03 Maggio

GDPR il nuovo Regolamento Europeo per la Protezione dei Dati Personali: come funziona e come adeguarsi. Parte 3.

Scritto da 

 

In questo articolo affronteremo un tema importante ed urgente cercando di mantenerci nell’ottica di un’azienda che fa già o vuole fare Marketing rispettando la Normativa che a breve entrerà in vigore. Le informazioni contenute in questo e negli articoli a seguire non sono da intendersi equivalenti e valevoli quanto il consulto di un Legale o di un Consulente sulla Privacy, che vi invitiamo a contattare al più presto. Abbiamo raccolto tramite colleghi e consultazioni di esperti del settore le informazioni più attendibili sul tema.

Nell’articolo precedente abbiamo visto altri punti importanti del nuovo Regolamento sulla Protezione dei Dati Personali, più conosciuto come GDPR. Abbiamo parlato della Valutazione d'Impatto, cos'è e come effettuarla, e della spinosa questione del trattamento dei dati posseduti prima del GDPR, in particolore come averne il consenso. Il 25 maggio è ormai prossimo, c'è un contdown per visualizzare quanto tempo rimane, proseguiamo quindi a cercare di dare una risposta circa l’azione di adeguamento.

 

Il Registro dei Trattamenti è uno dei punti fondamentali di adeguamento aziendale previsto dall’articolo 30 del Regolamento Europeo n. 679 del 2016 in tema di dati personali.

Esso deve essere disponibile anche in formato elettronico, e deve specificare le finalità del trattamento e il nome e i dati di recapito del soggetto titolare dello stesso, del responsabile della protezione dei dati, del rappresentante del titolare del trattamento e del contitolare del trattamento eventualmente previsto.

Non volendo essere banali, ma per semplicità possiamo pensare che il registro dei Trattamenti tiene la “contabilità” dei dati.

Quando serve il Registro dei Trattamenti

Il Registro dei Trattamenti va messo a disposizione, in caso di richiesta dell’Autorità Garante, e adempie all’obbligo di documentazione della conformità dell’azienda alle prescrizioni di legge è a carico non solo del titolare dell’organizzazione, ma anche del responsabile dei trattamenti in vece del titolare.

Nel registro vanno indicati i termini ultimi stabiliti per la cancellazione delle varie categorie di dati personali, che riprenderemo a breve per completezza, insieme con la descrizione di tali categorie e quella delle categorie di soggetti interessati.

Infine è necessario che siano specificati i trasferimenti di dati personali verso altri Paesi, se presenti, e le categorie di destinatari ai quali verranno comunicati o sono già stati comunicati i dati personali, a prescindere che siano di altri Paesi o meno.

Cosa indicare nel Registro dei Trattamenti

L’art. 30 del GDPR fornisce anche una lista di contenuti obbligatori:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

compliance

A cosa serve il registro dei trattamenti

È sbagliato considerare il registro dei trattamenti come un adempimento burocratico da rispettare, ma piuttosto è un’opportunità da cogliere, uno strumento attraverso il quale si ha la possibilità di beneficiare di una più efficace gestione della Data Protection.

Le singole organizzazioni, in particolare, tramite il registro non solo rispettano le prescrizioni del GDPR sulla base del principio di Accountability, ma riusciranno a tenere traccia di tutte le operazioni di trattamento eseguite e avranno a che fare con uno strumento di lavoro operativo che consentirà loro di censire tutti gli elementi più importanti, incluse le banche dati, nell’ottica di un ciclo di gestione redditizio dei dati personali.

Chi deve avere il Registro dei Trattamenti

Secondo il GDPR, il registro dei trattamenti è obbligatorio per le imprese con almeno 250 dipendenti, oppure per quelle che operano trattamenti su larga scala. Purtroppo al momento non abbiamo un’indicazione precisa della definizione di “larga scala”, ma possiamo ipotizzare che si tratti di grandi moli di dati come ad es. quelle usate per fini statistici che abbracciano appunto varie fasce di una popolazione. Comunque ciò non vuol dire che non vi possano ricorrere anche le altre organizzazioni, anzi per come detto in precedenza il Registro è sempre utile per avere una visione di ciò che l’azienda sta facendo, ma anche una valida prova in caso di accertamenti.

Va detto, però, che anche le imprese con meno di 250 dipendenti lo devono tenere nel caso in cui il trattamento dei dati da loro operato possa costituire un pericolo per le libertà o per i diritti dei soggetti interessati o se il trattamento stesso non è occasionale. Non solo: l’obbligo vige anche per il trattamento dei dati personali che riguardano condanne penali, ed in generale possiamo pensare ai dati sensibili.

Per ciò che concerne le modalità di costruzione del registro, esse non sono indicate a livello normativo: il consiglio, comunque, è quello di non tralasciare alcun processo per un corretto inquadramento dei dati per una corretta implementazione del GDPR in azienda.

Personal data GDPR

Dati personali: cosa sono?

Approfondiamo il discorso sui Dati Personali, già visti nella prima parte di questo lungo articolo. Si definiscono dati personali tutte le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute e la sua situazione economica.

I dati personali vengono comunemente suddivisi in 3 aree:

  • dati di tipo identificativo
  • dati di tipo sensibile
  • dati di tipo giudiziale.

Per identificabile si intende una persona che può essere identificata direttamente o indirettamente, anche mediante l’utilizzo di ulteriori elementi.

Per identificazione, quindi, è necessario distinguere la persona da qualsiasi altro soggetto oppure all’interno di una categoria. Se l’identificazione richiede l’acquisizione di ulteriori dati per i quali occorrono tempi e costi irragionevoli, allora la persona non si può considerare identificabile.

Le 3 tipologie di dati personali

Come detto in precedenza, i dati identificativi sono tutte quelle informazioni che consentono una identificazione diretta. A titolo esemplificativo rientrano in questa categoria il nome e il cognome, una foto, il codice fiscale, il numero di passaporto o l’indirizzo e-mail.

dati sensibili sono tutte quelle informazioni che possono rivelare l’origine razziale ed etnica, le convinzioni religiose o filosofiche, le opinioni politiche, l’adesione a partiti o sindacati, associazioni od organizzazioni a carattere religioso, lo stato di salute e la vita sessuale. Questa tipologia di dati deve essere tutelata per garantire piena e totale libertà di pensiero e opinione.

dati giudiziari fanno riferimento a tutte quelle informazioni che possono rilevare l’esistenza di provvedimenti giudiziari oggetto d’iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

Il Trattamento, l’Interessato e la Profilazione nel GDPR

Nel GDPR viene utilizzata costantemente la parola trattamento. Con il termine di trattamento si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatici e applicate a dati personali o insiemi di dati personali.

A titolo esemplificativo rientrano nel trattamento azioni come la raccolta, la registrazione, la strutturazione, l’adattamento o la modifica, la consultazione, la comunicazione, la diffusione, la cancellazione o la distruzione.

La persona a cui si riferiscono i dati soggetti ad un trattamento si definisce “interessato“.
Il GDPR stabilisce anche quali sono i suoi diritti, ovvero l’interessato ha il diritto di:

  1. Esercitare l’opposizione al trattamento in tutto o in parte;
  2. Ottenere la cancellazione (diritto all’oblio);
  3. Ottenere l’aggiornamento o la rettifica;
  4. Ottenere l’accesso (diritto di accesso);
  5. Ottenere la conversione in forma anonima;
  6. Ottenere il blocco o la limitazione del trattamento.

Altro termine utilizzato nel GDPR è la parola profilazione, che si intende in qualsiasi forma di trattamento automatizzato di dati personali che consiste nell’utilizzo di tali dati al fine di estrarre e valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi e il comportamento.

La politica di cancellazione sicura dei dati

Con l’entrata in vigore del GDPR le aziende devono essere in grado di dimostrare di poter cancellare i dati in maniera adeguata e permanente e rispondere in modo pertinente alle varie richieste degli utenti, quali il diritto all’oblio piuttosto che il diritto all’accesso ai dati personali.

Per garantire la conformità con il GDPR, è fondamentale che ci sia una minuziosa valutazione di tutti i dati trattati e una politica di cancellazione solida e condivisa:

  • identificare i dati in possesso e la loro localizzazione (cookie, data warehouse, dati statistici dei siti web, opinioni, carte fedeltà, ecc)
  • identificare chi ha accesso ai dati memorizzati
  • definire il tempo di trattamento dei dati
  • creare una politica condivisa di distruzione dei dati, valutando attentamente i supporti, i processi in gioco e le aree di competenza e di business (archivi, cloud, BYOD, dati obsoleti, ecc.)
  • comunicare la politica di cancellazione sicura dei dati a tutti i dipendenti e collaboratori
  • utilizzare fornitori accreditati che possano distruggere in modo sicuro qualsiasi tipo di dato, magari utilizzando strumenti particolari in grado di garantirne il processo
  • alla fine del processo di cancellazione sicura dei dati è bene rilasciare (o farsi consegnare) un “certificato di distruzione”

data wiping

Come effettuare una cancellazione sicura dei dati

Per supporti come Hard Disk, nastri, CD e DVD non basta una semplice cancellazione dei file, ma è necessario effettuare un processo di wiping (sovrascrittura casuale di una serie di bit sull’unità) o in casi estremi avviare procedure di distruzione del supporto.

Per CD, DVD e nastri è invece indispensabile la tecnica del degaussing, ovvero da smagnetizzazione del supporto.

La procedura approvata dal NSA è quella di utilizzare un HDD Shredder, per intenderci basta buttarli in una macina come quella che si usa per sminuzzare i copertoni prima del riciclo della gomma.

Per dischi virtuali, cloud e virtualizzazione, ed in genere archivi digitali delocalizzati, l’unico modo è richiedere al fornitore un certificato di eliminazione dei dati secondo procedure standardizzate quali ISO27001 e ISO27040.

La distruzione di documenti cartacei è una attività estremamente delicata e bisogna seguire procedure specifiche che siano a norma DIN 66399, iniziando ad acquistare una semplice distruggi documenti, che hanno vari livelli di protezione, dalle classiche striscioline al taglio sminuzzato con particelle più piccole di 5mm2.

Insomma per effettuare una vera Data Protection, bisogna adottare misure a prova di spia.

Conclusione (quella vera)

Siamo arrivati alla conclusione di quella che è la nostra interpretazione del GDPR, ovviamente rimane fermo il nostro invito a rivolgerti ad un consulente legale, in quanto il nostro lavoro è quello di creare le soluzioni in pratica che chi di mestiere ci indica di implementare, che si tratti di un sito web o un software.

Ti ringraziamo per aver letto tutti e 3 gli articoli, speriamo ti siano d’aiuto. Ovviamente qualche altro articolo su questo tema salterà fuori, magari qualcosa di pratico. Se vuoi aggiungere qualcosa, segnalare errori, usa la sezione commenti oppure contattaci anche per avere una consulenza per adeguare ad esempio il tuo sito web.

 

CONTATTAMI

 

Se l'articolo ti è piaciuto condividilo sui tuoi social preferiti, segui anche i nostri profili social e non perderti i prossimi interessanti argomenti! Puoi anche lasciare un commento per farci sapere cosa ne pensi.

 

Letto 499 volte Ultima modifica il Giovedì, 02 Agosto 2018 15:49
Vota questo articolo
(0 Voti)

Lascia un commento

Assicurati di aver digitato tutte le informazioni richieste, evidenziate da un asterisco (*). Non è consentito codice HTML.