I requisiti sostanziali del GDPR
1. Trattamento lecito, equo e trasparente
Il primo principio di protezione dei dati (art. 5) richiede che le organizzazioni documentino una base legale, come ad esempio interesse legittimo o consenso, che giustifichi il trattamento dei dati personali.
Gli interessati devono inoltre essere consapevoli dei dati personali che stai raccogliendo e del motivo per cui li stai raccogliendo. Molte organizzazioni comunicano tali informazioni tramite a informativa privacy, anche se puoi scegliere un metodo diverso. Anche le tue attività di trattamento devono essere corrette, il che non è eccessivamente dannoso, inaspettato o fuorviante per gli interessati.
2. Limitazione di scopo, dati e archiviazione
Il secondo, terzo e quinto principio di protezione dei dati riflettono un altro principio chiave del Regolamento: ridurre al minimo la raccolta e il trattamento dei dati personali. Concretamente, devi:
- Raccogliere e trattare dati personali solo per scopi specifici e dichiarati (‘purpose limitation’);
- Ridurre al minimo la quantità di dati personali raccolti ed elaborati (‘data minimization’); E
- Distruggi i dati personali che non ti servono più (‘storage limitation’).
3. Accuratezza, integrità e riservatezza dei dati
Il quarto e il sesto principio di protezione dei dati riguardano l’accuratezza e la sicurezza dei dati.
Nello specifico, devi assicurarti che i dati personali in tuo possesso siano accurati e completi, altrimenti non sono adatti allo scopo. Se un interessato segnala un'inesattezza ( esercitando i propri diritti) , devi correggerla. È inoltre necessario implementare misure tecniche e organizzative per mantenere sicuri i dati personali in tuo possesso e in trattamento (art. 32).
4. Valutazione dell'impatto sulla protezione dei dati
Eseguire una DPIA (valutazioni d'impatto sulla protezione dei dati) aiuta le organizzazioni a identificare e ridurre al minimo i rischi per gli interessati per garantire diritti e libertà nelle attività di trattamento dei dati. Il GDPR li impone per attività di elaborazione ad alto rischio. Per esempi specifici di tali attività: le Linee guida EDPB (European Data Protection Board), sono un ottimo riferimento per poter verificare le modalità di esecuzione della DPIA.
5. Privacy by design
Privacy by design è un approccio in cui consideri e integri la privacy e la protezione dei dati fin dalle prime fasi di un progetto e le mantieni per tutta la durata del ciclo di vita del progetto.
Le misure adottate, in genere sotto forma di misure tecniche e organizzative adeguate al rischio, dovrebbero garantire che la privacy e la protezione dei dati diventino parte del business.
Il concetto di ‘privacy by design’ non è nuovo, ma ha attirato più attenzione negli ultimi anni ora che il GDPR lo impone nell'articolo 25
(‘protezione dei dati fin dalla progettazione e per impostazione predefinita’).
L'idea è che le misure tecniche e organizzative richieste dall'articolo 32, nonché i principi di protezione dei dati, siano integrati fin dall'inizio nelle vostre attività di trattamento.
6. Controller–processor contracts
I contratti ex articolo 28, tra controllori e processori, sono un altro importante aspetto (spesso trascurato) della conformità al GDPR.
Devono identificare chiaramente, tra le altre cose:
- Il titolare del trattamento;
- Il responsabile del trattamento; E
- Responsabilità del responsabile del trattamento per l'elaborazione e la sicurezza dei dati.
L'articolo 28(3) fornisce maggiori dettagli su ciò che il contratto deve stipulare, compreso che il responsabile del trattamento:
- tratta solo i dati personali su istruzioni documentate del responsabile del trattamento;
- Adotta adeguate misure di sicurezza ai sensi dell'articolo 32; E
- Restituisce tutti i dati personali al termine del contratto.
7. Diritti dell'interessato
Capitolo III (Gli articoli 12–22) stabiliscono otto diritti dell'interessato, che gli individui possono esercitare:
- Il diritto di essere informati
- Il diritto di accesso
- Il diritto di rettifica
- Il diritto alla cancellazione
- Il diritto di limitare il trattamento
- Il diritto alla portabilità dei dati
- Il diritto di opporsi
- Diritti in relazione al processo decisionale automatizzato, compresa la profilazione
Questi diritti non sono tutti assoluti, ma devi comunque rispondere agli interessati entro un mese.
8. Responsabile della protezione dei dati
Un DPO (data protection officer) è un esperto indipendente di protezione dei dati che:
- Consulenza sui requisiti GDPR;
- Monitora la conformità GDPR dell'organizzazione; Assiste con alcuni aspetti della protezione dei dati; E Funge da punto di contatto per le autorità di vigilanza.
I requisiti per un RPD sono stabiliti negli articoli 37–39, compreso quando nominarne uno:
- Sei un'autorità o un ente pubblico.
- Le vostre attività principali richiedono un monitoraggio regolare e sistematico degli interessati su larga scala.
- Le tue attività principali riguardano il trattamento su larga scala di dati personali sensibili o di dati relativi a condanne o reati penali.
9. Trasferimenti internazionali di dati
Il GDPR stabilisce un elevato standard di protezione dei dati, ma il suo ambito è limitato alle organizzazioni con sede o che operano nell’UE. Capitolo V (Articoli 44–50) limita pertanto i trasferimenti internazionali – trasferimenti al di fuori del SEE – a meno che non siano in atto garanzie adeguate.
Idealmente, faresti affidamento su una decisione di adeguatezza. Ciò viene concesso ai paesi terzi approvati che si ritiene abbiano un livello di protezione dei dati sufficientemente elevato.
È possibile trasferire liberamente i dati personali tra il SEE e i paesi con una decisione di adeguatezza.
Per i paesi non adeguati, le BCR (binding corporate rules) sono l'opzione migliore se sei un'organizzazione internazionale. Si tratta effettivamente di un contratto che tutte le entità all'interno di un’organizzazione globale devono firmare per consentire il libero flusso di dati tra tutte le entità.
Se non puoi fare affidamento né sull'adeguatezza né sulle BCR, le clausole contrattuali SCCs (standard) sono la soluzione migliore. Si tratta di clausole contrattuali modello, disponibili sul Commissione europea sito web, che rispettano l'articolo 28 se li utilizzi senza modifiche.
10. Segnalazione di violazione dei dati personali
Le violazioni dei dati possono verificarsi nonostante i tuoi migliori sforzi.
Se ne subisci uno e la violazione rappresenta un rischio per i diritti e le libertà degli interessati, il GDPR (Articolo 33) richiede al titolare del trattamento di segnalarlo alla propria autorità di controllo entro 72 ore dalla presa di coscienza della violazione.
Il titolare del trattamento deve inoltre informare senza indebito ritardo gli interessati se il rischio per i loro diritti e libertà è elevato.
Qualora un responsabile del trattamento venga a conoscenza della violazione, dovrà darne comunicazione al titolare del trattamento, anche “senza indebito ritardo”.