martedì 20 febbraio 2018

GDPR: i 5 punti sicuri dai quali partire per orientarsi verso la compliance


Come ricordiamo ormai da qualche mese, il 25 Maggio 2018 entrerà definitivamente in vigore il GDPR, il nuovo regolamento europeo per la protezione dei dati, vincolante non solo per le aziende nell'Unione Europea, ma anche per molti titolari e responsabili del trattamento dati fuori dall'UE. L'adeguamento richiede una serie di adempienze e obblighi legali e il tempo necessario per la compliance varia molto da azienda ad azienda. Nonostante le difficoltà le aziende dovranno adottare piuttosto velocemente il regolamento, pena possibili sanzioni per il mancato adeguamento. Viste le molte problematiche da affrontare, ci concentriamo sui 5 punti più importanti, i primi passi da compiere nel percorso per raggiungere la compliance. 

Da parte nostra, abbiamo creato un nuovo sito dedicato alla piattaforma GDPRlab, vieni a visitarlo per scoprire le nostre proposte e le soluzioni più adatte a te, i tuoi clienti o la tua azienda e tutti i servizi offerti https://gdprlab.it/. Abbiamo anche organizzato un primo corso formativo a riguardo: maggiori informazioni sono disponibili qui.

1. Stabilire il proprio ruolo nell'ambito del GDPR.
  • l'Azienda offre beni o servizi a persone residenti nell'UE?
  • l'azienda monitora i comportamenti (compresi quelli online) di persone residenti nell'UE?
  • l'azienda tratta dati personali di persone residenti nell'UE per conto di una società con sede nell'UE?

Se rispondi si ad almeno 1 di queste domande, significa che la tua azienda molto probabilmente è
soggetta al GDPR. Infatti il GDPR riguarda non solo tutte le aziende con sede in UE, ma anche quelle organizzazioni con sede fuori dall'UE che trattano dati personali allo scopo di offrire beni e servizi (anche a titolo gratuito). Queste aziende dovranno individuare un responsabile che funga da punto di contatto tra le autorità di protezione dei dati e gli interessati. E' importante capire se la propria azienda funga da "titolare del trattamento dei dati", in pratica cioè in tutti quei casi in cui una azienda tratta direttamente dati.

2. Nominare un responsabile della protezione dei dati
Le organizzazioni dovranno nominare un resaponsabile della portezione dei dati quando:
  • l'organizzazione è un ente pubblico;
  • le operazioni di trattamento richiedono monitoraggio continuo e regolare;
  • l'organizzazione svolge attività di trattamento su larga scala. 

Precisazione: nonostante il GDPR si ponga come obiettivo l'armonizzazione della legislazione nell'UE, è assai probabile che il responsabile della protezione dei dati debba svolgere ulteriori compiti in base alla legislazione (che rimarrà vigente) del proprio Stato membro. 

Il responsabile della protezione dei dati avrà il compito primario di fornire assistenza per garantire la conformità al GDPR, dovrà identificare le misure e le modalità di controllo più adatte, ma, ad esempio, non sarà suo compito procedere alla formazione aziendale sulla tutela della privacy. Questo sarà compito dell'azienda stessa.
Qualche consiglio: 
  • assumere prima possibile un responsabile della protezione dei dati, con o senza obbligo legale;
  • dotarsi di una piattaforma che consenta la gestione sicura dei dati secondo le dispoisizioni previste;
  • formare il management aziendale affinchè sappia come trattare il responsabile della protezione dei dati;
  • definire la nozione di dati personali per la propria organizzazione e organizzare la formazione del personale. 

3. Prevedere l'accountability in tutte le attività di trattamento dei dati.
Gli obblighi di accountability e trasparenza richiedono procedure estese di documentazione e registrazione interna talvolta complesse: sono pochissime le organizzazioni che hanno effettivamente già identificato ad uno ad uno tutti i processi che implicano l'uso di dati personali. Ricordiamo che sarà necessario individuare i titolari dei singoli processi aziendali. Questo comporterà la necessità, all'inizio di una nuova attività di trattamento, di prendere le dovute decisioni rispetto alle limitazioni delle finalità, qualità dei dati e rilevanza delle informazioni. La creazione di un meccanismo interno aiuterà a mantenere la compliance nelle future attività di trattamento dei dati. In sunto dovranno essere rivisti la quasi totalità dei processi che comportano l'uso di dati personali: l'operazione dovrà coinvolgere il titolare del processo aziendale, il consulente legale e un rappresentante operativo. La documentazione prodotta dovrà dovrà essere sottoposta a revisione ogni anno, con l'ausilio del responsabile della protezione dei dati. 

Infine sarà le norme di accountability previste dal GDPR richiedono procedure corrette per l'acquisizione e la registrazione del consenso dell'interessato: non saranno più accettate, ad esempio, caselle precompilate e il consenso implicito. Saranno considerati legali solo manifestazioni esplicite e chiare di consenso. Servirà stabilire un modello di accountability che copra tutte le attività dall'inizio del trattamento alla cancellazione dei dati, eseguire valutazioni d'impatto sulla protezione dei dati per ogni forma di trattamento nuova

Precisazione: quando si coinvolgono soggetti terzi nelle operazioni di trattamento dei dati, è fondamentale verificare che anche essi aderiscano ai requisiti previsti. Assicurarsi non solo che gli standard di sicurezza siano sufficienti, ma è fondamentale anche ricevere la garanzia della cancellazione dei dati al termine del periodo di conservazione previsto.

4. Controllare i flussi dei dati transfrontalieri.
Ovunque si trovino i dati, occorrerà garantire la trasparenza per gli interessati e includere una apposita informativa nelle dichiarazioni pubbliche sulla proprietà dei dati. Resteranno consentiti i trasferimenti verso i 28 Stati membri, ma anche verso Norvegia, Liechtenstein e Islanda. Oltre a questi ci sono 11 paesi individuati dalla Commissione Europea secondo standard che ne hanno valutato adeguato il livello di protezione dei dati.  In mancanza di tale adeguatezza, si dovrannoa dottare misure di salvaguardia appropriate, che qui non approfondiamo. 
Il GDPR introduce anche:
  • i Codici di Condotta, finalizzati a dimostrare alle autorità di vigilanza e agli interessati i regolamenti interni e l'adesione alle norme: questo punto riguarda principalmente aziende extra-UE ma che hanno scambi commerciali con parti che hanno sede in UE. I codici di condotta saranno approvati o respinti dall'autorità di protezione dei dati;
  • la Certificazione sarà probabilmente elaborata a livello centrale UE e applicata anche alle organizzazioni che trattino i dati al di fuori dell'UE. 

5. Prepararsi all'esercizio dei diritti da parte degli interessati.
Il GDPR estende i diritti degli interessati in relazione ai dati. Viene previsto, ad esempio, il diritto all'oblio, alla portabilità dei dati, ad essere informati dei rischi in caso di violazione dei dati, di ricevere copia dei dati in formato leggibile (ad esempio per transitarli verso altro fornitore di servizi). Diventeranno più importanti di quanto già non siano i reparti di assistenza clienti e le interfacce utente. Saranno i titolari del trattamento dati a dove garantire la cancellazione dei dati da parte di tutti gli altri soggetti ai quali li abbiano essi stessi comunicati. 

La violazione dei dati, così come la cancellazione involontaria o non autorizzata di dati personali è considerata violazione dei dati. Salvo rari casi in cui queste tre evenienze non incorrano in rischi per l'interessato (caso assai raro), gli incidenti dovranno essere comunicati all'autorità competente, eventualmente anche alle persone coinvolte. 

Diventa importante quindi:
  • implementare un processo di notifica di violazione dei dati, processi di gestione degli incidenti di sicurezza;
  • preparare interfacce per l'utente chiare e funzionali, così da consentire un facile accesso ai diritti dell'utente sui propri dati.

Nessun commento:

Posta un commento