Sai davvero cosa deve fare il Titolare del Trattamento per rispettare il GDPR ?
In questo post rispondiamo alla domanda : cosa impone il Principio di Responsabilizzazione al Titolare del trattamento? O per dirla in parole povere, cosa devono fare i Titolari del trattamento per rispettare il GDPR ?

In questo post rispondiamo alla domanda : cosa impone ai Titolari del trattamento il Principio di Responsabilizzazione ? O per dirla in parole povere, cosa deve fare il Titolare del trattamento per rispettare il GDPR ?

Prima di cominciare vediamo chi e' il titolare del Trattamento e facciamolo citando la definizione presente nell'art. 4 del GDPR:

Il Titolare del trattamento (data controller) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
- GDPR art. 4.7
Informare gli interessati
Il titolare del trattamento dei dati personali è obbligato a fornire un'informativa agli interessati ai sensi dell'articolo 13 del GDPR. L'informativa deve contenere informazioni specifiche su come vengono trattati i dati personali dell'interessato, quali sono le finalità del trattamento, le categorie di dati personali coinvolte, la durata del trattamento, i destinatari o le categorie di destinatari a cui i dati vengono o saranno comunicati, e altre informazioni rilevanti a seconda delle circostanze specifiche. L'informativa deve essere fornita in modo chiaro e comprensibile e deve essere adeguata al livello di comprensione dell'interessato.
Analisi dei Rischi Privacy
ll GDPR impone ai titolari del trattamento dei dati di effettuare un'analisi dei rischi privacy prima di avviare qualsiasi attività di trattamento dei dati personali. L'analisi dei rischi privacy è un processo che consiste nell'identificare, valutare e gestire i rischi per la privacy derivanti dal trattamento dei dati personali. È un passo fondamentale per garantire che il trattamento dei dati sia effettuato in modo rispettoso della privacy dei singoli individui e che siano adottate adeguate misure di protezione per prevenire eventuali violazioni della privacy. Durante l'analisi dei rischi privacy, è importante tenere conto della natura dei dati personali che verranno trattati, delle finalità per cui verranno utilizzati, delle modalità di trattamento previste e del contesto in cui verranno effettuati. Inoltre, è necessario considerare i possibili rischi per la privacy che potrebbero derivare dal trattamento dei dati, ad esempio il rischio di una violazione della sicurezza dei dati (data breach) o il rischio di discriminazione degli individui.
DPIA (Valutazione di Impatto sulla Protezione dei Dati Personali, in inglese Data Protection Impact Assessment)
La Valutazione d'Impatto sulla Protezione dei Dati (DPIA, dall'inglese Data Protection Impact Assessment) è uno strumento previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) che serve a valutare l'impatto del trattamento dei dati personali sulla protezione dei dati e sulla privacy degli individui.
La DPIA è obbligatoria quando il trattamento dei dati personali presenta un rischio elevato per la privacy degli interessati, ad esempio in caso di trattamenti che coinvolgono grandi quantità di dati personali sensibili, o quando il trattamento è effettuato attraverso tecnologie innovative o in modo automatizzato. La DPIA consiste in un processo di valutazione dei rischi per la privacy derivanti dal trattamento dei dati personali, al fine di individuare le misure di protezione più adeguate a garantire la protezione dei dati personali e della privacy degli interessati. Nella DPIA vengono valutate le finalità del trattamento, le modalità di trattamento, le categorie di dati personali coinvolti e il contesto in cui il trattamento viene effettuato.
Il GDPR prevede che la DPIA sia effettuata prima di avviare il trattamento dei dati personali, al fine di garantire che il trattamento sia rispettoso della privacy degli interessati e che siano adottate adeguate misure di protezione dei dati personali. Inoltre, il GDPR prevede che la DPIA sia periodicamente riesaminata e aggiornata, al fine di tenere conto dei cambiamenti nel trattamento dei dati personali e di eventuali nuovi rischi per la privacy.
Il Registro delle Attività di Trattamento
Il Registro delle Attività di Trattamento (RAT, in inglese Record of Processing Activities) è uno strumento previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) che serve a documentare le attività di trattamento dei dati personali effettuate dai titolari del trattamento.
Del Registro abbiamo parlato dettagliatamente anche in questo post.
Il RAT è obbligatorio per tutti i titolari del trattamento dei dati personali che effettuano attività di trattamento su larga scala o che svolgono attività di trattamento che presentano un rischio elevato per la privacy degli interessati, ad esempio in caso di trattamenti che coinvolgono grandi quantità di dati personali sensibili o quando il trattamento è effettuato attraverso tecnologie innovative o in modo automatizzato. Il RAT è un documento che descrive le attività di trattamento dei dati personali effettuate dal titolare del trattamento, incluse le finalità del trattamento, le categorie di dati personali coinvolti, le categorie di interessati e gli eventuali destinatari dei dati personali. Inoltre, il RAT deve indicare le misure di sicurezza adottate per proteggere i dati personali durante il trattamento e le eventuali valutazioni d'impatto sulla protezione dei dati (DPIA) effettuate. Il GDPR prevede che il RAT sia aggiornato periodicamente e reso disponibile alle autorità competenti su richiesta. Inoltre, il GDPR stabilisce che il RAT debba essere conservato per almeno 5 anni dalla fine del trattamento dei dati personali.
Il Trasferimento di Dati all’estero
Il trasferimento di dati personali all'estero può essere effettuato solo se soddisfa determinate condizioni stabilite dal Regolamento Generale sulla Protezione dei Dati (GDPR). E’ un argomento molto dibattuto, soprattutto per quanto riguarda il trasferimento dei dati verso gli stati uniti (google analytics e Schrems vi dicono qualcosa ?)
Innanzitutto, il trasferimento di dati personali all'estero può avvenire solo se è necessario per l'esecuzione di un contratto o per l'adempimento di obblighi legali, o se è stato espressamente autorizzato dall'interessato. Inoltre, il GDPR prevede che il trasferimento di dati personali all'estero possa avvenire solo se il paese di destinazione garantisce un livello adeguato di protezione dei dati personali, oppure se il titolare del trattamento adotta specifiche misure di protezione dei dati, come ad esempio clausole contrattuali standard approvate dalla Commissione Europea o il Binding Corporate Rules (BCR). Le clausole contrattuali standard sono modelli di contratto che stabiliscono le condizioni per il trasferimento dei dati personali tra titolari del trattamento e responsabili del trattamento situati in paesi al di fuori dell'UE. Esse garantiscono che i dati personali trasferiti vengano trattati in modo rispettoso dei diritti degli interessati e delle disposizioni del GDPR. I BCR sono regolamenti interni adottati da aziende multinazionali che disciplinano il trasferimento dei dati personali tra le loro unità operative situate in paesi al di fuori dell'UE. I BCR devono essere approvati dalle autorità competenti per poter essere utilizzati come misura di protezione dei dati in caso di trasferimento di dati personali all'estero.
Violazioni dei Dati Personali (Data Breach)
In caso di violazione dei dati personali, ovvero di un evento che comporti la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali (nota come Data Breach), il titolare del trattamento dei dati è tenuto ad adottare specifiche misure per gestire la situazione e proteggere i dati personali degli interessati.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che il titolare del trattamento dei dati sia obbligato a notificare la violazione dei dati personali alle autorità competenti entro 72 ore dalla scoperta dell'evento, se possibile. Inoltre, il GDPR prevede che il titolare del trattamento debba informare gli interessati della violazione dei dati personali se essa presenta un rischio elevato per i loro diritti e libertà. Nella notifica alle autorità competenti e agli interessati, il titolare del trattamento deve fornire informazioni dettagliate sulla violazione dei dati personali, incluse le categorie di dati personali coinvolti, le conseguenze della violazione e le misure adottate o proposte per gestire la situazione e proteggere i dati personali degli interessati. Oltre alla notifica, il titolare del trattamento deve adottare misure immediate per gestire la violazione dei dati personali e minimizzare i possibili rischi per i diritti e le libertà degli interessati. Queste misure possono includere l'adozione di misure tecniche per bloccare l'accesso non autorizzato ai dati personali, il ripristino della sicurezza dei dati personali e la revisione delle procedure di sicurezza dei dati.
Nomine e Designazioni
il titolare del trattamento deve nominare un responsabile della protezione dei dati (DPO) se:
• il trattamento dei dati personali è una componente principale delle attività aziendali del titolare del trattamento
• il trattamento comporta il regolare e sistematico monitoraggio di data subjects su larga scala
• il trattamento comporta il regolare e sistematico trattamento di categorie particolari di dati personali, come quelli relativi a condanne penali e reati
Il DPO è responsabile dell'adeguamento del titolare del trattamento al GDPR e deve essere consultato in merito a tutte le questioni relative alla protezione dei dati personali. Il titolare del trattamento deve inoltre designare un rappresentante all'interno dell'UE se il titolare del trattamento è stabilito al di fuori dell'UE, ma offre beni o servizi a data subjects situati nell'UE o monitora il loro comportamento in tale area. Il rappresentante deve essere a disposizione dei data subjects e delle autorità di controllo per fornire informazioni sul trattamento dei dati personali e per agire come punto di contatto per le autorità di controllo. Quando applicabile, naturalmente sarà necessaria inoltre la nomina dei Responsabili del Trattamento e dei delegati.