Sei un responsabile del trattamento? Qualche utile consiglio per rendersi conforme al GDPR

privacy shield trasferimento dati usa

Ci siamo quasi, il tempo concesso per adeguarsi al GDPR sta giungendo al termine e nel caso in cui l’abbiate dimenticato, ci sono nuove regole sulla protezione dei dati in arrivo anche per i responsabili del trattamento di dati personali.

Ma siamo sicuri di avere bene inteso chi sono i responsabili del trattamento?

Chiariamolo subito, qualora a qualcuno fosse sfuggito, scoprendo solo adesso di rientrare nella categoria.

Il responsabile del trattamento è quel soggetto persona fisica o giuridica, ente o organismo che tratta dati per conto di uno o più titolari del trattamento.

Volendo fare degli esempi, responsabile del trattamento è l’hosting provider nella sua qualità di soggetto che può, per ragioni connesse alla propria attività, entrare in contatto con i dati personali di clienti o fornitori dei propri clienti, il cloud services provider, il commercialista, il consulente del lavoro, la società che fornisce servizi di selezione del personale, la web agency di marketing e web marketing, la società che svolge per conto del titolare il servizio di email marketing, gli sviluppatori di software e applicazioni, nella misura in cui poi ne gestiranno la manutenzione e gli aggiornamenti, entrando in contatto con dati personali di clienti/fornitori/dipendenti dei propri clienti, i fornitori di servizi di outsourcing come ad esempio chi offre in licenza software e applicazioni come servizio (SaaS, Software as a Service).

Qualificarsi come titolare o responsabile del trattamento o ricoprire nel contempo entrambi i ruoli, dipende dal caso concreto, da ogni azienda e dai servizi che essa offre, tuttavia, generalmente è possibile affermare che se un’azienda fornisce un servizio che consente il trattamento di dati personali di clienti o dipendenti dei propri clienti (quindi tratta dati per conto di un altro), allora si è responsabile di dati e le nuove regole del GDPR si applicano all’attività da questi svolta. Tali soggetti possono a loro volta per trattamenti connessi alla propria organizzazione ricoprire in concomitanza anche il ruolo di titolari del trattamento. I responsabili sono dunque titolari del trattamento in relazione al trattamento di dati personali dei propri dipendenti, collaboratori, fornitori, partner.

Il responsabile del trattamento non è il responsabile della protezione dei dati personali. Si tratta, infatti, di due figure assolutamente diverse, che hanno funzioni diverse e responsabilità diverse in relazione al trattamento dei dati personali. Il responsabile del trattamento può anche dover designare, nell’ambito della propria attività di soggetto che gestisce i dati per conto di un titolare o in qualità di titolare del trattamento, un responsabile della protezione dei dati personali (DPO), nei casi stabiliti dall’art. 37 del GDPR.

Il responsabile del trattamento in relazione ai dati gestiti per conto di un titolare deve agire solo rispettando le istruzioni impartite dal titolare. In base alla legislazione precedente esistevano regole di base (principalmente riferite alla sicurezza dei dati) in vigore per quanto riguardava la relazione tra titolare e responsabile del trattamento, le responsabilità erano esclusivamente in capo al titolare del trattamento in caso di violazione della legge e il rapporto era gestito in termini privatistici, come un normale contratto. Con il GDPR, tutto è cambiato. Il Regolamento impone (Capitolo IV) controlli molto più severi sulla relazione tra titolari e responsabili e nuove e personali responsabilità per i responsabili del trattamento.

In sostanza, le nuove regole stabiliscono che:

  • il titolare garantisca che il trattamento svolto dal responsabile sia conforme al GDPR, il quale deve permettere al titolare stesso di mantenere la propria conformità alle norme;
  • il rapporto tra le due parti, titolare e responsabile del trattamento sia disciplinata da un accordo scritto, il cui contenuto è dettagliatamente definito nel GDPR (come stabilito nell’articolo 28).
  • nuove responsabilità anche di natura amministrativa per i responsabili del trattamento dei dati, come l’obbligatoria tenuta del registro dei trattamenti.

I responsabili del trattamento devono:

  • dimostrare di agire solo su istruzione documentata e verificabile dei titolari;
  • non utilizzare un sub-responsabile (subappaltatore) senza il consenso e l’autorizzazione scritta del titolare (che può essere contenuta anche nell’atto di designazione);
  • cooperare con l’autorità di vigilanza (Garante della privacy);
  • tenere un registro delle attività di trattamento (in determinate circostanze);
  • comunicare al titolare del trattamento se si verifica una violazione;
  • nominare un responsabile della protezione dei dati (quando ricorrono le circostanze di cui all’art. 37);
  • nominare un rappresentante dell’UE (se applicabile, quando non hanno una sede legale o stabile organizzazione in uno degli Stati dell’Unione);
  • effettuare la valutazione dei rischi (DPIA) nei casi in cui il trattamento dei dati comporta un rischio elevato per i diritti e le libertà degli interessati (si tenga presente che vi possono essere dei casi in cui un titolare non sia tenuto a procedere alla DPIA, mentre il responsabile, in ragione della propria attività, sì).

La mancata osservanza di queste regole può portare sanzioni e azioni legali a carico dei responsabili del trattamento.

Per chi ritiene di rientrare nel ruolo di responsabile del trattamento è consigliabile:

  • Formarsi sulle norme del GDPR cercando di comprendere quali impatti esso avrà sulla propria organizzazione aziendale in qualità di responsabile del trattamento.
  • Analizzare i processi di trattamento che si svolgono all’interno e all’esterno della propria organizzazione, dalla raccolta, alla conservazione e all’archiviazione dei dati. E’ necessario avere un quadro completo di tutti i processi in atto sui dati personali.
  • Verificare dall’interno le varie aree della propria struttura organizzativa per capire quali dati, sistemi, politiche, documenti, misure di sicurezza che sono in vigore rendono la struttura conforme al GDPR e in quali situazioni invece vi sono dei bug su cui intervenire.
  • Determinare quali cambiamenti devono essere messi in atto elaborando un piano di azione per assicurarsi di rispettare la scadenza della conformità, tenendo presente i doveri normativi che il GDPR impone ai titolari dei dati (ecco perché devi conoscere bene le norme e le linee guida del WP29).
  • Anche se si ritiene di non rientrare nell’obbligo, è opportuno elaborare un registro dei trattamenti, aiuterà ad avere una visione chiara della situazione, a tenerla sotto controllo nel monitoraggio periodico e soprattutto a provare che si sta prendendo sul serio la protezione dei dati (principio dell’accountability), non solo nei casi di ispezione e controllo dell’Autorità Garante, ma anche nel rapporto con i propri clienti.
  • Preparare le informative aggiornate, richiedere nuovamente i consensi se quelli già richiesti sono risultati non conformi e informare i propri clienti sul fatto che tali documenti sono disponibili, ad esempio rendendoli pubblici sul sito, invitando i clienti a prenderne visione, inviando loro una email.
  • Preparare una policy chiara e completa da fornire ai propri clienti e potenziali clienti a corredo dell’informativa, in modo che essi prendano cognizione di tutti gli aspetti del trattamento dei dati personali svolto e rendersi disponibile per ogni chiarimento sul tema. Allo stesso modo, nei confronti dei propri dipendenti e collaboratori.
  • Aggiornare i Termini e le condizioni generali dei propri contratti e comunicare ai propri clienti la necessità di prenderne visione.
  • Verificare i contratti con fornitori e partner, preparando degli allegati e aggiornando i contratti o redigendoli ex novo, informando di questa necessità.
  • Assicurarsi che tutti gli utenti dell’azienda abbiano almeno una conoscenza di base della conformità alla protezione dei dati. Fornire istruzioni e / o materiali di formazione relativi a GDPR, non solo consente di essere conformi alle norme, ma consentirà anche al proprio personale di comprendere quale ruolo gioca nell’ambito del trattamento dei dati e della loro protezione.
  • Verificare le misure di sicurezza impiegate e intervenire per ottimizzarle;
  • Assicurarsi di continuare a mantenere la propria conformità. La protezione dei dati non è un esercizio una tantum e sarà necessario assicurarsi di rimanere aggiornati in tutti gli sviluppi o le iniziative che hanno un impatto sul regime di protezione dei dati.

Sono rimasti solo pochi giorni alla definitiva entrata in vigore del GDPR, non farti trovare impreparato. Pochi giorni da dedicare all’adeguamento non sono di certo un modo giusto per affrontare la compliance. Le analisi, i questionari e le verifiche per essere produttive, richiedono i tempi giusti e devono essere svolte con una certa accuratezza.

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy