Pronti per il GDPR?

Il GDPR è già in vigore: il 25 maggio 2018 le organizzazioni che raccolgono o trattano dati personali dovranno già esservisi adeguate. Il Regolamento si applica a imprese, enti e organizzazioni in generale residenti nell’Unione Europea o con sede legale fuori dall’UE che trattano dati personali di residenti nell’UE.

Il lavoro di analisi e documentazione necessario per adeguarsi al Regolamento può richiedere da qualche ora a diverse giornate di lavoro a seconda delle dimensioni dell’organizzazione, il tipo e il volume di dati trattati e i rischi connessi al loro trattamento.

Alcune attività sono evidenti e facili da identificare, con titolare del trattamento ed eventuali incaricati esterni aventi di fatto pari responsabilità.

Il processo di tutela è continuo e richiede verifiche periodiche, ciascuna delle quali deve essere documentata.

Da questo punto di vista, gli aspetti chiave da esaminare sono quattro:

  1. Responsabilità;
  2. Consenso;
  3. 3.Sicurezza dei dati;
  4. Portabilità dei dati.

È a questo scopo che sono previste le due figure di “data controller” (Titolare del trattamento) e “data processor” (Responsabile del trattamento). Il primo è il soggetto che ha richiesto il trattamento, il secondo quello che lo realizza e istruisce gli operatori.

Il responsabile del trattamento è responsabile alla pari con il titolare del trattamento, e la sua responsabilità non è ridotta dall’aver ricevuto una esplicita o implicita richiesta contraria alla norma. Il responsabile del trattamento deve quindi offrire al titolare del trattamento tutte le garanzie necessarie e dimostrare di essere in grado di svolgere l’attività in modo conforme al Regolamento. Spetta quindi al responsabile del trattamento redigere il registro delle attività di trattamento e la DPIA e rispondere a richieste di accesso ai dati personali da parte di un eventuale soggetto interessato ed effettuare l’eventuale modifica.

Il responsabile del trattamento è soprattutto tenuto a informare il titolare del trattamento che una sua disposizione può contravvenire al Regolamento e di eventuali violazioni dei dati. Ovviamente, nell’ambito delle sue competenze, al responsabile del trattamento spetta anche individuare, se necessario, il responsabile della protezione dei dati personali.

Il titolare del trattamento deve invece poter dimostrare di aver aderito al Regolamento anche attraverso il tipo di rapporti che ha con i fornitori se relativi a servizi che comprendono anche un trattamento di dati. A questo riguardo, il titolare del trattamento deve definire:

  • Le singole prestazioni;
  • Durata, natura e finalità del trattamento per ciascuna prestazione;
  • Tipologie di dati personali trattate;
  • Categorie di persone interessate;
  • Obblighi e i diritti del cliente;
  • Obblighi e i diritti del fornitore.

Delegare non esenta, quindi, dalla vigilanza sui dati prodotti e disponibili e sul loro trattamento.

Dati personali

Il GDPR interessa i dati personali, vale a dire

  • Nomi;
  • Cognomi;
  • Date di nascita;
  • Codici fiscali;
  • Dati bancari;
  • Indirizzi postali ed e-mail;
  • Fotografie e video;
  • Indirizzi IP e cookie;
  • Dati relativi alla ubicazione dell’interessato in un qualsiasi momento.

Connessione con la traduzione

I dati personali che si possono raccogliere nell’attività di traduzione sono diversi: da quelli dei clienti a quelli dei soggetti che partecipano a un progetto passando per i dati personali di coloro che, a vario titolo, sono oggetto del materiale sottoposto a traduzione, p.es. cartelle cliniche, pagelle scolastiche, documenti amministrativi vari, contratti e atti notarili. Per ciascuna tipologia di dati dovrebbe essere possibile, nel rispetto del Regolamento, dimostrare che la raccolta e il successivo trattamento sono necessari alla erogazione del servizio; più complesso e impegnativo è dimostrare che la loro conservazione è necessaria, specialmente all’interno di archivi solo parzialmente strutturati (come le memorie di traduzione).

DPIA

Per non rispondere di danni arrecati a causa di errori, omissioni o negligenza nel trattamento di dati personali, occorre provare di aver fatto tutto il possibile per evitarli. Questo significa che è necessario documentare ogni fase del trattamento.

A questo riguardo, il primo passo consiste nel redigere un documento di valutazione d’impatto (Data Protection Impact Assessment, DPIA) che descrive l’operazione preliminare alla raccolta dei dati per determinare se il trattamento dei dati personali può costituire un rischio, per esempio nel caso dell’impiego di determinate tecnologie, soprattutto sul fronte degli interventi di valutazione del personale. Lo stesso dicasi per i casi in cui si trattano dati personali che si prevede di utilizzare per scopi diversi da quelli per cui erano stati originariamente prodotti, per esempio per l’invio di una newsletter.

Dal DPIA deve essere possibile individuare i rischi che il servizio o il prodotto proposti possono comportare per la protezione dei dati degli interessati, se e perché è impossibile evitarli e le misure adottate per contenerli.

In pratica, il DPIA deve dimostrare il rispetto del regolamento e deve quindi indicare:

  • Motivo della raccolta;
  • Valutazione della necessità dei dati;
  • Tipologia di dati personali raccolti e trattati;
  • Diritto alla raccolta e al trattamento;
  • Valutazione della qualità del servizio atteso senza i dati richiesti;
  • Soggetti che hanno accesso o trattano questi dati personali;
  • Flussi e tecnologie con cui questi dati personali saranno trattati;
  • Periodo di conservazione;
  • Conseguenze per l’interessato in caso di violazione;
  • Misure di riduzione del rischio di violazione.

Una volta redatto il DPIA, è necessario mantenere un registro delle attività di trattamento.

Registro dei dati

La prima tappa del percorso di adeguamento al GDPR consiste perciò nel censire i dati in proprio possesso, gli spazi e le modalità di conservazione e chi può accedervi e come disponendo un catalogo dei dati in cui registrare queste informazioni e indicare in che modo li si utilizzi, si intenda utilizzarli o li si sia utilizzati, e se siano o siano stati anche solo in parte condivisi con altri ed eventualmente perché.

Riepilogando, questo registro dei dati deve indicare:

  • Scopo della raccolta dei dati;
  • Scopo del trattamento;
  • Contesto in cui i dati sono stati raccolti;
  • Aspettative dei titolari dei dati;
  • Tipo dei dati;
  • Impatto di eventuali ulteriori trattamenti;
  • Scadenza dei dati;
  • Le misure adottate per assicurare il corretto trattamento e la sicurezza dei dati.

Consenso

Il consenso al trattamento dei dati serve a garantire all’interessato che i suoi siano stati, siano e saranno utilizzati ai fini descritti dal titolare del trattamento ed è sempre obbligatorio.

La raccolta di iscrizioni on line non impone una informativa ed è sufficiente il consenso contestuale predisponendo, per esempio, un meccanismo di rollover per cui, al passaggio del puntatore del mouse su un campo di un modulo, viene visualizzato un riquadro che illustri il motivo per cui viene richiesto il dato in questione.

Tuttavia, l’obbligatorietà del consenso impone di richiederlo nuovamente a tutti gli interessati dei cui dati si è in possesso, allegando una adeguata informativa.

Informativa

La richiesta di consenso al trattamento dei dati deve essere preceduta dalla presentazione di una informativa all’interessato. Quest’informativa deve essere concisa, chiara e comprensibile e deve prevedere:

  1. Gli estremi identificativi del titolare del trattamento e del responsabile del trattamento oltre quelli del DPO se ne è stato nominato uno;
  2. La finalità del trattamento;
  3. Le modalità del trattamento;
  4. L’eventuale requisito necessario od obbligo legale o contrattuale alla base della richiesta dei dati;
  5. Gli eventuali destinatari dei dati raccolti;
  6. L’eventuale trasferimento dei dati in un Paese esterno all’Unione Europea, anche in una fase successiva di trattamento;
  7. Le eventuali conseguenze del trattamento per l’interessato;
  8. L’eventuale esistenza di un processo decisionale automatizzato, p.es. di profilazione, con la descrizione dell’algoritmo utilizzato e delle potenziali conseguenze per l’interessato.

Cookie

I cookie e il loro trattamento sono forse il principale obiettivo del Regolamento. Per questo, oltre ad avvertire genericamente dell’esistenza di cookie, magari con un banner sulla pagina principale, l’informativa deve esporre le finalità per cui i cookie sono attivati, la loro natura (se propri o di terzi) e durata, e quali finalità potranno essere perseguite da eventuali terzi.

L’informativa deve inoltre contenere una sezione con la definizione e la funzione dei cookie applicati, il modo per disattivarli o eliminarli e per revocare il consenso eventualmente prestato in passato.

E anche se non rientra esattamente nella gestione dei cookie, è necessario anonimizzare gli indirizzi IP prima dell’invio ad eventuali applicazioni di analisi del traffico.

Diritti

L’informativa deve riepilogare i diritti dell’interessato in merito alla possibilità di:

  • Richiedere l’accesso ai dati personali che lo riguardano;
  • Richiedere la rettifica o la cancellazione dei dati personali che lo riguardano;
  • Limitare od opporsi al trattamento dei dati che lo riguardano;
  • Revocare il consenso in qualsiasi momento;
  • Presentare un reclamo alla autorità di controllo, con i dati necessari per farlo (p.es. l’indirizzo cui inviare il reclamo).

Sicurezza

Tra le misure per contenere i rischi è necessario inserire gli accordi e le garanzie fornite tutte le parti che collaborano al trattamento dei dati personali, incluso l’eventuale DPO ed eventuali terzi.

È inoltre obbligatorio adottare una strategia di gestione delle password per tutte le persone che hanno accesso alle informazioni custodite, prevedere diversi livelli di accesso e, possibilmente, mantenere traccia delle attività.

Formazione

Uno degli aspetti chiave del GDPR è l’obbligo di formazione come misura essenziale per conoscere le disposizioni del Regolamento e le misure adottate per contenere i rischi connessi al trattamento dei dati personali.

La formazione de precedere l’accesso ai dati ed essere svolta secondo un piano, approvato per iscritto, di tutti gli interventi formativi per tutte le persone che possono accedere ai dati.

La formazione deve comprendere una parte generale sul Regolamento e una specifica sulle procedure adottate.

Portabilità dei dati

L’interessato deve essere in grado di trasferire i propri dati personali da un sistema di a un altro senza che il titolare o il responsabile del trattamento possano impedirlo.

A questo riguardo è bene ricordare che maggiore è la semplicità percepita, maggiore è la complessità nascosta.

Riepilogo

Riassumendo, le operazioni da compiere, in sequenza, sono:

  1. Redazione del registro dei dati;
  2. Redazione della documentazione;
  3. Predisposizione della modulistica;
  4. Redazione dell’informativa;
  5. Predisposizione del materiale addestrativo;
  6. Formazione del personale.

Autore: Luigi Muzii

Luigi Muzii