PRIVACY: GDPR ad un anno dalla sua ufficiale applicazione
È oramai passato più di un anno dall’ufficiale applicazione in tutti i Paesi membri dell’Unione europea del Reg. Ue 2016/679, che ha sostituito la pregressa normativa comunitaria 95/46/CE in materia di protezione dei dati personali con riguardo alle persone fisiche.
Molti sono gli adempimenti che si rendono obbligatori alla luce del riformato contesto normativo. Ogni Titolare del trattamento deve pertanto integrare le pregresse informative con i nuovi elementi richiesti dalla normativa di stampo europeo, individuando, tra l’altro, la corretta base giuridica che lo legittima a trattare in modo lecito i dati personali degli interessati. A proposito del consenso, laddove esso costituisca la base giuridica, è opportuno che il Titolare sia in grado di dimostrare a livello documentale che l’interessato ha acconsentito in maniera libera, informata, espressa ed esplicita allo specifico trattamento per il quale viene raccolto il consenso. Non è possibile ottenere un unico consenso per differenti tipologie di trattamento tutte soggette alla previa raccolta del consenso da parte dell’interessato. Per questa ragione il Titolare del trattamento, qualora in ipotesi intenda inviare una newsletter ai propri clienti tramite e-mail e al tempo stesso fare attività di profilazione, dovrà necessariamente raccogliere due distinti consensi.
È altresì doveroso che ogni Titolare rediga un proprio personalizzato registro delle attività di trattamento ex art. 30 del Reg. Ue 2016/679 al fine di prendere contezza della tipologia di trattamenti posti in essere all’interno del proprio contesto aziendale, dal quale desumere al tempo stesso le misure tecniche ed organizzative messe in atto per prevenire e/o arginare eventuali violazioni ai dati personali, gli interessati coinvolti, i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, i tempi di conservazione dei dati e l’eventuale loro trasferimento al di fuori dello SEE. Questi sono gli elementi che debbono necessariamente essere presenti all’interno del registro delle attività di trattamento, ben potendo, in ogni caso, il Titolare aggiungere ulteriori informazioni che ritiene essere rilevanti.
Al fine di poter completare detto documento cd. di censimento occorre innanzitutto che il Titolare del trattamento effettui ab origine una mappatura della propria realtà aziendale comprensiva altresì dell’individuazione dei rischi potenziali per la propria azienda e delle contromisure, di natura tecnica ed organizzativa, predisposte o che intende adottare al fine di prevenire e/o limitare le violazioni dei dati personali. Risulta quindi importante effettuare a monte un’analisi dei rischi. In alcuni casi può essere utile predisporre un ulteriore documento definito DPIA atto a documentare in maniera specifica e dettagliata le misure di sicurezza adottate con riferimento ad una particolare tipologia di trattamento che può comportare dei rischi maggiori per i diritti e le libertà degli interessati. L’art. 35 del Reg. Ue 2016/679 prevede comunque i casi in cui tale documento risulta un adempimento obbligatorio e non facoltativo per il Titolare del trattamento.
Al momento di mappare i flussi di dati all’interno del proprio contesto aziendale risulta imprescindibile comprendere al tempo stesso chi possa trattare i dati personali sotto la diretta autorità del Titolare e quali siano invece i soggetti esterni a cui i dati possono essere comunicati. Questo comporta la necessità per il Titolare del trattamento di procedere alla designazione dei soggetti autorizzati oltre che alla stipula di un contratto o altro atto giuridico ex art. 28 del Reg. Ue 2016/679 per regolare i rapporti con i Responsabili del trattamento ossia quei soggetti che svolgono un servizio in outsourcing per conto del Titolare.
Gli adempimenti sopra esposti riguardano non solo il Titolare del trattamento bensì anche il Responsabile del trattamento, che anzi dovrà tenere un registro delle attività di trattamento svolte per conto di ciascun Titolare del trattamento con cui ha stipulato un accordo ex art. 28 del Reg. Ue 2016/679.
Quanto alle misure di sicurezza, specificatamente richieste dall’art. 32 del Reg. Ue 2016/679 ed atte ad impedire una violazione dei dati personali, le stesse possono essere di carattere organizzativo quando concernono la sicurezza fisica. A tale riguardo è doveroso dotare i locali in cui sono conservati dati personali di chiusura a chiave con accesso consentito solo ai soggetti a ciò autorizzati e provvedere all’acquisto di corretti strumenti di smaltimento dei rifiuti cartacei ed elettronici. Nel caso di documenti cartacei è ad esempio utile munirsi di un trita-carte. Le misure di sicurezza tecniche sono invece quelle di carattere informatico. È, a tale fine, necessario garantire la sicurezza della rete, dotandosi di sistemi di autenticazione, di antivirus e di firewall e provvedendo ad aggiornare periodicamente le password ed i programmi in uso. Inutile ricordare quanto sia fondamentale altresì eseguire periodici backup dei dati personali conservati in modalità automatizzata al fine di evitare loro perdite anche accidentali.
Infine e non da ultimo ruolo cruciale è rivestito dalla formazione agli autorizzati, dal momento che spesso le violazioni ai dati personali sono causate proprio dal fattore umano. Occorre pertanto sensibilizzare in materia di protezione dei dati personali tutto il personale dipendente ed ogni altro soggetto inquadrato come autorizzato. Sul punto può essere utile dotarsi di un regolamento disciplinare interno di cui ogni autorizzato deve prendere visione al momento dell’accettazione del proprio incarico.
In conclusione, alla luce della complessità della materia che è stata fortemente innovata rispetto al passato, è consigliabile farsi assistere da un professionista al fine della corretta predisposizione della documentazione richiesta.