Conformità al GDPR: ecco i punti chiave per dimostrarla

Posted onAuthorStefano BendandiLeave a comment

La conformità al GDPR (Reg. Ue 679/2016) deve essere dimostrabile da tutti i titolari di trattamento. Ecco i punti chiave sui quali è necessario costruire la propria capacità di fornire tale dimostrazione.

Conformità al GDPR: ecco i punti chiave per dimostrarla

Le norme chiave a tale proposito sono due. La prima attribuisce al titolare la responsabilità di provare il rispetto dei principi applicabili al trattamento di dati personali (art. 5, par. 2).

La seconda stabilisce che il titolare adotta le misure adeguate per garantire e dimostrare la conformità al GDPR dei trattamenti svolti (art. 24, par.1).

Tuttavia il processo di adeguamento alla normativa coinvolge molti aspetti. Esaminiamoli più da vicino perché è su ognuno di essi che il titolare può essere chiamato a rispondere.

1. Registro dei trattamenti

Sia il titolare che il responsabile hanno l’obbligo di tenere un registro delle attività di trattamento

Si tratta di un documento scritto, anche in formato elettronico, che descrive i trattamenti svolti da una organizzazione e le loro caratteristiche (es. finalità, natura dei dati, ecc.).

L’obbligo è applicabile a tutte le organizzazioni, anche quelle con meno di 250 dipendenti, purché:

  • il trattamento presenti un rischio per i diritti e le libertà degli interessati;
  • il trattamento non sia occasionale o riguardi dati particolari (art. 9) e relativi a condanne penali e reati (art. 10)

Il Garante della privacy ha predisposto una FAQ sull’argomento. Allo stesso  indirizzo sono scaricabili due modelli semplificati di registro per l’uso da parte delle PMI.

Uno è per i titolari, l’altro per i responsabili. E questo per il fatto che i contenuti minimi dei due registri sono differenti.

2. Rispetto dei principi applicabili

Il titolare deve poter dimostrare di applicare ai trattamenti i principi previsti:

  1. liceità, correttezza e trasparenza;
  2. limitazione delle finalità: le finalità devono essere determinate, esplicite e legittime;
  3. minimizzazione dei dati: significa adeguatezza, coerenza e limitazione dei dati a ciò che è richiesto dalle finalità del trattamento;
  4. esattezza: significa anche la possibilità di cancellare o modificare i dati quando sono inesatti!
  5. limitazione della conservazione:  significa che i dati sono trattabili soltanto per il tempo necessario a soddisfare le finalità del trattamento;
  6. integrità e riservatezza: significa che i dati vanno protetti con misure di sicurezza adeguate ai rischi

Per dimostrare la liceità di ogni trattamento è necessario provare che esiste:

  1. una delle condizioni previste dall’art. 6 (es. adempimento di un obbligo legale), nel caso in cui i dati trattati siano comuni (es. nome, cognome, ecc.) 
  2. una delle condizioni previste dall’art. 9 (es. consenso esplicito), se i dati trattati siano particolari (es. dati sulla salute)

Se il trattamento si basa sul consenso, è il titolare che deve dimostrarlo.

3. Informative e altri diritti degli interessati

Il titolare deve poter dimostrare di aver dato agli interessati le informazioni sul trattamento dei loro dati (art. 13 e 14) e quelle sui loro diritti (art. 15-22). 

Entrambe le informazioni sono rese in una forma concisa, facilmente comprensibile ed accessibile. E con un linguaggio chiaro e semplice!

4. Trattamenti automatizzati di dati

Sono quei trattamenti (es. profilazione) nei quali si prendono decisioni automatizzate, cioè senza l’intervento umano, capaci di produrre effetti sugli interessati

Il titolare deve essere in grado di provare l’esistenza di almeno una delle condizioni che la norma richiede per permettere questo tipo di trattamento (art. 22).

5. Responsabili del trattamento

Se uno o più trattamenti sono svolti da un responsabile per conto del titolare, quest’ultimo deve poter dimostrare:

  1. di servirsi di figure che offrano garanzie sufficienti per applicare le misure adeguate
  2. di aver nominato ogni responsabile con un contratto o altro atto giuridico
  3. che i contenuti del contratto o altro atto siano adeguati rispetto a quelli richiesti dalla norma (art. 28)

6. Privacy by design e by default

Il titolare deve poter dimostrare di aver adottato le misure adeguate per:

  1. proteggere i dati fin dalla fase di progettazione (by design)
  2. garantire che, per impostazione predefinita (by default), siano trattati soltanto i dati necessari per ogni specifica finalità

7. Sicurezza dei dati

Il titolare deve essere in grado di dimostrare  di aver adottato tutte le misure per garantire una sicurezza adeguata dei dati.

L’adeguatezza va considerata in relazione al livello di rischio per i diritti e le libertà degli interessati che derivano da:

  1. divulgazione o accesso non autorizzati ai dati,
  2. alterazione o modifica non voluta dei dati,
  3. distruzione o perdita dei dati

Se un tipo di trattamento può presentare un livello di rischio elevato, il titolare è tenuto a:

  1. svolgere una valutazione d’impatto prima del trattamento
  2. consultare l’autorità garante se, nonostante le misure adottate, la valutazione indica un rischio residuo

8. Data breach

Il titolare può dover dimostrare la sua responsabilità in relazione alla gestione delle violazioni di dati personali.

La dimostrazione consiste nella prova di aver adottato le misure di protezione adeguate per:

  1. stabilire se c’è stata una violazione dei dati,
  2. informare tempestivamente l’autorità garante e gli interessati

In caso di violazione il titolare può anche decidere di non effettuare la notifica prevista.

Tuttavia, deve essere capace di dimostrare la scarsa probabilità che l’evento presenti un rischio per i diritti e le libertà degli interessati.

Infine, il titolare deve poter dimostrare di aver adottato un sistema per documentare le violazioni dei dati.

Infatti, quest’obbligo è sempre valido, anche a prescindere dalle notifiche.

9. Responsabile della protezione

Nei casi in cui è obbligatorio, il titolare deve poter dimostrare di aver designato un responsabile della protezione e di averlo scelto in funzione di:

  1. conoscenza specialistica della normativa e prassi in materia di privacy,
  2. capacità di svolgere i compiti che gli sono attribuiti dall’art. 39

10. Trasferimento dei dati all’estero

Il trasferimento all’estero può interessare un paese terzo o una organizzazione internazionale. In questi casi il titolare deve poter dimostrare l’esistenza di:

  1. una decisione di adeguatezza, oppure
  2. garanzie adeguate (es. norme vincolanti d’impresa), oppure
  3. una delle deroghe previste

Conformità al GDPR: codici di condotta e certificazioni

Due strumenti agevolano la dimostrazione della conformità al GDPR:

  1. l’adesione ad un codice di condotta,
  2. l’adesione ad un meccanismo di certificazione oppure a sigilli e marchi relativi alla protezione dei dati

Si tratta di strumenti previsti soprattutto per le esigenze delle micro, piccole e medie imprese.

 

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.