutte le attività che implicano un qualunque trattamento di dati personali.
In tale attività, è consigliabile partire da quanto è stato già fatto in tema di compliance privacy, prima di passare all’analisi di tutte le attività svolte dall’azienda. A mero titolo esemplificativo ed in ordine sparso, per adeguarsi al gdpr si dovranno analizzare:
– i settori di attività
– i servizi offerti
– gli strumenti utilizzati
– i soggetti interni ed esterni che trattano i dati
– le categorie di dati trattati
– le finalità del trattamento dei dati
– le categorie di soggetti interessati
– l’origine e la destinazione dei dati
– i termini di conservazione dei dati
– le misure di sicurezza adottate
– i terzi destinatari dei dati
– l’eventuale trasferimento dei dati verso paesi extra UE

Lo scopo di tutto ciò è di ottenere una “mappatura” dell’azienda più completa e dettagliata possibile, in merito ai dati trattati (tipologia, categorie di interessati, finalità, basi giuridiche, tempi di conservazione, ecc.), ai soggetti coinvolti nel trattamento (interni ed esterni), alla documentazione in essere (contratti, nomine, ecc.), ai sistemi informatici, alle misure tecniche ed organizzative, al flusso dei dati verso l’esterno, solo per citare le questioni più rilevanti.
Come attività preliminare è anche necessario individuare ed avere ben chiaro, il quadro normativo in materia di privacy (GDPR in primis) e le eventuali normative di settore applicabili in relazione all’ambito di attività dell’azienda. Per la stessa ragione, anche successivamente all’adeguamento, occorre monitorare le novità normative introdotte e l’impatto che possono avere sulle attività di trattamento effettuate.

2. Nomina del Responsabile della protezione dei dati (DPO) – Quando è obbligatoria?

Successivamente alla valutazione preliminare, si ritiene utile valutare la necessità/utilità di provvedere alla nomina del Responsabile della protezione dei dati o, più notoriamente, DPO (Leggi l’approfondimento “Chi è il DPO?“). Infatti, qualora questi fosse nominato, avrebbe un ruolo molto importante in tutta l’attività di adeguamento.
La disciplina che regola questa nuova figura professionale è contenuta negli artt. 37 e seguenti del GDPR.
L’art. 37, stabilisce i casi in cui la sua nomina è obbligatoria. Ciò in particolare quando:
a) il Titolare è un’autorità pubblica o un organismo pubblico;
b) il trattamento dati richiede il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali di trattamento del Titolare riguardano categorie particolari di dati personali (sensibili) o di dati relativi a condanne penali e a reati, su larga scala.

Il DPO deve essere designato per le sue qualità professionali, in particolare per la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i suoi compiti, delineati dall’art. 39 del GDPR.
Di seguito i “compiti” del DPO secondo il GDPR:
a) informare e fornire consulenza in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché delle politiche in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
d) cooperare con l’autorità di controllo (Garante Privacy);
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Per garantire che il DPO possa svolgere efficacemente i propri compiti, inoltre, la normativa GDPR all’art. 38 prevede che lo stesso:
a) deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
b) deve ricevere sostegno attraverso la fornitura delle risorse necessarie per assolvere i suoi compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
c) non deve ricevere alcuna istruzione per quanto riguarda l’esecuzione dei compiti;
d) non può essere rimosso o penalizzato per l’adempimento dei propri compiti;
e) riferisce direttamente al vertice gerarchico.
È necessario, pertanto, che l’azienda verifichi se sussistano le condizioni che obbligano alla nomina del Responsabile della protezione dei dati ed, eventualmente, proceda con la nomina, selezionando la figura sulla base dei requisiti sopra indicati.
Nulla vieta, comunque, di procedere alla nomina del DPO anche qualora non sia obbligatoria, magari quando le tipologie di trattamento siano comunque particolarmente “delicate”.

3. Redazione del registro dei trattamenti

Il Registro dei trattamenti (art. 30 del GDPR) è un documento, cartaceo o informatico, che riporta ogni singolo trattamento di dati effettuato dall’azienda e contiene quantomeno:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

È previsto un registro dei trattamenti anche per il Responsabile del trattamento, i cui contenuti sono indicati sempre dal medesimo articolo.
Si tratta, in sostanza, di una sorta di censimento dei trattamenti svolti dall’azienda.
Tale registro non è obbligatorio per le imprese con meno di 250 dipendenti, salve alcune eccezioni previste dallo stesso articolo, ma è comunque sempre assolutamente consigliabile, in quanto risulta uno strumento di grande utilità, anche laddove non sia obbligatorio.
Nonostante l’obbligatorietà di inserimento nel registro sia prevista solo per alcuni dati (indicati sopra), nulla vieta, ed anzi risulta utilissimo, che vi possano essere inserite informazioni ulteriori. Infatti, tutto quanto inserito nel Registro dei trattamenti risulterà utile per adeguarsi al GDPR.
ll Registro dei trattamenti, inoltre, in ossequio al principio di responsabilizzazione, è un documento che serve a dare prova di aver adempiuto a quanto previsto dal GDPR.

4. Individuazione degli interventi necessari – valutazione dei rischi

In questa fase si individuano gli specifici deficit rispetto alla normativa privacy, in termini di cosa è necessario fare per l’adeguamento.
Infatti, il principio di “responsabilizzazione” (accountability) prevede che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario” (art. 24 del GDPR).
Ciò significa che è onere del Titolare del trattamento individuare e mettere in atto le misure tecniche e organizzative necessarie per garantire e dimostrare la conformità del trattamento stesso al GDPR. In altri termini, non viene semplicemente richiesta l’adozione di una serie di misure preventivamente individuate dal legislatore, cui il Titolare doveva meramente uniformarsi, ma viene lasciata totale discrezionalità sul come (ma anche responsabilità, da qui il nome del principio) al Titolare del trattamento.
In sostanza, questa attività si svolge prendendo in esame sia, in generale, il modello di gestione privacy aziendale, sia i singoli trattamenti svolti dall’azienda, valutandone i rischi.
Dal punto di vista pratico, si può procedere creando una sorta di elenco, da integrare nel successivo piano di adeguamento, di tutte le modifiche necessarie in relazione ai vari ambiti di attività dell’azienda, che possono incidere in qualche modo sul trattamento dei dati, quali ad esempio i processi lavorativi, i sistemi utilizzati, l’organizzazione aziendale e la contrattualistica.
Per ogni voce di tale elenco, poi, sarebbe utile indicare, anche sinteticamente, la specifica attività di adeguamento da porre in essere.

5. Valutazione d’impatto (DPIA) sulla protezione dei dati

In relazione a quanto riportato nel punto precedente, il GDPR prevede all’art. 35 che, quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento debba effettuare una valutazione dell’impatto (DPIA) dei trattamenti previsti sulla protezione dei dati personali. La stessa norma, poi, fa un elenco dei casi in cui la valutazione è obbligatoria, ovvero:
a) quando si attua un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche;
b) quando il trattamento di categorie particolari di dati personali (sensibili) o di dati relativi a condanne penali e a reati, sia svolto su larga scala;
c) quando si effettui la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il contenuto minimo della valutazione d’impatto è descritto ancora dall’art. 35 del GDPR, ovvero:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR.

Lo scopo della valutazione d’impatto è quello di consentire l’individuazione delle misure tecniche ed organizzative che consentano di eliminare o ridurre (minimizzare) i rischi nei trattamenti di dati.

6. Redazione del progetto di adeguamento

Una volta individuati dettagliatamente gli interventi necessari, è opportuno procedere con la redazione di un piano di adeguamento, con l’obiettivo di definire una politica di gestione della privacy nell’azienda.
Questa è la fase in cui si pianificano il lavori di adeguamento normativo, organizzandoli in base agli ambiti di intervento ed ai soggetti coinvolti e redigendo, per ogni ambito, uno specifico programma.

7. Definizione dei ruoli e delle responsabilità dei soggetti

Un altro passaggio fondamentale consiste nell’individuare quali sono i soggetti (interni ed esterni) che dovranno poi effettivamente implementare il piano di adeguamento, definendone i ruoli e le responsabilità.
Questi, relativi all’esecuzione del piano di adeguamento, rimarranno gli stessi anche successivamente, quando l’azienda andrà per cosi dire “a regime”, dopo l’attività di adeguamento (ad esempio: Titolare del trattamento e Responsabile del trattamento).
Infatti, a norma del GDPR, è necessaria una chiara individuazione dei ruoli e delle responsabilità di tutti i soggetti che, in qualsiasi modo, operano nell’attività di trattamento dei dati. Tra questi, i principali sono:
– il Titolare del trattamento
– il Responsabile del trattamento (sempre esterno all’azienda secondo il dettato del GDPR)
– gli Incaricati del trattamento.

Il Titolare del trattamento

Il titolare del trattamento è la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali: in pratica, è colui che decide quali trattamenti fare e con quali modalità.

Il responsabile del trattamento

Il Responsabile del trattamento è, invece, la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento. Dalla lettura del GDPR si evince che tale qualifica è attribuita unicamente ai soggetti terzi rispetto al Titolare, che a vario titolo intrattengano rapporti con l’azienda, come ad esempio, fornitori, consulenti esterni, professionisti.
Tuttavia, nulla vieta, ed anzi appare utile, che l’azienda, al di là della nomenclatura utilizzata, possa individuare dei responsabili interni, come peraltro previsto prima del GDPR.

L’incaricato del trattamento

L’Incaricato del trattamento è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile: in sostanza, è il soggetto che materialmente effettua le operazioni di trattamento dei dati.

8. Revisione (o redazione) della documentazione

In questa fase, si deve procedere ad analizzare tutta la documentazione privacy. A titolo esemplificativo e non esaustivo: informative, atti di nomina, cookie policy, privacy policy, registro dei trattamenti e valutazione d’impatto.
Ciò al fine di operare, laddove necessario, la revisione della documentazione esistente o la redazione ex novo di quella eventualmente mancante.
Questa attività è essenziale, sia per garantire che la documentazione privacy risulti sempre completa ed aggiornata rispetto al dettato normativo, sia per dimostrare (come richiesto per adeguarsi al GDPR) la conformità alla normativa.

9. Definizione delle procedure di gestione delle violazioni di dati (data breach)

Con violazione dei dati o data breach si indica una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 GDPR).
È necessario prevedere delle procedure da attivare in caso di data breach, in quanto il GDPR ha introdotto degli specifici adempimenti a carico del Titolare del trattamento, nel caso si verifichino tali violazioni.
In particolare, l’art. 33 del GDPR spiega cosa devono fare le aziende in caso di data breach: il Titolare dovrà notificare la violazione all’Autorità di Controllo competente (in Italia, il Garante Privacy) entro 72 ore dal momento in cui ne è venuto a conoscenza. Tale notifica, inoltre, deve avere un serie di contenuti minimi, individuati dalla stessa norma.
Quando, poi, la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, salvo casi espressamente indicati, il Titolare del trattamento deve comunicare la violazione agli interessati, senza ingiustificato ritardo (art. 34 del GDPR).
A fronte di tali incombenti, si comprende quindi la necessità, per l’azienda, di adottare una specifica procedura per la gestione dei data breach, che consenta anche di rispettare i tempi stringenti posti dal regolamento.

10. Definizione delle procedure sull’esercizio dei diritti dell’interessato

Il GDPR prevede una serie di diritti in favore degli interessati dal trattamento, alcuni dei quali di nuova introduzione. Fra di essi si segnalano: il diritto di accesso, il diritto di cancellazione o diritto all’oblio, il diritto di limitazione del trattamento e il diritto alla portabilità dei dati.
Inoltre, per l’esercizio dei diritti da parte degli interessati, sono previste delle specifiche modalità e tempistiche (artt. 11 e 12 del GDPR).
È indispensabile, pertanto, che il piano di adeguamento privacy definisca le procedure per consentire l’esercizio dei diritti agli interessati, nel rispetto della normativa.

GDPR: Cosa devono fare le aziende? Considerazioni conclusive

La definizione e l’adozione di un piano di adeguamento privacy, alla luce del principio di responsabilizzazione, costituisce di per sé un importante elemento di valutazione della compliance aziendale, a patto che tale processo sia compiutamente documentato, quantomento per ciò che attiene ai passaggi più rilevanti, come, ad esempio, le motivazioni alla base delle scelte effettuate in merito a: DPO, registro dei trattamenti, valutazione d’impatto, misure tecniche ed organizzative.
Infine, è bene sottolineare che l’attività di adeguamento privacy non deve essere considerata come un mero incombente imposto dalla legge, ma come una occasione di innovazione e rilancio dell’azienda, ad esempio, nei settori organizzativo ed informatico, oppure a livello reputazionale.

Avv. William Dispoto

Potrebbero interessarti
App immuni - come funzionaApp immuni: come funziona ed in che modo tutela la privacy
Pubblicità comportamentalePubblicità comportamentale e tutela della Privacy
Aprire un negozio onlineCome aprire un negozio online – Aspetti legali dell’ecommerce
Privacy smart workingLa privacy nello smart working
Portabilita datiPortabilità dei dati: soluzioni pratiche per il corretto esercizio
Privacy awarenessPrivacy awareness: la risorsa per affrontare il mondo digitale