Un'organizzazione deve non solo trattare i dati personali secondo il regolamento generale sulla protezione dei dati, ma deve anche essere in grado di dimostrare la sua conformità ad esso. Ciò include rendere effettiva la protezione dei dati fin dalla progettazione, tenere il registro delle attività di trattamento e, in determinate circostanze, eseguire una valutazione d'impatto sulla protezione dei dati.
Protezione dei dati fin dalla progettazione e per impostazione predefinita
In qualità di titolare del trattamento, sia quando si progetta un trattamento che al momento del trattamento, è necessario attuare misure e salvaguardie adeguate per garantire il rispetto dei principi di protezione dei dati. Devi anche assicurarti che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni specifico scopo (questo vale per la quantità di dati, l'entità del trattamento, la limitazione della conservazione e la sua accessibilità).
In altre parole, un'organizzazione che applica la protezione dei dati fin dalla progettazione e per impostazione predefinita è un'organizzazione che considera e incorpora la protezione dei dati e la privacy delle persone in ogni aspetto e in ogni fase delle sue operazioni di elaborazione, negli strumenti utilizzati o in qualsiasi altra attività aziendale.
A tal fine, prima di avviare le operazioni di trattamento, l'organizzazione deve tenere conto di:
- la natura, il contesto e la portata del trattamento previsto;
- i rischi che possono derivare dalle operazioni di trattamento previste o da qualsiasi altra attività commerciale che possa avere un impatto sui dati personali delle persone;
- le misure tecniche e organizzative che dovrebbero essere messe in atto per attenuare i rischi individuati e, così facendo, garantire che i dati personali delle persone siano adeguatamente protetti;
- le misure o le procedure tecniche e organizzative da adottare per garantire che il trattamento dei dati personali (in particolare la raccolta, la conservazione e l'uso complessivo dei dati delle persone fisiche) sia limitato a quanto necessario alla luce degli obiettivi perseguiti.
Nella pratica
- Una libreria vuole aumentare le sue entrate vendendo libri online. Il proprietario della libreria vuole impostare un modulo standardizzato per il processo di ordinazione. In primo luogo, il proprietario rende obbligatori tutti i campi del modulo, compresa la data di nascita del cliente, il numero di telefono e l'indirizzo di casa. Tuttavia, non tutti i campi del modulo sono necessari allo scopo di vendere e consegnare i libri.
Ad esempio, quando si ordina un eBook, il cliente può scaricare il prodotto direttamente sul proprio dispositivo. Pertanto, questi campi non possono essere richiesti nel modulo web per ordinare libri. Il proprietario del negozio online decide quindi di creare due moduli per l’online: uno per ordinare libri, con un campo per l'indirizzo del cliente e un modulo web per ordinare eBook senza un campo per l'indirizzo del cliente. In tal modo, il titolare si assicura che vengano raccolti solo i dati necessari per il trattamento. - Uno studio medico che impiega diversi medici raccoglie i dati sui pazienti nel suo sistema informatico organizzativo. I diversi medici possono avere bisogno di accedere ai fascicoli dei pazienti, ad esempio quando sostituiscono un altro medico assente, per notificare le loro decisioni in merito alla cura e al trattamento dei pazienti e per la documentazione di tutte le azioni diagnostiche, di cura e di trattamento adottate. Per impostazione predefinita, l'accesso è concesso solo ai medici che sono assegnati al trattamento del rispettivo paziente.
È utile tenere registri di tali valutazioni e misure per poter dimostrare che si sta rispettando i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita. Un meccanismo di certificazione approvato può anche essere utilizzato come elemento per dimostrare la conformità alla protezione dei dati fin dalla progettazione e per impostazione predefinita.
Obbligo di conservare i registri del trattamento dei dati
Come organizzazione, hai il dovere di tenere un registro delle tue attività di elaborazione dei dati. Tali registri devono essere conservati per iscritto, anche in formato elettronico.
Questo registro ti offre una panoramica delle tue attività di trattamento. Al fine di creare tale registro, è necessario identificare quale delle tue attività richieda il trattamento di dati personali (esempi includono assunzioni, gestione delle buste paga, formazione, gestione dei badge e degli accessi, elenco dei potenziali clienti, ecc.). Ciascuna di queste operazioni di trattamento deve essere descritta nel registro con le seguenti informazioni:
- lo scopo del trattamento (ad es. fidelizzazione del cliente);
- le categorie dei dati trattati (ad esempio per le buste paga: cognome, nome, data di nascita, stipendio, ecc.);
- chi ha accesso ai dati (i destinatari — ad esempio: il dipartimento incaricato delle assunzioni, del servizio informatico, della gestione, dei fornitori di servizi, dei soci...);
- se del caso, informazioni relative ai trasferimenti di dati personali al di fuori dello Spazio economico europeo (SEE);
- ove possibile, il periodo di conservazione (il periodo per il quale i dati sono utili dal punto di vista operativo e dal punto di vista dell'archiviazione);
- ove possibile, una descrizione generale delle misure di sicurezza.
I registri delle attività di trattamento rientrano sotto la responsabilità del responsabile dell'organizzazione. Tale registro deve essere a disposizione dell'autorità per la protezione dei dati del paese SEE in cui opera, se richiesto.
Non è necessario per le organizzazioni che impiegano meno di 250 persone menzionare attività puramente occasionali nei loro registri (ad esempio dati elaborati per eventi una tantum come l'apertura di un negozio).
Come effettuare una valutazione d'impatto sulla protezione dei dati (DPIA)?
Che cosa è un DPIA?
Qualora un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare una valutazione d'impatto sulla protezione dei dati (DPIA). Una DPIA è una valutazione scritta di un'operazione di trattamento pianificata. Ti aiuta a identificare le garanzie appropriate per mitigare i rischi e dimostrare la conformità.
Quando fare una DPIA?
Sebbene sia sempre preferibile anticipare l'impatto delle operazioni di trattamento pianificate della tua organizzazione effettuando una DPIA, è obbligatorio effettuare tale DPIA quando il trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone.
Nello specifico, questo è il caso in cui il trattamento previsto comporta:
- il trattamento — su larga scala — di dati personali sensibili e di dati relativi a condanne penali;
- una valutazione sistematica e approfondita degli aspetti personali di una persona basata sul trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici per l'individuo in questione o che incidono in modo analogo in modo significativo sulle persone;
- monitoraggio sistematico di un'area accessibile al pubblico su larga scala.
Nella maggior parte dei casi, le operazioni di trattamento che soddisfano due dei seguenti criteri dovrebbero essere valutate attraverso una DPIA:
- valutazione o punteggio;
- processi decisionali automatizzati con effetti significativi giuridici o analoghi;
- monitoraggio sistematico;
- dati sensibili o di carattere altamente personale;
- dati elaborati su larga scala:
- abbinamento o combinazione di set di dati;
- dati relativi agli interessati vulnerabili;
- uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative;
- Quando il trattamento di per sé impedisce alle persone fisiche di esercitare un diritto o di utilizzare un servizio o un contratto.
Devo effettuare una DPIA?
Per scoprirlo rispondi alle domande attraverso il nostro diagramma di flusso interattivo!
È probabile che il trattamento comporti rischi elevati?
Si applicano eccezioni?
Esempi di casi in cui potrebbe non essere richiesta una valutazione d'impatto sulla protezione dei dati:
- l'operazione di trattamento prevista è molto simile a un trattamento che è già stato oggetto di una valutazione d'impatto sulla protezione dei dati;
- il tipo di trattamento è incluso in un elenco di esenzioni che l'Autorità per la protezione dei dati potrebbe aver adottato;
- il trattamento è autorizzato a norma del diritto dell'UE o nazionale.
Devo effettuare una DPIA?
Sì, è necessario eseguire la DPIA
Permangono rischi elevati dopo la valutazione d'impatto sulla protezione dei dati?
Devo effettuare una DPIA?
Non è necessaria alcuna valutazione d'impatto sulla protezione dei dati (DPIA)
Consultare il Garante per la protezione dei dati personali
Non c'è bisogno di consultare il Garante per la protezione dei dati personali
Suggerimento per una DPIA
Dovresti contattare l'autorità per la protezione dei dati del paese SEE in cui ha sede la tua organizzazione per scoprire se dispone di un documento disponibile al pubblico che elenca le condizioni per le quali le operazioni di trattamento avranno bisogno di una DPIA e quale operazione di trattamento non avrà bisogno di una DPIA.
Esempi di quando deve essere richiesta una DPIA:
- elaborazione di dati biometrici, ad esempio scansione delle impronte digitali o delle caratteristiche del volto per identificare i pazienti;
- utilizzazione di dati delle persone vulnerabili a fini di marketing, ad esempio per prevedere i loro acquisti;
- app mobile che monitora la posizione dell'individuo.
Esempi di quando una DPIA potrebbe non essere necessaria
- il trattamento previsto è molto simile a un trattamento che è stato oggetto di una DPIA;
- il trattamento è incluso nell'elenco facoltativo dei trattamenti (stabilito dall'autorità nazionale per la protezione dei dati) non oggetto di DPIA;
- il trattamento è autorizzato ai sensi del diritto dell'UE o nazionale.
Cosa includere in una DPIA?
La tua DPIA dovrebbe includere:
- una descrizione dell'operazione di trattamento prevista e della sua finalità;
- una valutazione della necessità e della proporzionalità;
- i rischi che il trattamento può comportare;
- le misure per affrontare i rischi.
Consultazione preliminare nel corso di una DPIA
Quando il titolare del trattamento non riesce a trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi residui sono ancora elevati), è necessaria una consultazione con l'autorità per la protezione dei dati. In tal caso, il titolare del trattamento deve fornire le seguenti informazioni:
- le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento coinvolti;
- le finalità del trattamento e le modalità di esecuzione del trattamento;
- le misure previste per salvaguardare i dati personali delle persone;
- se del caso, i dati di contatto del responsabile della protezione dei dati dell'organizzazione;
- la DPIA in questione.
Dopo una DPIA — Provala, migliorala, controllala!
Una volta che la DPIA è stata redatta, è necessario testarla; e se necessario, migliorarl; gestire l'operazione di trattamento; rivalutare se la tua DPIA corrisponde all'operazione di trattamento; e verifica.
Leggi di più
Gruppo di lavoro Articolo 29: Linee guida sulla valutazione d'impatto in merito alla protezione dei dati (DPIA)
Redazione della Commissione europea
Nazionale dei tipi di operazioni di trattamento dei dati che richiedono o non richiedono una valutazione d'impatto sulla protezione dei dati
Commissione per la protezione dei dati, autorità di controllo irlandese
Codici di condotta
A seconda del luogo in cui l'organizzazione si trova nel SEE, potrebbero esserci associazioni o altri organismi che rappresentano i titolari del trattamento o i responsabili del trattamento. Tali associazioni e organismi possono elaborare codici di condotta, compresi i meccanismi di protezione dei dati, ai quali i titolari del trattamento e i responsabili del trattamento possono aderire per contribuire a garantire che i dati personali delle persone siano rispettati conformemente al GDPR.
Più specificamente, questi codici di condotta messi in atto devono garantire, ad esempio:
- che i dati personali siano trattati in modo equo e trasparente;
- che le finalità per le quali sono trattati i dati personali delle persone siano legittime;
- come pseudonimizzare i dati personali;
- che siano fornite informazioni trasparenti alle persone i cui dati personali sono trattati;
- che il consenso al trattamento dei dati delle persone fisiche, in particolare dei dati personali relativi ai minori, sia adeguatamente richiesto;
- che siano adottate tutte le misure tecniche e organizzative per garantire il trattamento sicuro dei dati delle persone fisiche;
- che siano seguite le procedure di notifica delle violazioni dei dati personali;
- che siano seguite le procedure, comprese le garanzie, relative ai trasferimenti di dati personali verso paesi e organizzazioni non appartenenti al SEE;
- che siano seguite le procedure relative ai procedimenti giudiziari e alla risoluzione delle controversie.
Suggerimento
- Dovresti metterti in contatto con l'associazione o l'organismo competente che prepara i codici di condotta GDPR, in quanto questi potrebbero aiutarti con la tua conformità al GDPR.
Certificazione
Cos'è una certificazione GDPR?
Un'organizzazione che ottiene una certificazione GDPR può utilizzare questa certificazione per dimostrare la conformità al GDPR delle sue operazioni di trattamento.
Le autorità del SEE per la protezione dei dati possono, ad esempio:
- rilasciare certificazioni GDPR in relazione al proprio schema di certificazione;
- rilasciare le stesse certificazioni GDPR, in relazione al proprio schema di certificazione, ma delegare l'intero, o parte del processo di valutazione a terzi;
- creare un proprio sistema di certificazione e affidare a organismi specifici il rilascio di tali certificazioni;
- incoraggiare il mercato a sviluppare meccanismi di certificazione;
- valutare i sistemi di certificazione degli organismi di certificazione.
Un organismo di certificazione ha il compito di rilasciare, rivedere e ritirare le certificazioni sulla base di un meccanismo di certificazione e di criteri approvati.
Gli organismi di certificazione devono documentare la loro valutazione delle operazioni di trattamento della tua organizzazione per le quali può essere rilasciata una certificazione GDPR.
La mia organizzazione ha ricevuto una certificazione GDPR, cosa succederà dopo?
La certificazione GDPR per un trattamento che la tua organizzazione effettua è valida per un massimo di 3 anni, e può essere rinnovata o revocata. Per mantenere questa certificazione, la tua organizzazione deve mettere in pratica in modo continuo e coerente le misure relative alla protezione dei dati certificate.