GDPR 2018: la guida della CGIA Mestre per adeguarsi alle norme sulla privacy

GDPR 2018: ecco la guida della CGIA Mestre per adeguarsi alla nuova normativa comunitaria in materia di privacy.

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy. Si applica a tutte le aziende, piccole e grandi, nel pubblico e nel privato.

Non ci sono più le “misure minime” previste dall’attuale Codice della Privacy ma spetta al titolare del trattamento valutare se e come trattare i dati, quali sono i rischi connessi al trattamento e quali sono le conseguenti misure da adottare per l’effettiva tutela dei dati stessi.

In sintesi l’impresa, ovvero il titolare del trattamento, ha il compito di:

• decidere autonomamente le modalità, le garanzie ed i limiti del trattamento dei dati;
• valutare il rischio che tale trattamento comporta;
• dimostrare di aver adottato le misure tecniche ed organizzative, costantemente aggiornate, tali da garantire un livello di sicurezza adeguato al rischio.

Cosa deve fare l’impresa?

1 – Mappare i trattamenti ovvero verificare la sua situazione attuale rispetto al trattamento dei dati personali.

Ciò consentirà di avere una fotografia dell’impresa rispetto a:

• le tipologie di trattamenti (ad es. raccolta, archiviazione, etc.);
• le tipologie dei dati trattati (che potranno essere dati personali comuni o sensibili);
• le finalità dei trattamenti (ad esempio la gestione delle relazioni commerciali);
• i soggetti che trattano i dati;
• il flusso dei dati (in entrata e in uscita);
• la durata dei trattamenti;
• la base giuridica del trattamento (contratto, consenso, obbligo di legge).

Con quali strumenti? Check-list dei trattamenti.

2 – Individuare le azioni per essere in regola con la nuova normativa:

• la revisione della modulistica (informativa, consenso, etc.);
• il controllo delle misure tecnico-organizzative (sono adeguate alla protezione effettiva ed efficace dei dati in base anche al rischio connesso ai tipi di dati (soprattutto sensibili) e al trattamento effettuato?);
• la verifica dell’esistenza di trattamenti automatizzati (ad es. profilazione) che richiedono particolare attenzione e misure di protezione più elevate;
• l’eventuale trasferimento di dati al di fuori dell’UE;
• la designazione del responsabile del trattamento;
• la redazione del registro dei trattamenti.

Con quali strumenti? Misure tecniche ed organizzative (es. adeguata formazione del personale che tratta i dati, misure di sicurezza in termini di accessibilità ai dati, di sicurezza cartacea e informatica); modulo informativa; modulo consenso.

3 – Documentare la conformità alla nuova disciplina

Con quali strumenti? Vanno utilizzati i seguenti mezzi per adempiere a questo aspetto:

• Registro dei trattamenti nel quale sono contenute una serie di informazioni relative ai vari trattamenti effettuati (ad es. chi è il titolare o il responsabile, la finalità e la durata, la base giuridica, etc.).

• Modulistica aggiornata.

Inoltre vanno utilizzati i seguenti strumenti:

• consenso al trattamento;
• contratto o un atto di designazione del responsabile del trattamento;
• procedure specifiche in caso di data breach (perdita, distruzione o diffusione indebita dei dati posseduti dall’impresa);
• procedure in caso di esercizio dei diritti dell’interessato previsti dal regolamento (ad esempio il diritto di accesso, o di rettifica o
  cancellazione dei dati).

GDPR 2018: le parole chiave

Obbligo di informativa: nella sostanza l’informativa non cambia. Deve essere chiara e semplice e deve contenere il riferimento alla durata del trattamento e, quando è previsto, del responsabile della protezione dei dati.

Consenso dell’interessato per l’utilizzo dei dati comuni: è necessario acquisirlo (anche se non deve più essere documentato per iscritto) ad eccezione (come oggi) se i dati personali comuni sono utilizzati per eseguire un contratto; per soddisfare un obbligo di legge (ad es. antiriciclaggio); per dati di fonte pubblica (es. dati dell’anagrafe).

Consenso dell’interessato per l’utilizzo di dati sensibili: è necessario acquisire il consenso esplicito ad eccezione se i dati sensibili sono trattati per la gestione dei rapporti di lavoro e per la sicurezza sul lavoro; per i dati giudiziari in conformità all’art. 10 del Regolamento.

Notificazioni al Garante: non saranno più previste.

Registro dei Trattamenti: Vi è l’obbligo per le imprese con più di 250 dipendenti e per quelle imprese che trattano dati sensibili o giudiziari. E’ uno strumento fondamentale anche per disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’impresa ed è indispensabile per la valutazione del rischio. Deve avere forma scritta e deve essere esibito di richiesta al Garante.

Valutazione dell’impatto della protezione dei dati: è introdotta dal nuovo Regolamento ed è da attuare solo quando il trattamento presenta rischi potenzialmente elevati per gli interessati. Consiste nella valutazione dei rischi derivanti dal trattamento dei dati personali per i diritti e le libertà degli interessati e nelle misure per mitigarli.

Titolare del trattamento: l’impresa che ha potere decisionale sull’uso dei dati personali di propria pertinenza.

Data Protection Officer (DPO) o Responsabile della Protezione dei Dati: nuovo organo indipendente di sorveglianza circa l’effettività del sistema realizzato dall’azienda per essere conforme al regolamento. è obbligatorio in alcuni casi. Il Garante ha pubblicato uno schema di atto di designazione ed ha chiarito quali sono i soggetti privati obbligati alla sua designazione (ad es. sindacati, Caf, Patronati, società che forniscono servizi informatici) e la raccomanda per gli altri casi alla luce del principio di “accountability”.