Consulenza privacy e GDPR
Privacy e dati personali: quali sono i principali adempimenti previsti dal GDPR? Perché è importante adeguarsi al GDPR? Come si verifica se il trattamento dei dati personali è conforme al GDPR? Nell'articolo diamo risposta a questi e ad altri quesiti in tema di compliance al GDPR.
GDPR: COS'È?
Il GDPR (General Data Protection Regulation), in italiano RGDP (Regolamento Generale sulla Protezione dei Dati), è un regolamento europeo (n. 2016/679) entrato in vigore nel maggio 2016 e applicato dal maggio 2018.
Il GDPR costituisce la principale normativa a livello europeo per la tutela dei dati personali delle persone fisiche che ne sono titolari: i cosiddetti “interessati”. Benché siano ormai trascorsi alcuni anni dall'applicazione del GDPR, non tutti si sono ancora adeguati e il trattamento dei dati in azienda non sempre è effettuato in modo corretto.
Capita spesso, infatti, che società, imprenditori e professionisti trattino e utilizzino dati personali dei clienti, dei dipendenti e dei collaboratori senza rispettare appieno le regole in tema di privacy (anche per quanto riguarda il trattamento dei dati personali negli studi legali): insomma, il fatto di dover curare anche la gestione dei dati personali è visto - erroneamente - come un adempimento che può essere tralasciato.
SOGGETTI E ADEMPIMENTI
Il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento dei dati personali degli interessati: spetta al titolare garantire e dimostrare che il trattamento avvenga nel rispetto del GDPR; ad esempio, previa informativa sul trattamento dei dati personali o c.d. informativa privacy per clienti, informativa privacy per dipendenti e informativa privacy per collaboratori, attraverso la nomina del responsabile del trattamento dati personali, incaricati del trattamento dei dati personali, e così via.
Quando è necessario che i dati personali siano trattati per conto del titolare da soggetti esterni all'organizzazione, questi nomina un responsabile esterno del trattamento: il GDPR prescrive che il responsabile deve presentare garanzie sufficienti per adottare misure tecniche e organizzative adeguate.
Adottare misure adeguate significa prima di tutto – sia per il titolare che per il responsabile del trattamento – predisporre e utilizzare la modulistica corretta, introdurre procedure, individuare e nominare determinati soggetti, sia all'interno della propria organizzazione (come nel caso degli “incaricati”), sia all'esterno di essa (come nel caso dei “responsabili”).
Altri soggetti possono essere nominati sia all'interno che all'esterno dell'organizzazione del titolare: ad esempio, il D.P.O. (Data Protection Officer – in italiano R.P.D., Responsabile della Protezione dei Dati) e l'amministratore di sistema.
Per stabilire in concreto quali misure adottare, il primo passo è costituito da una mappatura delle operazioni di trattamento concretamente svolte dall'organizzazione in questione: in estrema sintesi, si tratta di individuare quali dati personali sono e/o devono essere trattati, da chi, come e per quali finalità. Ad esempio, sono molto diversi fra loro i casi di un e-commerce, di un ospedale, di un negozio di abbigliamento, di una società commerciale, di un'impresa edile, di una web agency, di uno studio professionale: per ciascun caso il GDPR prescrive un approccio personalizzato, al fine di adottare le specifiche misure richieste a seconda del contesto.
ATTENZIONE ALLE SOLUZIONI “STANDARD” E “AUTOMATICHE”
Il fatto che il GDPR imponga di verificare caso per caso quali misure tecniche e organizzative adottare a tutela dei dati personali degli interessati significa che il titolare del trattamento deve considerare con molta attenzione eventuali procedure, software, moduli, informative e, più in generale, tutte le misure di tipo standard o automatiche.
Il fatto che siano disponibili e agevolmente rinvenibili online, talvolta persino gratuitamente, modulistica e strumenti standard, non esime mai il titolare dal rispetto integrale del GDPR e, in particolare, dalla responsabilità di determinare puntualmente le finalità e i mezzi del trattamento dei dati personali degli interessati.
Al contrario, l'adozione acritica e non sufficientemente consapevole di misure di tipo standard o automatiche, senza la relativa verifica e integrazione in ragione delle specificità del caso concreto, può costituire di per sé la prova di aver violato i principi fondamentali del regolamento e può esporre l'organizzazione a severe sanzioni per violazione del GDPR.
Ad esempio, il registro delle attività di trattamento è un documento fondamentale la cui struttura minima è stabilita dal GDPR ma il cui contenuto varia necessariamente da organizzazione a organizzazione, in base alle specifiche tipologie di trattamento dei dati personali svolte dall'organizzazione stessa; peraltro, a monte, spetta al titolare e al responsabile (tramite i propri consulenti privacy) stabilire se un registro delle attività di trattamento sia obbligatorio, opportuno o superfluo e assumersi ogni responsabilità in merito alla propria valutazione sulla relativa adozione.
L'IMPORTANZA DEL CONSULENTE PRIVACY
A questo punto dovrebbe essere chiaro che qualsiasi organizzazione e il relativo titolare, in difetto di specifica competenza diretta in tema di privacy, dovrebbero rivolgersi a consulenti privacy esperti per verificare la conformità al GDPR della propria architettura privacy, se presente, oppure per crearne una al più presto.
Il consulente privacy assisterà il titolare nella mappatura delle operazioni di trattamento e dei dati personali, nell'implementazione delle misure tecniche e organizzative, nella gestione di questioni particolari, che spesso coinvolgono competenze ulteriori: si pensi, ad esempio, al caso dei sistemi di videosorveglianza, che spesso richiedono un parere sotto il profilo del diritto del lavoro, al caso del cloud o del backup di dati presso server che si trovano al di fuori dell'Unione Europea o ancora al caso dell'utilizzo di Google Analytics sul proprio sito internet, che spesso richiedono un parere sotto il profilo informatico.
Non è raro che, in assenza di un consulente privacy, un'organizzazione che opera on-line – ma con una struttura societaria, degli uffici, dei dipendenti, dei collaboratori, dei fornitori, eccetera – ritenga erroneamente di “essere a posto” avendo pubblicato sul proprio sito internet la privacy policy e la cookie policy. Non è così: privacy policy e cookie policy sono spesso necessarie ma nella gran parte dei casi non esauriscono affatto gli adempimenti a carico dell'organizzazione e del titolare del trattamento. Ad esempio, se attraverso il sito internet un utente fornisce dei propri dati personali e quei dati personali, transitando per il sito, vengono poi trattati da dipendenti, fornitori, responsabili esterni (come accade, semplicemente, stampandoli in ufficio o salvandoli su un server), la privacy policy pubblicata sul sito è insufficiente in tutti i casi in cui il GDPR prescrive anche l'adozione di registri, atti di nomina, informative interne, istruzioni, valutazioni d'impatto, eccetera.
Per approfondire, segnaliamo:
- il sito internet del Garante italiano, con normativa e schede di approfondimento
- il sito internet EUR-Lex, dove è pubblicato il testo ufficiale del GDPR
- il sito internet del Comitato europeo per la protezione dei dati