• Privacy

29 marzo 2019

GDPR, adempimenti, controlli, sanzioni: cosa devono fare le imprese per essere in regola con la nuova normativa? La documentazione formale

di Fabia De Bono

Si è visto, nel precedente contributo, che un buon metodo per adempiere alle nuove prescrizioni sulla privacy è quello di agire su due livelli, dotandosi della documentazione formale ed implementando dei cambiamenti a livello di organizzazione aziendale.

In questo articolo ci concentreremo sulla parte documentale.

Tra i principali documenti previsti dal GDPR vi è il Registro dei Trattamenti (Art. 30 GDPR), che consiste in un elenco ordinato ed organico dei dati trattati e dei trattamenti effettuati.

Il Registro, pur essendo obbligatorio soltanto in alcuni casi[1], è uno strumento estremamente utile nella gestione aziendale del dato, la cui adozione è quindi consigliata indipendentemente dall’esistenza di uno specifico obbligo di legge.

Nei casi obbligatori il Registro, che è tenuto dal Titolare (e, se presente, anche dal Responsabile del Trattamento, vd. art. 30.2, lett. a-d, GDPR), deve necessariamente contenere una serie di informazioni[2] come, ad esempio, il tipo di dati trattati, le misure di sicurezza adottate e la base giuridica alla base del trattamento.

L’importanza del Registro sotto il profilo probatorio è di tutta evidenza, dal momento che con tale elenco il titolare potrà dimostrare facilmente un adempimento formale in caso di controllo del Garante.

Sotto il profilo organizzativo, invece, è uno strumento che consente una rapida ed ordinata individuazione dei trattamenti dati effettuati, con la conseguenza che eventuali interventi sui dati saranno più veloci ed efficaci.

Parimenti importanti sono le informative sulla privacy (Artt. 13 e 14 GDPR), che costituiscono, probabilmente, il documento più conosciuto da titolari ed interessati.

Le informative sono il presupposto per un lecito trattamento dei dati. Devono avere un contenuto minimo necessario (modalità e finalità del trattamento, dati del Titolare, luogo e tempi di conservazione dei dati, elenco dei diritti degli interessati e le modalità dell’esercizio degli stessi), devono essere redatte in modo chiaro, semplice ed intellegibile e presuppongono una presa visione precedente alla prestazione del consenso.

Altro documento essenziale per i trattamenti effettuati tramite strumenti informatici (applicazioni e siti web) sono le informative sui cookies, non previste dal GDPR ma dalla direttiva n. 2002/58/CE e dalla direttiva 2009/136/CE.

A riguardo è bene specificare che tali informative, estese o brevi (quest’ultime sono i banner o le c.d. finestre pop up) sono obbligatorie soltanto se vengono utilizzati cookies di profilazione e/o di marketing, anche di terze parti, mentre l’obbligo non sussiste se si installano soltanto i c.d. cookies tecnici.

Durante le quotidiane attività di un’azienda e/o di un professionista, accade sempre più spesso che si presenti la necessità di avvalersi di consulenti esterni all’organizzazione aziendale[3]. Tali normali attività aziendali possono "inconsapevolmente" risultare in una esternalizzazione di alcune porzioni del trattamento.

Quando ciò accade è necessario procedere alla nomina dei responsabili esterni (Art. 28 GDPR). Materialmente, la nomina può essere contenuta nel contratto di prestazione con cui si affida l’incarico al professionista e/o in un atto separato che dovrà poi essere collegato al contratto preesistente[4].

Diversa dal responsabile esterno del trattamento è la figura dell’incaricato del trattamento (Art. 4, n.10 GDPR), ossia di quel soggetto interno alla struttura aziendale, sia questi dipendente o collaboratore, che agisce sotto il controllo del Titolare.

Si noti che l’atto di nomina dell’incaricato del trattamento, sia pur formalmente necessario, non è da solo sufficiente a rendere il Titolare del trattamento adempiente. Infatti, in aggiunta alla nomina è necessario che la persona incaricata sia edotta delle responsabilità legate al trattamento di dati personali e adeguatamente formata a tal fine.

Così come per le informative, è consigliabile affidarsi a consulenti privacy per la redazione degli atti di nomina del responsabile esterno e dell’incaricato del trattamento.

Altra figura innovativa del GDPR riguarda il Responsabile dei Dati Personali (RDP o, nella versione inglese, DPO), disciplinata agli Artt. 37 ss. GDPR. 

Come già visto in altre occasioni anche la nomina del RDP non è sempre obbligatoria, e lo diventa se il Trattamento dei dati è effettuato da una pubblica amministrazione ovvero l’attività principale del Titolare consiste in trattamenti dati che per la loro natura richiedono un monitoraggio regolare o ancora quando l’attività principale del Titolare consiste in trattamenti, su larga scala, di categorie particolari di dati personali.

Il RDP è titolare di molte funzioni e, segnatamente, supervisiona tutte le questioni riguardanti la protezione dei dati (es. data breach), esegue autonomamente i compiti relativi alla gestione delle vicende legate alla privacy, riferisce direttamente al Titolare sulle questioni relative al trattamento dei dati.

Il RDP è vincolato dall’obbligo di riservatezza sulle informazioni ottenute nello svolgimento del suo incarico e non deve avere conflitti di interesse. È il punto di contatto tra il Garante della Privacy e il Titolare e deve poter disporre di risorse economiche ed organizzative per il corretto espletamento del mandato.

Alla luce di quanto sopra è quindi fortemente consigliabile (nonostante nella prassi molte aziende non seguano tale indicazione) nominare quale RDP un soggetto esterno all’azienda/pubblica amministrazione, per evitare conflitti di interessi.

Altra importante innovazione è rappresentata dalla Valutazione di Impatto sulla protezione dei dati (PIA), introdotta dal GDPR agli artt. 35 e 36.

Anche in questo caso non tutti i Titolari del trattamento hanno l’obbligo di effettuare la valutazione d’impatto, trattandosi di attività obbligatoria soltanto in alcuni casi[5].

La PIA dovrebbe essere sempre redatta, in quanto rappresenta il punto di partenza di ogni corretto trattamento dei dati: se non si effettua, infatti, un’analisi preliminare che tenga conto di eventuali rischi legati al trattamento dei dati, sarà molto difficile porre in essere tutte le misure necessarie alla protezione dei dati.

La PIA è redatta da consulenti esterni con l’ausilio del RDP (se presente) ed implica la partecipazione di più soggetti dell’azienda; il documento si presenta sotto forma di relazione nella quale vengono analizzati e descritti, inter alia, i dati trattati, i sistemi di sicurezza, le procedure sugli accessi ai locali e ai dispositivi informatici, la formazione di titolare, responsabili e/o incaricati.

Tutto ciò considerato, si effettua una valutazione di eventuali possibili rischi derivanti dal trattamento dei dati.

La PIA è un documento dinamico che necessita di un continuo aggiornamento in linea con le evoluzioni aziendali.

Si è visto che i documenti di cui dotarsi sono molteplici ma, nonostante ciò, un mero adempimento documentale potrebbe non essere sufficiente per essere in linea con le prescrizioni del GDPR.


[1] Il Registro dei Trattamenti è obbligatorio soltanto per le imprese o le organizzazioni con più di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 (cfr. art. 30.5 GDPR).

[2] Articolo 30.1, lett. a-g, GDPR: […] Tale registro contiene tutte le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1

[3] Si pensi, ad esempio, al caso di consulenti del lavoro che si occupano della redazione delle buste paga.

[4] Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell'articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati;

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. 4.5.2016 IT Gazzetta ufficiale dell'Unione europea L 119/49

[5] Art. 35, par.1, GDPR: “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

 


Avv. Fabia De Bono Studio Legale Barzanò & Zanardo