GDPR: mettersi in regola ed evitare sanzioni.

Compliance GDPR

Il General Data Protection Regulation  (abbr. GDPR), come ormai tutti sappiamo, è la norma più efficace in materia di protezione dei dati a livello mondiale che salvaguarda le persone fisiche per il trattamento e la libera circolazione dei propri dati personali.

Il GDPR è diventata applicabile per tutti gli stati membri dell’Unione Europea a partire dal 25 maggio 2018 e ha rimpiazzato definitivamente la direttiva 95/46/EC. 

Sin da quella data abbiamo potuto constatare un costante incremento della sua efficacia,  portando all’attenzione dello “sportello unico” oltre 2000 casi di cui 711 hanno ricevuto una decisione definitiva con un provvedimento sanzionatorio per centinaia di migliaia di euro in alcuni casi, o addirittura miliardi, come la decisione presa dall’EDPB il 13 aprile 2023 nei confronti del colosso Meta Platform Ireland Limited, che è stata sanzionata per 1.2 miliardi di euro seguendo un’inchiesta, portata avanti dal Data Protection Authority irlandese sui servizi offerti dal suo Facebook a causa di trasferimenti di dati personali dei propri iscritti dall’Europa agli Stati Uniti sin dal 16 luglio del 2020 senza averlo citato nelle clausole contrattuali, prendendo così il primato di multa più grande mai inflitta per violazione del GDPR.

Con il 2023 si è concluso il quarto anno completo del GDPR, infatti nel 2024 è prevista la prossima relazione sull’applicazione di questo. Si è potuto notare come la CJEU (Court of Justice of the European Union), oltre a rendere l’Unione Europea prima nel mondo nella tutela dei dati personali dei cittadini, ha procurato validi strumenti per la trasparenza della vendita e processamento dei dati personali in UE. Infatti nel corso dello scorso hanno ci sono state 4 sentenze preliminari molto importanti che hanno messo in evidenza alcuni dei  principi fondamentali del GDPR dando chiara dimostrazione dell’attenzione su tali argomenti dalle diverse Autorità di Controllo:

  • Il principio dell’accountability:  (caso C-60/22) dove il giudizio della CJEU ha dimostrato l’importanza della responsabilità nelle fasi di design e implementazione di un programma di “Data Protection Compliance”; 
  • Diritto di accesso descritto dall’art. 15 del GDPR: (caso C-487/21) dove la CJEU ha chiarito che ogni diritto di accesso deve essere sempre bilanciato con il diritto di libertà degli altri, includendo il diritto di proteggere i segreti commerciali e la proprietà intellettuale che appartengono a terze parti; 
  • Diritto al compenso descritto all’art. 82 del GDPR: (caso C-300/21) in questo caso la CJEU è stata più vaga definendo non il compenso materiale per danni morali ma piuttosto ha stabilito che spetta alle leggi dei singoli Stati membri prescrivere la formula per il calcolo del risarcimento in caso di richiesta di tali danni;
  • Controlli congiunti: (caso C-683/21) dove si evidenzia che qualora ci siano controlli congiunti bisogna ricordare che:
    • si deve sempre essere consapevoli del proprio status di controllori congiunti;
    • laddove esista un controllo congiunto, si devono sempre prendere provvedimenti per documentare in modo trasparente la divisione dei ruoli e delle responsabilità.

Purtroppo a preoccupare ancora oggi è l’adesione al GDPR da parte delle aziende italiane, infatti, ancora oggi risulta seconda in Europa per numero di violazioni (Fonte “Il Sole 24 Ore“): “Molte aziende hanno distribuito i propri dati in un’ampia varietà di storage location e, come dimostra il report GDPR Enforcement tracker pubblicato dallo studio legale internazionale CMS, stanno avendo difficoltà a gestire correttamente l’insieme di dati proprietari. Spesso i dati sono strutturati per silos ed è quasi impossibile verificare se sono ridondanti, se le informazioni personali sensibili sono conservate in ambienti a rischio o se sono state trascurate nei piani di backup”, spiega Manlio De Benedetto, Director System Engineering di Cohesity

Si ricorda che il GDPR si applica, come ci dice l’art. 3, a tutte le aziende europee che trattano i dati personali nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

Allora vediamo come mettersi in regola seguendo dei semplici passi su cui Ad Regola può dare tutto il supporto necessario: 

  1. Innanzitutto per conformarsi al GDPR c’è bisogno di comprendere e mettere in pratica due elementi fondamentali
    • Privacy by design, ovvero bisogna pensare e definire le misure tecniche e organizzative adeguate al trattamento dei dati già in fase di progettazione dei sistemi informativi;
    • Privacy by default, significa che il titolare del trattamento ha in essere delle misure tecniche e organizzative predefinite che garantiscono l’accesso ai dati personali da parte delle persone solo se queste siano state preventivamente autorizzate da una persona fisica.
  2. Dopo aver definito ciò, l’azienda deve comprendere come manipolare, utilizzare, divulgare, quindi in un’unica parola, trattare i dati personali. Questo lo si fa assimilando i seguenti punti cardine del GDPR:
    • Liceità, correttezza e trasparenza, queste sono le modalità con cui i dati personali devono essere trattati nei confronti dell’interessato;
    • Minimizzazione dei dati, i dati personali non devono eccedere i limiti definiti dalla finalità;
    • Esattezza, i dati devono essere sempre esatti e nel caso contrario adoperare i giusti mezzi per aggiornarli;
    • Limitazione della conservazione, i dati personali devono essere conservati con una modalità tale da consentire sempre l’identificazione dell’interessato e solo per l’arco di tempo necessario al conseguimento delle finalità per le quali sono trattati;
    • Integrità e riservatezza, bisogna sempre garantire la sicurezza adeguata durante il trattamento dei dati personali compresa la protezione dalla distruzione o dal danno accidentali.
  3. Ora vediamo quali sono gli adempimenti dell’azienda in termini di documentazione e sistemi che garantiscono la sicurezza dei dati personali. Per la documentazione abbiamo:
    • Politica sulla Protezione dei Dati Personali (Articolo 24): viene definito ad alto livello cosa si vuole raggiungere e come dalla gestione della privacy in azienda; 
    • Informativa sulla Privacy (Articoli 12, 13 e 14): spiegazione di come l’azienda tratta i dati personali dei propri clienti e visitatori, o altri, del proprio sito web e deve essere anche pubblicato sul sito web;
    • Informativa sulla Privacy per i Dipendenti (articoli 12, 13 e 14): spiegazione di come l’azienda tratta i dati personali dei propri dipendenti;
    • Politica di Conservazione dei Dati (Articoli 5, 13, 17 e 30): vengono definite le tempistiche e le modalità di conservazione e di distruzione dei dati persnali;
    • Programma di Conservazione dei Dati (Articolo 30): è un elenco di tutti i dati personali trattati dall’azienda con indicando anche la durata della conservazione;
    • Modulo di Consenso dell’Interessato (Articoli 6, 7 e 9): modulo di ottenimento del consenso al trattamento dei dati da parte dell’interessato;
    • Modulo di Consenso del Titolare della Responsabilità Genitoriale (Articolo 8): come il precedente se l’interessato è minore di 16 anni;
    • Registro delle Valutazioni d’Impatto sulla Protezione dei Dati (Articolo 35): registro dei risultati della valutazione d’impatto sulla protezione dei dati;
    • Accordo con il Fornitore del Trattamento dei Dati (Articoli 28, 32 e 82): documento che regola la protezione e la sicurezza dei dati tra azienda e fornitore;
    • Procedura di Risposta e Comunicazione di una Violazione dei Dati (Articoli 4, 33 e 34): documento che descrive le procedure d’intervento descrive durante e dopo una violazione dei dati;
    • Registro delle Violazioni dei Dati (Articolo 33): registro di tutte le violazioni dei dati;
    • Modulo di Comunicazione di una Violazione all’Autorità di Controllo (Articolo 33): modulo formale di comunicazione all’Autorità di Controllo;
    • Modulo di Comunicazione di una Violazione agli Interessati (articolo 34): modulo per la segnalazione degli interessati in caso di violazione dei dati;
    • Descrizione del Ruolo del Responsabile della Protezione dei Dati (Articoli 37, 38 e 39): documento che descrive il ruolo del DPO (Data Protection Officer). Tale documento è obbligatorio solo in alcune circostanze;
    • Elenco delle Attività di Trattamento dei Dati (Articolo 30): anche questo documento è obbligatorio in alcune circostanze e serve ad elencare tutte le attività dell’azienda che coinvolgono il trattamento dei dati;
    • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Controllori(2) (Articolo 46): documento obbligatorio se si trasferiscono dati personali a un controllore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati;
    • Clausole Contrattuali Tipo per il Trasferimento di Dati Personali ai Processori (Articolo 46): obbligatorio se si trasferiscono dati personali a un processore al di fuori dello Spazio Economico Europeo (SEE) e si sta facendo affidamento sulle clausole tipo come motivi legittimi per i trasferimenti transfrontalieri di dati.

Per quanto riguarda invece i sistemi l’azienda deve garantire quanto segue:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  1. Inoltre bisogna prevedere anche l’Inventario degli asset tecnologici per avere la panoramica completa dei sistemi che potrebbero coinvolgere il trattamento dei dati, quindi i dispositivi, i software, gli archivi e l’elenco di tutte le utenze.

Altra condizione necessaria per la conformità al GDPR, infine ricordiamo che l’azienda deve poter garantire i diritti dell’interessato che sono:

  • Informativa sul trattamento
  • Diritto di accesso
  • Diritto di rettifica e di cancellazione (o “diritto all’oblio)
  • Diritto alla portabilità dei dati
  • Diritto di opposizione

Tutto questo serve per essere compliant al GDPR e Ad Regola può aiutarti e supportarti nel tuo percorso di compliance.