Nei prossimi mesi tutte le aziende dovranno confrontarsi con la nuova normativa europea sulla protezione dei dati personali, così da farsi trovare pronte per il 25 Maggio 2018, scadenza ufficiale per rispettare i termini di questo nuovo regolamento in vigore in tutta la EU.
Per adeguarsi al GDPR, occorre implementare una vasta gamma di misure per ridurre il rischio di violare il GDPR e consentire di dimostrare che si sta prendendo sul serio la governance sui dati. Tra le misure di responsabilità da adottare figurano: valutazioni dell’impatto sulla privacy, verifiche, revisione dei criteri, registrazioni delle attività e (potenzialmente) la nomina di un incaricato alla protezione dei dati (DPO).
DPO (Incaricato alla protezione dei dati)
Il GDPR introduce l’obbligo per una determinata tipologia di aziende di nominare un incaricato alla protezione dei dati (DPO). Le aziende devono nominare un dipendente o un consulente esterno come loro DPO.
Se siete un operatore di mercato con un vasto database di clienti, probabilmente avrete bisogno di un DPO; le autorità nazionali per la protezione dei dati sono tenute a fornire una guida a chi si deve qualificare.
Il vostro DPO sarà responsabile del controllo sulla conformità con il GDPR, informandovi sui vostri obblighi, avvertendovi su quando e come deve essere effettuata una valutazione dell’impatto sulla privacy, e sarà il punto di contatto per le richieste da parte delle autorità nazionali per la protezione dei dati e le persone.
Sportello unico
Il concetto di sportello unico permette a un’azienda che opera in diversi paesi dell’Unione Europea di confrontarsi con un’unica autorità nazionale per la protezione dei dati, anche se le regole per determinare quale DPA debba assumere questo ruolo, e come verranno gestiti i reclami, sono in molti casi complesse.
Elaborazioni, procedure e criteri
Violazione dei dati
Il GDPR ridefinisce la violazione dei dati come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”.
Questa definizione è più ampia rispetto alla precedente e non prende in considerazione il caso in cui la violazione determini un danno per l’individuo. Se subite una violazione della sicurezza dei dati, dovete informare immediatamente la vostra autorità nazionale per la protezione dei dati, o comunque non più tardi di 72 ore dopo aver scoperto la violazione.
Tuttavia, siete esentati dal segnalarla agli individui in questione se avete implementato appropriate misure tecniche e organizzative per proteggere i dati personali, come ad esempio la crittografia.
Protezione dei dati by design
Una parte importante della conformità con il GDPR è la privacy by design, es. Progettare ogni nuovo processo o prodotto ponendo i requisiti di privacy Avanti e al Centro. Questo approccio che prima era solo una buona prassi ora è un requisito specifico.
Valutazione sull’impatto della protezione dei dati (detto anche valutazione sull’impatto della privacy – PIA)
Una valutazione sull’impatto della protezione dei dati, conosciuta anche come una valutazione sull’impatto della privacy (PIA), ha lo scopo di identificare e ridurre i rischi di non conformità.
Il GDPR rende i PIA un requisito formale; nello specifico, i titolari del processo di elaborazione devono assicurare che sia in funzione un PIA prima di iniziare qualsiasi attività di elaborazione ad “alto rischio”.
Trasferimenti internazionali (interni al gruppo o verso soggetti esterni)
Se si opera a livello internazionale, dovranno essere presi seriamente in considerazione i ruoli e i processi per il trasferimento dei dati verso giurisdizioni esterne a quella dell’Unione Europea, come anche le sanzioni per la non conformità o per il trasferimento dei dati verso giurisdizioni non riconosciute (dalla Commissione Europea) ed aventi un regolamento non adeguato sulla protezione dei dati diventeranno molto più severe sotto il GDPR.
Consapevolezza della sicurezza dei dati
Interno – dipendenti
Adesso è il momento di iniziare a spiegare la necessità di conformità al GDPR ai vostri dipendenti. Potrebbe già esserci bisogno di iniziare a pianificare delle procedure rivedute per adeguarsi alle nuove disposizioni in termini di trasparenza e diritti personali stabiliti dal GDPR. Ciò potrebbe avere delle significative implicazioni finanziarie, IT e di formazione.
Responsabilità – misure tecniche
Misure tecniche
l GDPR fa sì che i titolari del processo di elaborazione siano obbligati a dimostrare la conformità con i suoi principi sulla protezione dei dati, così bisognerà assicurare che si stiano attuando delle politiche chiare per dimostrare di rispettare gli standard richiesti attraverso regolari attività di controllo, revisione e valutazione delle procedure di elaborazione dei dati, assicurandosi che il personale sia istruito per comprendere i propri obblighi – ed essere pronti a dimostrarlo in qualsiasi momento le vostre autorità nazionali per la protezione dei dati lo richiedano.
Violazione dei dati – misure tecniche
Occorre essere preparati per la violazione dei dati (definita come “una violazione di sicurezza che comporta la distruzione accidentale o illecita, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati altrimenti elaborati”) adottando politiche chiare e procedure collaudate che assicurino la possibilità di reagire e segnalare qualsiasi violazione dei dati quando richiesto.
La mancata segnalazione di una violazione quando questa si verifichi potrebbe tradursi in una multa, come anche una sanzione per la violazione stessa.
Garantire il rispetto dei diritti della persona interessata – tecnicamente
Il GDPR rafforza i diritti delle persone interessate, per esempio aggiungendo il diritto a richiedere informazioni sui dati processati che li riguardano, l’accesso ai dati in determinate circostanze e la correzione dei dati quando questi non sono corretti.
Accesso dell’individuo
Uno degli scopi principali del GDPR è quello di rafforzare i diritti degli individui. Di conseguenza, le regole per trattare le richieste di accesso da parte dell’individuo cambieranno, e sarà necessario aggiornare le vostre procedure per adeguarsi a questa nuova esigenza.
Nella maggior parte dei casi non sarà possibile rispettare questo tipo di richiesta e normalmente si avrà solo un mese per rispettarla, invece degli attuali 30 giorni.
Diritto alla cancellazione delle informazioni (‘diritto all’oblio’)
Il diritto all’oblio (‘cancellazione’ nella terminologia del GDPR) consente alle persone in determinate situazioni di richiedere ai titolari del processo di elaborazione dei loro dati di cancellare i propri dati personali senza indebito ritardo, per esempio quando c’è un problema con la legalità alla base del processo di elaborazione o quando viene ritirato il consenso.
Anche i terzi con cui si condividono i dati delle persone interessate sono soggetti a queste regole.
Processo decisionale e profilazione automatizzati
Il GDPR definisce profilazione come “qualsiasi forma di elaborazione automatizzata dei dati personali consistente nell’uso dei dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere gli aspetti relativi alle prestazioni lavorative della persona fisica, le situazioni economiche, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la posizione o gli spostamenti”; comunque ci sono alcune ambiguità su come verrà applicato il diritto delle persone interessate a non essere oggetto di decisioni basate sulla profilazione.
Portabilità dei dati
Il GDPR introduce un nuovo diritto sulla portabilità dei dati, che va oltre il diritto degli individui di richiedere che gli vengano forniti i loto dati in una forma elettronica di uso comune e richiede ai titolari del processo di elaborazione di fornire le informazioni in una forma strutturata, di uso comune e leggibile da computer.
Ci sono alcuni limiti a questa regola, per esempio si applica solo ai dati processati con mezzi automatizzati.
Diritto di opporsi (incluso il diritto assoluto di impedire il marketing diretto)
Come parte del suo obiettivo di rafforzare i diritti degli individui, la Commissione Europea garantirà anche un diritto per limitare determinate elaborazioni e un diritto a opporsi nel caso i dati personali vengano elaborati a scopi di marketing diretto, incluse le attività di profilazione a scopo di marketing diretto.
Ogni volta che un individuo si oppone, i sui dati non dovranno essere ulteriormente elaborati per il marketing diretto e i dettagli sui contatti della persona dovranno essere aggiunti a un file di soppressione conservato in loco.
Le aziende devono informare le persone sul loro diritto di opporsi all’elaborazione dei propri dati in una maniera che sia esplicita e separata dalle altre informazioni che devono essere fornite alle persone.
Comunicare le informazioni sulla privacy (i consensi, le corrette comunicazioni sull’elaborazione)
Consenso
Potrebbe essere necessario rivedere come si richiede, ottiene e registra il consenso; un consenso dell’interessato a elaborare i suoi dati personali deve essere facile da ritirare quanto da concedere, e deve anche essere ottenuto da un’indicazione positiva nell’accordo per l’elaborazione dei dati personali – non si può considerare ottenuto tacitamente, attraverso caselle preselezionate o inattività.
Consenso
Come parte del suo obiettivo di rafforzare i diritti degli individui, la Commissione Europea garantirà anche un diritto per limitare determinate elaborazioni e un diritto a opporsi nel caso i dati personali vengano elaborati a scopi di marketing diretto, incluse le attività di profilazione a scopo di marketing diretto.
Ogni volta che un individuo si oppone, i sui dati non dovranno essere ulteriormente elaborati per il marketing diretto e i dettagli sui contatti della persona dovranno essere aggiunti a un file di soppressione conservato in loco. Le aziende devono informare le persone sul loro diritto di opporsi all’elaborazione dei propri dati in una maniera che sia esplicita e separata dalle altre informazioni che devono essere fornite alle persone.
Corrette comunicazioni sull’elaborazione
Il GDPR probabilmente aumenterà la gamma di informazioni da fornire alle persone interessate, per esempio la vostra base giuridica per l’elaborazione dei loro dati, i periodi di conservazione dei dati e il loro diritto a effettuare dei reclami alla loro autorità nazionale per la protezione dei dati se pensano ci sia un problema nel modo in cui i loro dati vengono gestiti; da notare che il GDPR richiede che queste informazioni vengano fornite in modo sintetico e con un linguaggio chiaro.
Sicurezza dei dati (integrità e riservatezza)
Il GDPR traccia dei principi sulla sicurezza dei dati simili a quelli presenti nell’attuale direttiva, inclusi: correttezza, liceità e trasparenza, limitazione a seconda dello scopo, minimizzazione dei dati, qualità dei dati, sicurezza, integrità e riservatezza.
Si deve garantire che i dati personali siano processati in una maniera che ne assicuri la sicurezza, inclusa la protezione dalle elaborazioni non autorizzate o illegittime, dalla perdita accidentale, danni e distruzione: “L’azienda e qualsiasi altro fornitore di servizi esternalizzati dovranno adottare appropriate misure tecniche e organizzative per garantire un livello di sicurezza appropriato al rischio”.
Il regolamento suggerisce un numero di misure di sicurezza che possono essere usate per raggiungere la protezione dei dati, incluso: l’uso di pseudonimi e la crittografia dei dati personali; la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di elaborazione; la capacità di ripristinare la disponibilità e l’accesso ai dati personali in maniera tempestiva in caso di incidenti fisici o tecnici; un processo di controllo periodico e la valutazione dell’efficienza dei mezzi tecnici per verificare la sicurezza dell’elaborazione.
Crittografia
Il GDPR specifica come la crittografia sia uno degli approcci che può aiutare a garantire la conformità con alcuni dei suoi obblighi. Citando il regolamento:
Articolo 32 – Sicurezza degli stati di elaborazione
“1. Considerando lo stato dell’arte, i costi di implementazione e la natura, la portata, il contesto e le finalità dell’elaborazione come anche le variabili legate ai rischi per i diritti e la libertà delle persone fisiche, il titolare del trattamento e l’ incaricato del trattamento dovranno implementare appropriate misure tecniche e organizzative per assicurare un appropriato livello di sicurezza dai rischi, oltretutto tenendo in considerazione: (a) l’utilizzo di pseudonimi e la crittografia dei dati personali […]”
Articolo 34 – Comunicazione di una violazione dei dati personali alla persona
“3. La comunicazione alla persona riferita al paragrafo 1 non sarà richiesta se viene rispettata almeno una delle seguenti condizioni: (a) Il titolare del trattamento ha implementato appropriate misure di protezione tecniche e organizzative, e queste misure sono state applicate ai dati personali oggetto della violazione di dati personali in particolare quelle che rendono i dati personali illeggibili per qualsiasi persona non sia autorizzata ad accedervi, come ad esempio la crittografia […]”.
Documentazione sui dati, basi legali e revisione
Misure a livello dei dati
Esistenza dei dati personali e classificazione
Si dovrebbe documentare quali dati personali vengono ospitati, da dove provengono e con chi vengono condivisi.
Se si hanno dati personali inesatti e questi sono stati condivisi con altre aziende, il GDPR richiede che si informi l’altra azienda sull’inesattezza dei dati così che possa correggere i propri record. Tutto ciò potrebbe richiedere la verifica di un’informazione in tutta l’azienda o in particolari aree aziendali. Ciò permetterà anche di rispettare il principio di responsabilità previsto nel GDPR.
Le basi legali per l’elaborazione dei dati personali
In base al GDPR, si dovrebbe esaminare come elaborare i dati personali e identificare le basi legali su cui si realizzano e si documentano questi processi.
Questo è necessario perché alcuni diritti delle persone saranno modificati dal GDPR a seconda della base giuridica per l’elaborazione dei loro dati personali. Un esempio è che le persone potranno beneficiare di un diritto più forte sulla possibilità che i loro dati vengano eliminati dove si utilizza il consenso come base legale per l’elaborazione. Comunque, il consenso è solo uno di diversi modi di legittimare l’attività di elaborazione e potrebbe non essere il migliore (visto che può essere ritirato).
Tratto da: https://www.linkedin.com/feed/update/urn:li:activity:6301058776606744576 di Davide Corsini