Per sensibilizzare sul tema, ho pensato di raccogliere alcuni suggerimenti, raccolti in un decalogo, che possono aiutare organizzazioni e aziende nel percorso di “compliance” in vista della scadenza suddetta;
1. registro dei trattamenti. L’articolo 30 del GDPR prevede di mantenere un registro delle attività di trattamento. A mio giudizio questo rappresenta il primo e fondamentale passo da compiere, su cui fondare la compliance anche relativamente alle altre disposizione del regolamento de quo, in quanto l’analisi e la definizione di un simile registro risponde alla domanda: “di cosa stiamo parlando?”. L’adempimento si sostanzia nella ricognizione esaustiva di quali sono i processi oggetto di trattamento, sul perché e come il data controller (titolare del trattamento) ha bisogno di trattarli, chi sono gli interessati (i data subject), il periodo di conservazione, il luogo di custodia dei dati, e altre informazioni. Se ricordate, la prescrizione sembra riprendere quanto riportava il soppresso punto 19.1. dell’Allegato B, vale a dire l’elenco dei trattamenti di dati personali all’interno dell’obbligo di redazione del DPS, ma in questo caso viene richiesto un insieme di specificazioni più esaustive, per cui vale la pena sin da subito procedere con una verifica dell’esistenza, completezza e consistenza dell’elenco dei trattamenti e delle banche dati, e della relativa documentazione.
2. data breach. Uno degli aspetti più inquietanti, anche per le possibili conseguenze (perdita o compromissione di dati, reputazione aziendale, conseguenze sul piano giuridico) è la necessità di prepararsi qualora si dovesse malauguratamente verificare una violazioni della sicurezza dei dati e la conseguente necessità di mettere in pratica politiche preventive chiare e procedure funzionali, per garantire che si possa reagire rapidamente a qualsiasi violazione dei dati, e affinchè la violazione (cd. data breach) possa essere comunicata in tempo dove richiesto.
3. accountability. La “rendicontazione” consiste nello stabilire un quadro preciso e definito per le responsabilità, che garantisca di avere politiche chiare in atto per dimostrare che vengono soddisfatti gli standard richiesti. A tal fine bisogna introdurre anche una cultura del monitoraggio, volta al riesame e alla valutazione delle procedure di trattamento dei dati, che siano mirate a ridurre al minimo il trattamento e la conservazione dei dati, e alla definizione delle misure di salvaguardia. Bisogna verificare che il personale sia addestrato per capire quali sono i suoi obblighi/adempimenti; consurre appropriate e verificabili (auditable) valutazioni d’impatto sulla privacy per esaminare eventuali attività di trattamento a rischio, e le misure adottate per affrontare i problemi specifici.
4. privacy by design. Recepite le indicazioni per la “privacy by design” e assicuratevi che il rispetto della privacy sia incorporato in qualsiasi nuovo processo implementato o prodotto che viene distribuito. Questa analisi deve essere definita all’inizio del processo per consentire una valutazione strutturata e sistematica. L’implementazione della privacy by design può dimostrare tanto la conformità normativa quanto creare un vantaggio competitivo per l’azienda/ente.
5. rispetto dei principi fondamentali. Analizzate le basi giuridiche per cui utilizzate i dati personali, considerato il tipo di trattamento che avete intrapreso o per cui vi siete impegnati. Ad esempio, per capire se vi rivolgete a soggetti che hanno prestato il loro consenso al trattamento, o potete viceversa dimostrare di poterne fare a meno in quanto avete un interesse legittimo nel trattamento che non è subordinato agli interessi della persona… Le aziende spesso danno per scontato che hanno bisogno di ottenere il consenso delle persone interessate per elaborare i loro dati. Tuttavia, il consenso è solo uno dei diversi modi per legittimare l’attività di trattamento e potrebbe non essere la migliore (ad esempio può essere ritirato). Qualora i presupposti si basano sull’ottenimento del consenso, verificate se i documenti informativi e le forme di consenso sono adeguate e controllate che i consensi siano stati spontanei, specifici e informati. Ciò in quanto sarete comunque voi a sostenere l’onere della prova.
6. le comunicazioni formali. Controllate le comunicazioni informative (es. disclaimer e note legali) e le politiche sulla privacy. Il GDPR richiede che le informazioni fornite debbano adottare un linguaggio chiaro e semplice. Le procedure devono essere trasparenti e facilmente accessibili.
7. i diritti degli interessati (data subjects). Tenete a mente i diritti delle persone interessate e siate preparati per eventuali richieste degli stessi per esercitare i loro diritti in base al GDPR (ora art. 7 D.Lgs. 196/2003), come ad esempio il diritto alla portabilità dei dati e il diritto alla cancellazione. Se si memorizzano o archiviano i dati personali, prendete in considerazione i motivi legittimi per il loro mantenimento (cd. data retention) – sarà a vostro carico l’onere della prova per dimostrare che i motivi legittimi prevalgono rispetto gli interessi delle persone interessate. Non è escluso che possiate anche trovarvi di fronte a individui che hanno aspettative irrealistiche dei loro diritti.
8. il ruolo del DPO. Designazione della figura del Data Protection Officer. L’Art 37 prevede la nomina di questa figura laddove sussistano almeno una delle tre seguenti circostanze:
- quando il trattamento è effettuato da un’autorità/ente pubblico;
- quando il core business del Titolare o del Responsabile consiste di operazioni di trattamento, che richiedono il monitoraggio regolare e sistematico di interessati su larga scala; o
- quando il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.
Di recente, per chiarire l’applicabilità di questo ruolo il Gruppo dei Garanti Ue (WP 29) ha pubblicato apposite linee guida. In ogni caso conviene sin da subito procedere alla verifica delle condizioni per l’applicabilità della figura del Data Protection Officer, e laddove previsto, individuare un percorso che porti alla sua scelta e designazione, nonché la relativa contrattualizzazione.
9. i responsabili del trattamento. Un aspetto delicato e importante al contempo riveste il ruolo del cd. Data processor o Responsabile del trattamento (Articolo 28), definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; Vengono in rilievo in particolare le figure degli “outsourcer”, per cui si rende necessario verificare che le deleghe di responsabilità per il trattamento siano affidate ad entità che diano sufficienti garanzie di implementare appropriate misure per garantire la compliance GDPR. Le evidenze devono chiaramente derivare da accordi/contratti di regolamentazione dei rapporti, anche in rifermento all’eventuale esigenza che tali soggetti debbono procedere motu proprio alla nomina di un loro DPO.
Ciò si rende tanto più contingente laddove per determinate categorie di interessati spesso ci si trova in presenza di una vera e propria catena di trattamenti, compresi all’interno di uno stesso presidio. Ad esempio, per la gestione amministrativa del personale, possono esistere svariati fornitori di soluzioni e servizi lungo il flusso operativo del processo di erogazione. Dai sistemi software per il rilievo degli accessi e delle presenze, ai consulenti del lavoro,ai sistemi informativi software di elaborazione paghe, ai sistemi per la distribuzione delle informazioni retributive e collegati alle stesse (es. portali web, ecc). Ciascuno di essi può poi ulteriormente diramarsi in base ai canali di comunicazione utilizzati, dalle tecnologie rfid, alle soluzioni web e ai portali cloud, alle apps, e via dicendo, in un crescendo di fornitori esterni di soluzioni, ciascuno con le sue criticità e adempimenti specifici da soddisfare.
10. data transfer. Per i trasferimenti di dati transfrontalieri, cosi come per quelli internazionali, compresi i trasferimenti infragruppo, sarà importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che non sono riconosciute come aventi un’adeguata regolamentazione sulla protezione dei dati. Questa non è una nuova prescrizione rispetto quanto attualmente previsto, ma il mancato rispetto potrebbe comportare una multa fino ad un massimo di 20M di euro e il 4% del fatturato annuo globale.
Anche se questo non è un elenco esaustivo, questi sono alcuni passi che potete prendere sin d’ora per assicurarvi di non trovarvi nella situazione di essere impreparati o di dovere attivarvi freneticamente poco prima della fatidica scadenza del maggio 2018, con tutto ciò che ne consegue.