Adempimenti Privacy GDPR

Regolamento Generale UE 2016/679

Tabella dei principali adempimenti a carico del Titolare del Trattamento

Principio alla base del trattamento:
I dati personali saranno trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Le finalità sono legittime, determinate ed esplicite; i dati personali sono sempre: adeguati, pertinenti, esatti ed aggiornati, limitati a quanto necessario rispetto alle finalità, e da trattare sempre in modo da garantirne un adeguato livello di sicurezza.

Informativa agli interessati:
Ogni Titolare deve fornire una informativa ai soggetti interessati, prima di acquisire i loro dati personali; è possibile fornire preliminarmente una informativa “veloce” e successivamente quella completa;  l’informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale; es. il titolare deve indicare il periodo di conservazione dei dati personali, ed il perché. Inoltre, il linguaggio deve essere semplice e chiaro, alla portata anche dei soggetti minorenni. Nell’informativa, trasparente ed accessibile, sono predisposti i riferimenti per agevolare l’esercizio dei diritti degli interessati.

Il consenso degli interessati:
Occorre dapprima valutare i casi nei quali, per eseguire un trattamento è richiesto il preliminare consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso è separata, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro e le icone standard appositamente previste;  quando è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato realmente prestato, in modo inequivocabile.

Divieto di trattamento di dati particolarmente sensibili:
Vige il divieto generale a trattare dati sensibili particolarmente rilevanti, dati genetici e biometrici senza il parere del Garante; esistono specifiche eccezioni al divieto che il Garante ha previsto e prevederà in futuro, per la tutela della sicurezza e della vita degli interessati.

Obbligo di formazione dei soggetti che trattano dati personali:
Il Titolare del Trattamento deve preliminarmente istruire tutti coloro che saranno autorizzati a trattare i dati personali (ex. incaricati al trattamento); il livello di formazione deve essere verificato e verificabile.

Contitolarità, Responsabili Esterni e Rappresentante del Titolare extra-UE:
Occorre verificare se siano presenti situazioni di contitolarità dei trattamenti di dati personali; nel caso vengano affidati trattamenti a soggetti terzi esterni dovranno essere formalizzati gli incarichi, quale Responsabile Esterno o Titolare Esterno (in base al tipo di rapporto contrattuale). Inoltre, se l’azienda ha sede extra-UE dovrà nominare un rappresentante, stabilito nella Unione Europea.

Adozione del Registro delle Attività di Trattamento:
Adempimento obbligatorio per Titolari con almeno 250 incaricati al trattamento (aggiornamento: il Garante ha fornito indicazioni sulle aziende, anche con meno di 250 dipendenti, che debbono predisporre il registro dei trattamenti); a disposizione dei nostri clienti abbiamo predisposto un documento excel con campi precompilati ed alcune comode automazioni che rendono semplice predisporre ed aggiornare il registro dei trattamenti.

Nomina del D.P.O. – R.P.D.
Gli enti pubblici ed alcuni Titolari che trattano dati particolarmente sensibili dovranno nominare la figura del Data Protection Officer – Responsabile protezione dei Dati personali, della quale abbiamo già parlato.  Potranno essere incaricati dipendenti o seggetti esterni che non abbiano conflitti di interessi. Il ruolo richiede una appropriata formazione e competenze multidisciplinari verificate prima della nomina.

Redazione D.P.I.A. e consultazione Garante:
I Titolari che hanno (o iniziano) trattamenti di dati personali particolarmente rischiosi per i diritti e le libertà delle persone, devono preliminarmente effettuare il DPIA – Data Protection Impact Assessment; quando tale valutazione restituisce un indice di rischio elevato, prima di effettuare il trattamento occorre ottenere il consenso della Autorità di Controllo.

Cautele per il trasferimento di dati in paesi extra-UE:
Il trasferimento di dati personali verso  soggetti extra-UE deve essere effettuato nel rispetto di specifiche condizioni, affinché non sia pregiudicato il livello di protezione dei dati personali garantito dal GDPR.

Misure di sicurezza necessarie:
Il titolare del trattamento deve decidere in autonomia ed adottare misure logiche, tecniche e organizzative adeguate al fine di garantire la conformità del trattamento al Regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le misure di sicurezza ed i sistemi di protezione/controllo debbono essere dimostrabili e periodicamente testate, revisionate ed aggiornate.

Privacy by design/default:
Tenendo conto delle caratteristiche del trattamento e dei  connessi profili di rischio per i diritti e le libertà delle persone fisiche, prima del trattamento il titolare adotta misure tecniche e organizzative adeguate a garantire la protezione dei dati come impostazione predefinita; inoltre dovrà garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento e per il tempo minimo occorrente.

Obbligo di risarcimento del danno:
Il titolare è obbligato a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento alle persone, con sanzioni sino a 20 milioni di euro o al 4% del fatturato, ove superiore; il Titolare è esonerato da tale responsabilità soltanto se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

Obbligo di cooperazione con l’autorità di controllo:
Il titolare è obbligato a cooperare con l’autorità di controllo, ove gliene venga fatta richiesta.

Notificazione del Data-Breach:
Ove si verifichi una violazione dei dati personali (data-breach), il Titolare è tenuto a comunicarlo al Garante entro 72 ore dal momento che ne ha avuto conoscenza, solo qualora “la violazione presenti un rischio per i diritti e le libertà delle persone”. Occorre quindi determinare il livello di rischio, e a tale proposito ho sviluppato un apposito modello di valutazione.

Comunicazione della violazione dei dati personali agli interessati:
Quando la violazione della sicurezza dei dati presenta un elevato grado di rischio per i diritti e le libertà delle persone fisiche, il titolare deve anche darne comunicazione agli interessati, i cui dati sono stato oggetto della vilolazione, senza ingiustificato ritardo; il GDPR indica i requisiti della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro.