Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Il vademecum

Team DPO, tutti i passi per la compliance aziendale al GDPR

Passo per passo tutte le azioni che il DPO di gruppo deve intraprendere in azienda per supportare il titolare nelle attività previste dal GDPR e garantire di conseguenza la compliance al regolamento europeo. Ecco le procedure previste dalla normativa

20 Set 2019
D
Amalia De Merich

Responsabile interna Privacy


Le competenze previste dal GDPR per il DPO sono troppe e non potranno mai essere riunite in un solo soggetto, per quanto preparato e certificato. È necessario avere una chiara distribuzione dei compiti creando un team DPO e assegnando un singolo professionista come contatto principale. Di seguito, step by step tutte le azioni da intraprendere per essere in regola con il GDPR. 

Valutazione della compliance

Il Data Protection Officer e i responsabili della compliance avranno inizialmente la responsabilità di effettuare una valutazione preliminare dell’impatto del GDPR attraverso varie fasi:

  1. Mappatura: intervistare le varie funzioni aziendali mediante delle checklist:
La vostra funzione tratta dati?
Che tipo di dati tratta?
Vengono effettuati trattamenti su larga scala?
Vengono trattati dati sensibili?
  1. Analisi dei documenti aziendali e identificazione dei rischi relativi al trattamento dei dati (modalità e tipologia di dati trattati):
Dati personaliDati sensibiliLarga scalaDati verso terze partiTrattamento con strumenti elettroniciTrattamento senza strumenti elettronici
Trattamento del dato***
Informativa consenso*
Misure di sicurezza
Policies
Formazione
Data breach
  1. Gap dall’analisi della documentazione aziendale
Policies Aziendali**
Informative e liberatorie*
Lettere di designazione soggetti privacy
DPS (Documento Programmatico sulla Sicurezza
Clausole contrattuali
Rapporti con fornitori
Notifiche al Garante
Sito web

Gli asterischi riportati nelle tabelle a titolo esemplificativo indicano

  • rischio elevato ***
  • rischio medio **
  • rischio basso *

Remediation plan

Da questa analisi è possibile stendere un remediation plan dettagliato che rappresenta con precisione le singole azioni necessarie per raggiungere il pieno rispetto della normativa sulla privacy.

Registro dei trattamenti

Ogni titolare del trattamento e ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità che contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

In conclusione possiamo dire che il Registro dei trattamenti ha due funzioni:

  1. strumento operativo che consente di:
  • censire le banche dati e i trattamenti;
  • rappresentare l’organizzazione sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
  • costituire lo strumento di pianificazione e controllo delle attività di trattamento dei dati personali in modo da garantire la loro integrità, riservatezza e disponibilità;
  • ridurre gli sprechi in termini di tempo, revisione, duplicazione delle informazioni;
  • ridurre i rischi di eventuali trattamenti illeciti.
  1. strumento di conservazione ordinata e verificabile da terzi delle informazioni relative all’adozione delle misure tecniche ed organizzative adeguate ed efficaci finalizzate all’adeguamento del nuovo GDPR.

DPIA, la valutazione d’impatto

Quando un tipo di trattamento, che prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Le Linee guida del WP29 sulla DPIA individuano alcuni criteri specifici che aiutano a capire quando una DPIA è obbligatoria:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (ad esempio: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (ad esempio: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (ad esempio: informazioni sulle opinioni politiche);
  • trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (ad esempio: riconoscimento facciale ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (ad esempio: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Ecco un esempio di una valutazione d’impatto sulla protezione dei dati:

Descrizione sistema raccolta dati
1Quali dati personali vengono raccolti?
2È necessario l’utilizzo di tutti i dati sopra descritti?

La DPIA è necessaria in presenza di almeno due di questi criteri, ma tenendo conto delle circostanze il titolare può decidere di condurre una valutazione d’impatto anche se ricorre uno solo dei criteri sopra descritti.

Informativa e consenso

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento. Il titolare deve sempre:

  1. specificare i dati di contatto del RPD-DPO, se è presente;
  2. la base giuridica del trattamento, qual è il suo interesse legittimo;
  3. se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (ad esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello ecc.);
  4. specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione;
  5. il diritto di presentare un reclamo all’autorità di controllo;
  6. se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Il consenso dovrà essere:

  • informato;
  • libero;
  • specifico;
  • inequivocabile;
  • espresso.

Nomina del DPO

Il GDPR introduce l’obbligo per il titolare e per il responsabile del trattamento dei dati di nominare (in determinati casi) la figura del Responsabile della Protezione dei Dati. Questa figura oltre a favorire la conformità attraverso la valutazione di impatto e l’analisi dei rischi, agirà da intermediario tra le parti interessate (es Autorità Garante, interessati, aree aziendali).

Il Regolamento riconosce al DPO un ruolo chiave nel nuovo sistema di gestione dei dati stabilendo le condizioni per la sua nomina, posizione e compiti. Necessario quindi che il DPO sia coinvolto in ogni ambito riguardante la protezione dei dati personali. Il titolare e il responsabile devono assicurare che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

A seconda delle dimensioni e della struttura dell’organizzazione, può essere necessario formare il team del DPO (un DPO con il suo staff). In questi casi, la struttura interna del team e la distribuzione di compiti e responsabilità di ogni membro deve essere chiaramente definita. Come specifica l’art.38 punto 2 del Regolamento, “l’organizzazione deve supportare il suo DPO fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”.

Valutazione dei rischi e misure di sicurezza

Nella valutazione dei rischi si deve tenere conto delle eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzato a dati personali trasmessi, conservati o comunque elaborati e degli eventuali pregiudizi derivati. Sostanzialmente la valutazione del rischio è un processo che permette di dare un valore quantitativo ai rischi che sono stati individuati a seguito della fase di identificazione. I dati personali devono dunque essere trattati in maniera da garantire un’adeguata sicurezza e protezione del dato personale.

Misure organizzative:

  • mappatura elementi chiave dei Sistemi Informativi: inventario hardware, software, reti, licenze, contratti, garanzie, politiche di backup;
  • nomina per iscritto del personale;
  • nomina per iscritto dei responsabili esterni;
  • istruzioni per il trattamento;
  • accesso controllato;
  • procedura modifica credenziali;
  • attività di formazione.

Misure tecniche:

Redazione piano preventivo data breach

La violazione dei dati personali va affrontata e gestita con tempestività, in modo di evitare l’insorgenza o l’aggravamento di danni materiali o immateriali alle persone fisiche.

Formazione

Durante il procedimento di Compliance al GDPR la formazione degli incaricati al trattamento dei dati deve avere un ruolo centrale. Cosa fare dunque per adeguarsi al GDPR?

  • Dare comunicazione ufficiale della nomina del DPO a tutto lo staff affinché la sua esistenza e funzioni siano conosciute nell’organizzazione;
  • Prevedere programma di formazione specifico per tutti gli incaricati che hanno accesso ai dati e in particolare a quelli personali, sensibilizzandoli al data security, anche attraverso i sistemi informatici (Email, documenti word e excel etc.);
  • Prevedere un test finale di verifica.

Anche al DPO deve essere data l’opportunità di aggiornarsi sugli sviluppi della protezione dei dati. Lo scopo è quello di incrementare costantemente il livello di conoscenza incoraggiandolo a partecipare a corsi di formazione sulla protezione dei dati e altre iniziative di crescita professionale, come partecipare a convegni, corsi, ecc

Conclusioni

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Il Data Protection Officer deve essere coinvolto fin dal primo momento in ogni ambito riguardante la protezione dei dati personali. Tutto ciò garantisce che il DPO sia informato e consultato sin dal principio in modo da facilitare la conformità al Regolamento e assicurare un approccio di privacy by design.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5