GDPR: pronti per la rivoluzione?
25 MAGGIO TERMINE ULTIMO PER L'ADEGUAMENTO
Consulenza GDPR e protezione dei dati personali
Entro il 25 maggio 2018 le aziende operanti nell’Unione Europea devono adeguarsi al Regolamento Europeo sulla Privacy, noto anche con l’acronomico RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation) [UE 2016/679]. Inizialmente l’azienda deve procedere con un’analisi preliminari del suo contesto aziendale attraverso la raccolta di tutte le informazioni riguardanti sé stessa, le eventuali società controllate/controllanti o collegate e i fornitori. Soprattutto per i gruppi con più sedi sul territorio europeo, è fondamentale una dettagliata analisi per individuare l’Autorità di Controllo Capofila (Lead Supervisor Authority) e soprattutto per capire se è stato già strutturato un progetto di adeguamento al GDPR.
Altresì importante che l’azienda comprenda l’importanza e il valore dei dati in possesso, sia per ciò che riguarda i dati dei terzi che quelli interni frutto di ricerca e sviluppo. Infatti l’adeguamento al GDPR va visto come un’opportunità per l’azienda: sotto il cappello della tutela dei dati dei terzi e con lo stesso sforzo l’azienda può mettere in atto procedure per proteggere le proprie informazioni strategiche e il proprio know-how (ad esempio, progetti, comunicazioni, informazioni riservate…).
L’approccio basato su:
- Quanto costa adeguarsi al GDPR? o
- Quali sanzioni rischio non adeguandomi al GDPR? o
- Quali sono le sanzioni in caso di data breach?
–> è senza dubbio scorretto.
La domanda corretta invece è
“Come posso trarre vantaggio dall’adeguamento al GDPR?”
GDPR: a chi si applica
Per capire a chi si applica il GDPR, come previsto all’art. 3, occorre conoscere organizzazione interna. Il GDPR si applica all’impresa che ricade in uno dei questi due casi:
l’impresa ha uno stabilimento nell’Unione Europea, quando il trattamento riguarda l’attività che viene svolta nello stabilimento: non conta la nazionalità dell’interessato del trattamento né che vengano offerti servizi o beni nell’Unione
l’impresa ha uno stabilimento fuori dall’Unione Europea ma svolge un’attività o un’offerta di beni e servizi nell’Unione Europea, destinata a soggetti che si trovano, anche in via temporanea, nell’Unione Europea, indipendentemente dalla nazionalità di questi ultimi.
Ai sensi del GDPR per stabilimento si intende anche la presenza di un solo rappresentante nel territorio dell’Unione Europea nonchè lo svolgimento di alcune attività nell’ambito dell’Unione Europea. Non si considera invece stabilimento il sito web accessibile dall’Unione Europea o il cui server è ospitato nel suo territorio, essendo l’ubicazione del server irrilevante ai fini dell’applicazione del Regolamento.
COSA PREVEDE LA CONSULENZA PRIVACY GDPR
L’azienda può scegliere se gestire il progetto di analisi e adeguamento internamente o rivolgersi a consulenti esterni: naturalmente, affidandosi a un consulente esterno specializzato avrà maggiori garanzie sulla bontà ed efficacia del lavoro.
La consulenza prevede l'analisi di:
Paesi in cui operano i vari titolari e responsabili del trattamento e in cui transitano e vengono memorizzati i dati
Certificazioni in possesso dell’azienda
Categorie di dati trattati
Identificazione dei soggetti che trattano dati, siano essi interni all’azienda o fornitori esterni
Obiettivo finale della consulenza GDPR è definire un quadro completo che consenta di mappare:
Processi e procedure di gestione dei sistemi informativi
Adozione di tecnologie e strumenti per la gestione della sicurezza informatica
Sistemi di controllo e di audit
Procedure in caso di data breach
Piani di disaster recovery e incident response
Organizzazione e ruoli
Persone e competenze
Processi e regole
Documentazione che abbia impatto sul trattamento dei dati
Contratti con i fornitori che trattano dati
Nomine a responsabili e incaricati del trattamento
Tutti i nostri consulenti HTS Group si sono formati alla
LUISS Business School conseguendo il titolo di
Data Protection Officer e Privacy Consultant
LE FASI DELLA CONSULENZA GDPR
Le attività fondamentali per preparare la tua azienda a fronteggiare il cambiamento sono:
Comprendere come i nuovi obblighi previsti da GDPR impatteranno sulle attività.
Determinare quali sono e dove si trovano i dati sensibili e come sono messi in sicurezza.
Nominare un Data Protection Officer, dove necessario.
Rivedere tutte le informative sulla privacy.
Rivedere i processi di accesso ai dati, rettifica e cancellazione richieste dalle persone interessate.
Come mettere in atto questo processo?
Ecco 5 punti da cui partire
1
Consapevolezza
È opportuno conoscere tutte le vulnerabilità dell’azienda, avviando un’indagine approfondita di tutti i sistemi interni e/o esterni per avere piena consapevolezza delle fragilità e dei rischi a cui si è esposti, in modo da proteggere i dati e agevolare il processo di conformità.
2
Mappatura dei dati
È necessaria per analizzare la portabilità dei dati, i diritti di accesso e di cancellazione. Per creare una buona mappatura è necessario scoprire e classificare i dati personali, le prime informazioni da proteggere. La conoscenza dei dati è alla base di GDPR: “You cannot protect what you don’t know about.”
3
Monitoraggio
È fondamentale considerare il diritto delle persone di tracciare i dati di accesso, modificarli, cancellarli o trasferirli. Gli individui possono richiedere alle organizzazioni che possiedono dati sul loro conto, il diritto di rettificare, cancellare o trasferire i dati.
4
Notifica
Sarà importante segnalare le violazioni in modo tempestivo. Nel caso di una violazione dei dati personali il responsabile del trattamento, senza indebito ritardo (entro e non oltre 72 ore dopo l’avvenimento), deve comunicare tale violazione all’autorità di vigilanza.
5
Sicurezza
La messa in sicurezza dei dati personali non potrà più essere presa alla leggera: rispetto alla normativa italiana prevista dal Garante della Privacy, il testo europeo innalza significativamente il livello di protezione dei dati richiesto. Per la norma approvata dalla Comunità Europea “occorre attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato”. Cosa si intende? Il testo pone l’attenzione su “i rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.” Si introduce inoltre il principio di Data Protection By Design che obbligherà da un lato a verificare e garantire il corretto livello di protezione, dall’altro l’assenza di vulnerabilità per i sistemi e per le applicazioni che tratteranno i dati sensibili già in fase di progettazione.
CONTROLLI PERIODICI GDPR
Il processo di adeguamento GDPR non avviene una tantum ma è un processo iterativo: una volta regolarizzata la posizione dell’azienda rispetto alle prescrizioni del GDPR, occorre effettuare delle analisi periodiche, sulla base dell’evoluzione tecnologica, normativa e propria dell’azienda vada ad apportare – ove necessario – modifiche nei processi, nei documenti e nell’infrastruttura tecnologica.
SANZIONI GDPR
Le sanzioni del GDPR seguono un approccio graduale: la violazione delle disposizioni e l’inosservanza di un ordine da parte dell’autorità di controllo possono prevedere sanzioni amministrative pecuniarie fino a 20 milioni di euro, oppure per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta cifra.
Inoltre l’articolo 58 fornisce alle autorità di controllo la possibilità di avvalersi di alcuni poteri correttivi tra cui la limitazione o il divieto di trattamento dei dati.
Chi è e per quali motivi è designato il DPO
Responsabile della protezione dei dati
Estratto del REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) – Adottato dal Consiglio in data 8 aprile 2016.
Articolo 37 – Designazione del responsabile della protezione dei dati
- Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.
3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.
4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.
5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.
Articolo 38 – Posizione del responsabile della protezione dei dati
- 1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.
5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.
Articolo 39 – Compiti del responsabile della protezione dei dati
- Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Considerando 97
Per i trattamenti effettuati da un’autorità pubblica, eccettuate le autorità giurisdizionali o autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali, o per i trattamenti effettuati nel settore privato da un titolare del trattamento le cui attività principali consistono in trattamenti che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala, o ove le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento su larga scala di categorie particolari di dati personali e di dati relativi alle condanne penali e ai reati, il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento.
Nel settore privato le attività principali del titolare del trattamento riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento.
Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.
Sei Interessato ad una consulenza?
Compila il form a fianco e verrai ricontattato dai nostri esperti