Posts

PILLOLE PRIVACY N° 12 – STRUMENTI E METODI

/in /by

PILLOLA 12

IL REGISTRO DEI TRATTAMENTI

TRASFERIMENTI DI DATI ALL’ESTERO

Il trasferimento di dati personali a un’entità o a una sede situata all’estero è ammesso in presenza di adeguate condizioni o garanzie.

Il Regolamento è ugualmente applicabile in tutti i paesi dell’Unione europea e, poiché le regole sono le stesse per tutti, il trasferimento all’interno di questi paesi è per definizione consentito.

Il discorso cambia quando i dati escono dai confini UE.

Diventa allora importante verificare se l’Autorità Garante ha emesso una decisione di adeguatezza per il paese destinatario dei dati; l’esistenza di una simile decisione attesta che le condizioni con le quali avvengono i trattamenti di dati personali all’interno di uno specifico stato sono state verificate e sono considerate congrue.

La situazione è diversa se tale decisione non esiste: in questi casi, spetta al titolare del trattamento verificare l’esistenza di forme di garanzia ammesse dalla legge (quali, ad esempio, la sottoscrizione di clausole contrattuali standard o l’esistenza di norme vincolanti d’impresa).

In assenza di garanzie adeguate di tutela dei diritti e delle libertà fondamentali degli individui, il trasferimento è vietato.

È compito del titolare del trattamento compiere le necessarie verifiche e agire nel rispetto della legge.

AFFIDAMENTO A TERZI DI TRATTAMENTI

È probabile che un’organizzazione decida di affidare, in tutto o in parte, operazioni di trattamento ad attori esterni; sia nel caso di esternalizzazioni complete di un servizio (pensiamo, ad esempio, all’elaborazione delle buste paga) sia nel caso di collaborazioni parziali (pensiamo, ad esempio, alla raccolta dei dati di possibili donatori affidata dalle ONLUS a società specializzate), il titolare del trattamento deve fare in modo che il coinvolgimento di terzi avvenga con regole chiare e responsabilità definite.

L’affidamento a terzi non può essere fatto a cuor leggero ma presuppone una serie di verifiche preliminari, a carico del Titolare, relativamente alla competenza e alla sicurezza offerta dal soggetto scelto.

Il terzo deve essere inoltre nominato, mediante atto formale, Responsabile del trattamento. La nomina riporta informazioni dettagliate sugli obblighi assunti e sul rapporto che lega le due parti e l’accordo è formalizzato mediante un contratto o un atto giuridico, che  contiene una descrizione dettagliata delle attività di trattamento che saranno svolte dal Responsabile esclusivamente dietro istruzione documentata del Titolare.

Il Responsabile dovrà garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza e dovrà impegnarsi a non affidare ad altri Responsabili specifiche attività di trattamento senza la preventiva autorizzazione del Titolare. Eventuali affidamenti a cascata dovranno essere formalizzati sulla base di contratto o atto giuridico che contenga gli stessi obblighi, in materia di protezione dati, sottoscritti dal terzo con il Titolare.

Il Responsabile ha l’obbligo di cancellare o restituire i dati in suo possesso al termine delle attività di trattamento effettuate per conto del Titolare e di assisterlo nel dare seguito alle richieste per l’esercizio dei diritti dell’interessato; tra le altre cose, deve garantire la sicurezza del trattamento e collaborare per la notifica di violazioni dei dati personali.

Il Responsabile, inoltre, può incorrere in sanzioni amministrative rilevanti in caso di violazioni degli obblighi previsti dalla normativa.

… (continua)

PILLOLE PRIVACY N° 11 – STRUMENTI E METODI

/in /by

Pillola 11

IL REGISTRO DEI TRATTAMENTI

PROTEGGERE I DATI, CONSERVARLI E CANCELLARLI.

Le scelte in merito al livello di protezione necessario per rendere sicuro il trattamento dei dati personali sono molto importanti.

Il tema della sicurezza e della misure di protezione tecniche e organizzative è molto complesso e non può essere esaurito in poche righe.

Quello che ci interessa sottolineare è che la sicurezza del trattamento è fatta di tante componenti, la cui criticità e rilevanza strategica variano in funzione del modo di funzionare  dell’organizzazione e del contesto in cui opera.

Coloro che, per esempio, raggiungono i propri clienti attraverso un sito dedicato e svolgono il proprio business essenzialmente attraverso internet, dovranno porre particolare attenzione alle scelte relative alla infrastruttura di rete e all’architettura IT (hardware e software) necessarie a garantire un trattamento sicuro; coloro che , al contrario, utilizzano la tecnologia limitatamente ad alcuni ambiti e funzioni (pensiamo, per esempio, a una scuola) dovranno porre la massima attenzione soprattutto alla organizzazione del lavoro e alla instaurazione di comportamenti “virtuosi” di tutte le parti coinvolte nel trattamento.

Le scelte in merito alle migliori modalità di conservazione dei dati sono, anch’esse, fortemente dipendenti dal contesto in cui opera il titolare del trattamento.

È possibile, per esempio, separare i dati sanitari o altre informazioni sensibili dai dati comuni, utilizzando archivi diversi e protezioni specifiche (quali ad esempio crittografia o pseudonimizzazione) per ridurre i rischi legati a possibili violazioni dovute a intrusioni o comportamenti scorretti.

È invece richiesto dal Regolamento, e perciò obbligatorio, rispettare i termini di cancellazione dei dati personali dichiarati nelle informative.

Capita spesso che i dati, archiviati elettronicamente o in cartaceo, non siano cancellati. In alcuni casi, i titolari non sanno neanche quali siano esattamente i dati di cui sono in possesso e in quali archivi si trovino. Questo, con il Regolamento, non sarà più possibile.

… (continua)

PILLOLE PRIVACY N° 10 – STRUMENTI E METODI

/in /by

PILLOLA 10

IL REGISTRO DEI TRATTAMENTI

Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.

Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.

È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.

La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.

In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:

  • fare un censimento dei dati trattati, identificandoli in base alla categoria;
  • identificare le categorie di interessati al trattamento;
  • avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
  • indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.

Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!

Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.

  • CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.

L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.

È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.

Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.

Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.

… (continua)

IL REGISTRO DEI TRATTAMENTI

/in /by

Secondo il Regolamento Europeo sulla protezione dei dati personali (GDPR), Titolari e Responsabili del Trattamento, e se del caso i loro Rappresentanti, ciascuno per la propria parte, hanno l’obbligo di compilare in forma scritta, anche elettronica, il Registro delle attività di trattamento svolte dall’organizzazione. È prevista una deroga per le organizzazioni con meno di 250 dipendenti, se:

  • le attività di trattamento effettuate non presentano un rischio per i diritti e le libertà dell’interessato;
  • il trattamento è occasionale o non include particolari categorie di dati (tutti quelli atti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ovvero informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale della persona) e non includa dati genetici o biometrici;
  • il trattamento è occasionale o non include dati personali relativi a condanne penali e a reati.

Il Registro contiene una serie di informazioni che differiscono leggermente tra di loro a seconda che il compilatore sia il Titolare o il Responsabile. Esso, su richiesta, deve essere messo a disposizione dell’Autorità Garante.

Di seguito spieghiamo brevemente quale sia l’utilità di questo documento e quali sono i benefici derivanti dalla sua compilazione.

Costruire il Registro dei Trattamenti significa comporre una mappa che contiene tutte le informazioni in merito a:

  • le operazioni che l’organizzazione effettua sui dati personali;
  • le caratteristiche dei dati personali oggetto di trattamento;
  • le entità coinvolte nel trattamento dei dati personali.

Un Registro ben scritto, ben tenuto e mantenuto, è il primo passo verso la conformità e un’ottima occasione per fare ordine.

Molte organizzazioni non sono consapevoli della quantità di informazioni personali di cui sono in possesso e, spesso, non sanno neanche con certezza dove e a quale scopo siano conservate.

Per questo, decidere di dedicare del tempo a reperire le informazioni e a metterle ordinatamente su carta o su un foglio elettronico permetterà di:

  • avere una chiara rappresentazione di come i dati personali sono elaborati, protetti, archiviati ed eliminati;
  • disporre di un patrimonio sempre aggiornato di conoscenza condivisa;
  • intervenire in modo mirato soltanto dove ce ne sia un effettivo bisogno;
  • apportare migliorie ai processi, ottimizzando tempo e risorse.

Il Registro dei Trattamenti può  quindi essere un’ottima base di partenza nella gestione dei dati personali per ogni tipo di organizzazione, qualunque siano le sue dimensioni e il suo giro d’affari.

Per maggiori informazioni sul Registro dei trattamenti e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/