PROCEDURE per il   GDPR – F.A.Q.

PROCEDURE per il   GDPR – F.A.Q.

• Come posso tutelarmi dal rischio di violazione dei dati?
  E’ necessario organizzarsi per effettuare la classificazione dei dati e identificare tutti i rischi a cui si sta andando incontro. Le aziende/organizzazioni che trattano dati personali devono  attuare misure di protezione corrispondenti al livello di rischio delle loro attività di trattamento dei dati.
• Cosa deve fare un noleggiatore nello specifico per essere in linea?
  • Comprendere in quali situazioni non è in linea con il GDPR
  • Preparare informative chiare sui processi di utilizzo dei dati personali dei clienti
  • Fare formazione interna al personale per spiegare le procedure di utilizzo dei dati personali
  • Eliminare i dati quando la finalità del trattamento è terminata (es. chiuso il contratto, pagate multe, etc)
  • Identificare le procedure per rimediare a inadempienze e violazione dei dati
  • Dare ai clienti l’opportunità di comprendere quali dati sono trattati e per quanto tempo, quale vuole modificare, quale vuole eliminare.
• Qual è la procedura da tenere? Identifichiamo 3 fasi di lavoro : Preparazione–> Messa in funzione –> Mantenimento
  • Preparazione:
    • Creare la lista dei principali stakeholders aziendali
    • Stabilire il team per il programma GDPR
    • Identificare le funzioni aziendali coinvolte
    • Identificare le terze parti coinvolte e le loro relative attività
    • Stabilire un Registro Centrale dei Dati Personali
    • Distribuire le Policies e Privacy Polices aggiornate sulla protezione dei dati
    • Fare formazione al personale interno e ai Data Processors esterni
  • Messa in funzione:
    • Diffondere e mantenere le Privacy Notices
    • Giustificare e registrare i meccanismi legali di processo
    • Processare e registrare i Diritti di richiesta del Soggetto Interessato (Data Subject)
    • Convalidare e registrare il trasferimento dei dati a Paesi Terzi
    • Riportare e gestire i casi di violazione dei dati personali
  • Mantenimento:
    • Consolidamento dell’apprendimento delle politiche di Protezione dei Dati
    • Assicurare l’integrità e l’aggiornamento del Registro di Processo dei Dati Personali
    • Impostare la valutazione di impatto dei rischi nel caso di cambiamento degli eventi
    • Verificare la compatibilità delle attività processate da Terze Parti
    • Dimostrare l’efficacia dei processi di utilizzo dei dati personali.
• Quali figure sono istituite per garantire l’applicabilità del GDPR? Data Controller, Data Processor,  Data Protector Officer (DPO)
• Chi è il Data Controller?  Chi raccoglie i dati e definisce le finalità del trattamento. Deve essere in grado di gestire le lamentele per i GDPR.
• Chi è il Data Processor? Colui che deve controllare che i processi siano rispettati, anche quelli del controller. Mette in atto le misure e tecniche e organizzative adeguate, in modo da soddisfare il regolamento. Deve avere una formazione specifica. Per il principio di responsabilità solidale deve garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
• Chi è il Data Protector Officer? E’ il responsabile che deve garantire il rispetto del GDPR all’interno dell’azienda. Deve indicare le persone coinvolte in ogni attività, registrare che ha implementato le principali misure di sicurezza per evitare il rischio di violazione dei dati.
• Quali documenti deve preparare il noleggiatore? Il cosiddetto “Privacy Notes”, l'”Inventario dei processi delle attività”, il DPIA, il Retention Schedule
• Cosa si deve inserire nel Privacy notes?  E’ il documento che identifica come vengono trattati i dati da parte dell’azienda:
  • clienti —> deve essere pubblicato su internet
  • dipendenti —> deve pubblicato su intranet

  Il Privacy notes deve essere scritto da rappresentanti legali e aziendali, anche l’ufficio marketing e comunicazione è coinvolto.  Il GDPR non indica ogni quanto il documento di Privacy notes va aggiornato. si suggerisce però almeno 1 volta all’anno, perchè  possono esserci stati degli aggiornamenti  sui processi.

• Cosa si deve inserire nell’Inventario dei processi? L’azienda deve avere ben chiaro come e perchè si usano i dati. E’ richiesto un approccio sistematico che dimostri la consapevolezza dell’uso. E’ un documento importante anche per permettere di capire a quale stadio del processo di lavorazione è il dato. Nell’inventario dei dati processati possono essere raggruppate attività che hanno rischi simili di violazione nei processi, ma non attività con rischi diversi. Il DPO deve indicare le persone coinvolte in ogni attività. Bisogna  quindi fare l’inventario delle attività per il processo e l’inventario dei dati personali detenuti. E’ possibile scegliere se fare i 2 inventari separati oppure se fare l’inventario dei processi e poi indicare il nome di chi fa l’attività di inventario dei dati. Nello specifico nell’inventario vanno inseriti:
  • Nome e contatti del DPO
  • La finalità delle attività dal processo
  • Le categorie dei dati personali processati
  • I destinari a cui i dati sono stati inviati (anche in altri Paesi)
  • Se i dati sono stati trasferiti all’estero e dove
  • I tempi di scadenza dei dati delle differenti categorie
  • Descrizione delle misure tecniche di sicurezza e organizzative
  • Il dipartimento in cui le attività dei processi vengono svolte
  • Il nome del sistema che processa i dati
  • Se c’è una joint controller ci deve essere il suo nome
  • Misure di sicurezza per il trasferimento dei dati sensibili
• Che cosa è il Retention schedule? E’ il documento in cui c’è la schedulazione dei dati che vengono mantenuti nel tempo. Questo documento permette all’azienda di tutelarsi per dimostrare il motivo per cui sta trattenendo i dati più di quanto sia apparentemente necessario (Es. le intestazioni usate per le  fatture vengono tenute per X anni).Nelle piccole aziende si può redigere un solo documento che include sia l’inventario che la politica di retention.
• Che cosa è il DPIA? il  DPIA (Data Protection Impact Assessment and Risk Asssessment) è  un documento in cui vengono elencate le attività processate e il rischio di violazione dati correlato ad esse. Il DPIA deve essere redatto da un team con la supervisione del DPO.
• In che modo un cliente può inviare la richiesta per sapere come vengono trattati i suoi dati? La richiesta deve avvenire in formato scritto (email, fax, sito, raccomandata, pec, etc). La richiesta via social media non è considerata valida.

• Entro quanto tempo bisogna  rispondergli? L’azienda deve rispondere entro 30 giorni dalla ricezione della richiesta. Se le richieste sono ripetitive, l’azienda è autorizzata a chiedere un pagamento per l’invio dei dati.  Se non riesce a dare una risposta entro 30 gg deve informare la persona interessata.
• Cosa deve fare il noleggiatore se riceve una richiesta da parte di un cliente su come vengono processati i dati? 
  • Registrare la richiesta e inviare la ricevuta di ricezione
  • Verificare che la richiesta provenga direttamente dal soggetto interessato o dal suo legale rappresentante
  • Fornire al soggetto interessato le informazioni richieste (entro 30 gg) . Il DPO può essere consultato per avere un consiglio
  • Se i dati sono condivisi con il processor, il processor deve essere informato della presa in carico della richiesta
• Quali sono le informazioni che bisogna fornire al soggetto interessato?
  • Chi processa le informazioni
  • Controller
  • Rappresentante dei processi
  • DPO
  • I processi
  • I Paesi in cui vengono processati
  • Categorie dei dati processati
• L’Azienda è tenuta a rispondere sempre alla richiesta?  Ci sono dei casi in cui l’azienda è tenuta a NON rispondere:
  • Informazioni a altre persone, a meno che non ci sia una delega
  • Richieste ripetitive: anche la seconda richiesta potrebbe esserlo se non è passato un periodo di tempo ragionevole. Più di 3 richieste all’anno sono troppe
  • Informazioni di dominio pubblico (es. organigramma)
  • Se vengono chiesti dati coperti da copyright e dati confidenziali (es. offerte commerciali fatte a un altro cliente)
  • Se per dare la risposta è necessario coinvolgere troppe persone e troppo tempo

  Se l’azienda si rifiuta di dare i dati , deve informare il soggetto interessato e dargli i riferimenti del legale rappresentante e della public  authority, per consentirgli di procedere con l’opposizione.

• Quali sono i diritti del Soggetto Interessato?
  • Diritto di informazione: quali dati sono processati? con chi sono suddivisi?
  • Diritto di accesso
  • Diritto di correzione: devi poter chiedere la modifica dei dati personali
  • Diritto di recesso
  • Diritto di contestazione: al procedimento automatizzato di gestione
  • Diritto all’oblio/ di cancellazione dei dati: deve poter chiedere la cancellazione dei dati
  • Diritto di portabilità dei dati: autorizzazione al trasferimento ad un atro Paese o controller. I dati devono essere disponibili in formato digitale.

Scarica il Diagramma del processo di implementazione del GDPR nell’EU:

Diagramma del processo di implementazione del GDPR dell’UE

Le informazioni e le linee guida contenute in queste pagine web hanno lo scopo di contribuire a una migliore comprensione delle norme unionali sulla protezione dei dati. Esse sono intese esclusivamente come strumento di orientamento: solo il testo del regolamento generale sulla protezione dei dati ha forza legale. Pertanto solo il regolamento può istituire diritti e obblighi per le persone. Questa guida non dà luogo ad alcun diritto o aspettativa esecutiva. L’interpretazione vincolante della legislazione dell’UE è di competenza esclusiva della Corte di giustizia dell’Unione europea. Le opinioni espresse in questa guida non possono pregiudicare la posizione che la Commissione potrebbe assumere dinanzi alla Corte di giustizia.