All for Joomla All for Webmasters

MENTRE VOI CONTINUATE IL VOSTRO LAVORO NOI METTIAMO LA VOSTRA AZIENDA IN CONDIZIONI DI OTTEMPERARE A TUTTI GLI OBBLIGHI ED A TUTTE LE CONDIZIONI CHE VI PERMETONO DI ESSERE GDPR COMPLIANT, CONTINUANDO AD ASSISTERVI ANNO DOPO ANNO, GARANTENDOVI IL RISULTATO CHE CERCATE CON IL MINIMO DISTURBO ED IL MIMIMO COSTO.

Contattateci e vi risponderemo entro 3 giorni.

Come operiamo per darvi la compliance al GDPR.

Per prima cosa mettiamo a conscenza che il titolare e il responsabile del trattamento devono adottare una serie di provvedimenti finalizzati a mettere in pratica le disposizioni del GDPR in modo sostanziale e non superficiale.

L'approccio incoraggiato dal nuovo Regolamento europeo è fondato su una valutazione preliminare del rischio basata su un'opportuna considerazione di:

  • natura dei dati personali,
  • portata della raccolta,
  • contesto della raccolta;
  • finalità dei trattamenti,
  • probabilità e sulla gravità dei rischi per i diritti e libertà degli utenti;
  • verifica della necessità di incarico a responsabile del trattamento.

In relazione a tale complessa e globale valutazione si determinerà poi la misura della eventuale responsabilità del titolare e del responsabile del trattamento.

Il Regolamento consente una grande flessibilità sulle scelte tecnologiche, organizzative e metodologiche con una forte capacità di adattamento al mutamento delle esigenze e degli strumenti tecnologici, ma presenta un maggior rischio di provvedimenti sanzionatori da parte del Garante.

E' quindi necessario necessario che le aziende realizzino una revisione completa dei dati e delle informazioni che raccolgono e che gestiscono, verificando le basi normative (leicità) giustificando  tali trattamenti ed individuando le conseguenze che il trattamento dei dati effettuato può comportare per gli interessati.

Tra gli adempimenti dovremo realizzare abbamo:

  • la verifica dei dati oggetto di trattamento, con identificazione delle tipologie di dati e delle categorie di appartenenza e la verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati;
  • Individuazione dei trattamenti e istituzione del Registro dei Trattamenti;
  • la predisposizione o aggiornamentodell'informativa (o il suo aggiornamento) che deve essere fornita agli interessati. In particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all'oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati);
  • la predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario o utile anche in considerazione del principio di accountability;
  • l'instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell'accesso non autorizzato ai dati personali oggetto di trattamento. 
  • inoltre, si deve procedere ad una valutazione d'impatto sulla protezione dei dati (DPIA) nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

In realtà il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d'impatto, ma il regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all'effettuazione della valutazione d'impatto anche quando sul titolare non incombe l'obbligo normativo in tale senso.

Misure di sicurezza da Adottare

In linea con il principio della responsabilizzazione (c.d. accountability) il titolare del trattamento dei dati personali deve adottare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Per fare ciè essi dovranno utilizzare la tecnologia disponibile, tenedo conto dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche più o meno alto a seconda del rischio.

Alcune delle misure che il titolare o il responsabile del trattamento dei dati dovranno adottare sono:

la pseudonimizzazione e la cifratura dei dati personali;
la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico;
una procedura per provare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La pseudonimizzazione è un particolare trattamento dei dati personali realizzato in modo tale che per collegarli ad uno specifico interessato siano necessarie altre informazioni aggiuntive, che sono conservate separatamente.

L'utilizzo della crittografia con una una passphrase permette di "occultare" i dati per poi renderli disponibili solo attraverso un processo di autenticazione.

Per "Resilienza" dei sistemi e dei servizi informatici si intende la capacità intrinseca di un sistema di adattarsi alle condizioni d'uso e di resistere all'usura assicurando sempre la adeguata protezione dei dati che vengono trattati con tali sistemi.

Per "disaster recovery" si intende la capacità di ripristinare la disponibilità e l'accesso dei dati personali oggetto di trattamento in caso di guasti o sinistri.

Quindi in questo step è importante per i titolari predisporre una metologia per analizzare i rischi che potrebbero andare a colpire il sistema informatico, prevedere poi le adeguate misure da adottare per minimizzarli e predisporre un piano di emergenza che permetta di attuare un sistema alternativo di elaborazione dei dati da utilizzare in attesa della completa riattivazione.

Ovviamente le misure di sicurezza dovranno essere tali da "garantire un livello di sicurezza adeguato al rischio" creato dal trattamento, e valutato in modo responsabile dal titolare del trattamento. Non esistono quindi obblighi generalizzati di adozione di misure minime di sicurezza, e la valutazione spetta al titolare e al responsabile del trattamento, che dovranno compierla caso per caso in relazione ai rischi specificamente individuati.

Per quanto indicato non si sono target tecnologici da raggiungere. La necessità di eseguire eventuali upgrade tecnologici è dettata dalla valutazione dei rischi ed eventualmente dalla DPIA. Le misure già adottate riferite al codice Privacy precedente, stanno alla base della sicurezza informatica del GDPR e anche se le minacce sono certamente superiori oggi, esistono semplici risposte la cui adozione non mette in crisi il bilancio di nessuna attività.

In caso di trattamenti su vasta scale e/o ad alto rischio è invece necessario non sottovalutare, in sede di analisi, gli aggiornamenti di natura tecnolgica che rappresentano un cardine fondamentale della sicurezza.

Registro dei Trattamenti

I Titolari devono tenere un registro di tutte le attività di trattamento dei dati effettuate. L'obbligo si ha per le imprese con più di 250 dipendenti ma in realtà lo strumento è utile per una serie di obblighi e per definire una accountability a prova di ispezione. Si identifica come parte integrante di quel generale sistema di corretta gestione dei dati personali che le aziende, organizzazioni o soggetti pubblici dovranno creare. Dovrà essere tenuto in forma scritta, su supporto tangibile oppure, e preferibilmente, in formato elettronico
Tanto il TITOLARE quanto il RESPONSABILE del trattamento o, se presenti, i loro rappresentanti sono tenuti alla tenuta del registro del trattamento.

Il Registro dei Trattamenti contiene una serie di informazioni sulle attività riguardanti il trattamento dei dati personali, quali:

  • il nome e i dati di contatto del titolare (ed eventualmente del contitolare) del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi eventualmente i destinatari di paesi terzi non appartenenti all'Unione Europea od organizzazioni internazionali;
  • nel caso in cui sia previsto, l'indicazione del fatto che i dati personali saranno trasferiti verso un paese terzo o un'organizzazione internazionale, indicando anche di quale paese od organizzazione internazionale si tratta e, inoltre, la documentazione delle garanzie previste;
  • i termini ultimi stabiliti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.

Se il Registro del Trattamento è tenuto dal Responsabile dal responsabile del trattamento, o dal suo rappresentante, dovrà indicare obbligatoriamente:

  • i contatti del titolare, del responsabile del trattamento e dei loro rappresentanti, se presenti, nonché del responsabile della protezione dei dati;
  • le categorie di trattamenti effettuati per ciascun titolare del trattamento;
  • il trasferimento dei dati ad un paese terzo (extra-europeo) o ad un'organizzazione internazionale, specificando di quale paese o organizzazione si tratta ed evidenziando le adeguate garanzie previste per il trasferimento stesso;
  • la descrizione delle misure di sicurezza tecniche ed organizzative adeguate ai rischi preventivati.

Il Registro dei Trattamenti è uno strumento fondamentale non soltanto ai fini di eventuali controlli di legittimità da parte del Garante, ma anche perché consente di avere a disposizione un quadro aggiornato dei trattamenti che vengono realizzati nell'azienda, organizzazione o soggetto pubblico. Quest'ultima circostanza sarà importante, in particolare, per poter realizzare una corretta ed efficace analisi e valutazione dei rischi.

Un'adeguata predisposizione del Registro dei Trattamenti è, infatti, un elemento importante al fine di realizzare un corretto trattamento dei dati personali, in linea con il concetto di responsabilizzazione (accountability), e prescinde dalle dimensioni effettive dell'organizzazione aziendale.

Proprio per questa ragione, a prescindere dalle dimensioni dell'organizzazione  tutti i titolari sono invitati a predisporre un tale registro.

Valutazione d'impoatto DPIA.

Solo in alcuni ma imposrtanti casi titolare del trattamento deve effettuare una valutazione d'impatto sulla protezione dei dati qualora un tipo di trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati personali trattati si riferiscono.

La valutazione consiste in:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso anche, eventualmente, l'interesse legittimo perseguito dal titolare del trattamento;
  • valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi previsti al fine di garantire la protezione dei dati personali e dimostrare la conformità del trattamento al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La valutazione d'impatto sulla protezione dei dati è obbligatoria anche nel caso di attività che consistono in:

  • valutazione sistematica e globale degli aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che hanno effetti giuridici o incidono comunque significativamente sulle persone fisiche;
  • trattamento, su larga scala, di categorie particolari di dati (dati sensibili), o di dati relativi a condanne penali e a reati;
  • operazioni di sorveglianza sistematica di zone accessibile al pubblico su larga scala.

Sarà comunque compito dell'autorità di controllo competente predisporre e rendere pubblico un apposito elenco relativo alle diverse tipologie di trattamenti per i quali è necessario effettuare una valutazione d'impatto sulla protezione dei dati.

Tuttavia, l'assenza di un obbligo certo di esecuzione della valutazione d'impatto non incide affatto sul più generico obbligo di attuare delle misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Da tener presente anche l'osservanza dei codici di condotta eventualmente approvati, in modo tale da assicurare e contribuire alla corretta applicazione del regolamento.

La valutazione d'impatto (DPIA, acronimo del nominativo inglese "Data Protection Impact Assessment") va condotta in via anticipata, ovvero prima di procedere al trattamento dei dati e preferibilmente già nella fase di progettazione di un'attività di trattamento dei dati.

Inoltre, quando richiesta, la valutazione d'impatto sulla protezione dei dati non è un'attività che dovrà essere posta in essere una tantum, ma si configura piuttosto come un processo continuativo da mantenere attivo e aggiornato nel corso del tempo. Risulta infatti necessaria una attività di aggiornamento delle informazioni contenute nella DPIA in quanto sia la tecnologia che il quadro normativo sono evolutivi.

Le Linee Guida del grippo dei Garanti WP29, suggeriscono, diversi metodi attraverso cui poter realizzare una valutazione d'impatto.

Il Garante italiano ha indicato le linee guida per la realizzazione della DPIA, al pari del garante Spagnolo. Il Garante Francese ha messo a disposizione un software gratuito particolarmnete adatto alle PMI. Altre procedure sono a disposizione con una ricerca web.

Il GDPR lascia ai titolari del trattamento un margine di flessibilità per quanto riguarda la forma che tale valutazione d'impatto dovrà avere, in modo tale da consentire loro di includere un riferimento alle prassi già in essere.

Qualsiasi sia comunque la forma prescelta, la valutazione d'impatto dovrà essere impostata come una vera e propria valutazione dei rischi, in modo tale quindi da mettere i titolari in condizione di adottare le misure adeguate al fine di gestire e minimizzare tali rischi. Un'analisi efficace dovrebbe quindi tener conto correttamente del tipo di dati trattati e della loro pericolosità per la riservatezza dei soggetti cui si riferiscono, nonché del comportamento degli operatori e dei vari elementi (attinenti agli strumenti utilizzati e al contesto specifico) che vengono in considerazione.