Autovalutazione della conformità normativa al GDPR

Dovresti pianificare un controllo delle informazioni in tutta l'azienda o all'interno di particolari aree organizzative. Questa attività potrebbe essere attuata da qualcuno che possiede una conoscenza approfondita delle tue pratiche di lavoro.

Il controllo delle informazioni comporterà la corretta identificazione dei dati trattati e il modo in cui entrano, fluiscono o escono dall'azienda.

Ricorda che un flusso di informazioni può anche essere un trasferimento di dati da una posizione a un'altra. Ad esempio, le informazioni potrebbero rimanere all'interno della tua attività ma il loro spostamento da un ufficio ad un altro fuori sede costituisce un flusso di informazioni.

Dopo aver completato il controllo delle informazioni in tuo possesso dovresti essere in grado di individuare eventuali rischi.

Dopo aver completato il controllo delle informazioni, è necessario documentare i risultati, ad esempio in un registro delle attività di trattamento.

Questo modo di agire ti aiuterà anche a rispettare il principio di responsabilizzazione del GDPR. Tale principo impone che la tua azienda sia in grado di dimostrare come rispetti i principi del GDPR, ad esempio disponendo di procedure e linee guida efficaci per il personale.

Nel registro dovresti tenere traccia almeno delle seguenti informazioni:

• il nome e i dettagli della tua attività, il tuo rappresentante (se necessario, perché sei stabilito fuori dalla UE) e il responsabile della protezione dei dati
• l'elenco dei trattamenti effettuati e l'indicazione per ciascuno di essi del responsabile del trattamento che hai designato
• informazioni dettagliate sui trasferimenti verso paesi terzi, compresa la documentazione relativa a eventuali misure di salvaguardia adottate
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

Se hai meno di 250 dipendenti, è necessario che tu mantenga tale registro per le attività di trattamento che:

• non sono occasionali
• potrebbero comportare un rischio per i diritti e le libertà degli interessati
• comportano il trattamento di categorie particolari di dati personali o relativi a condanne penali e reati

È possibile che ti venga richiesto di esibire il registro delle attività di trattamento da parte del Garante per la protezione dei dati personali.

Per trattare dati personali devi prima individuare il criterio di liceità su cui si fonda il trattamento stesso.

Ci sono sei criteri di liceità stabiliti dalla normativa e nessuno di questi è migliore o più importante degli altri. Il criterio più appropriato dipenderà dalle finalità del trattamento e dal rapporto che intercorre con l'interessato.

In sintesi, i sei criteri di liceità individuati dal GDPR sono i seguenti:

• Consenso: l'interessato ha espresso un consenso esplicito al trattamento dei propri dati personali per uno scopo specifico.
• Contratto: il trattamento è necessario per un contratto che hai stipulato con l'interessato o perché è parte delle attività precontrattuali necessarie alla sua stipula.
• Obbligo legale: il trattamento è necessario per il rispetto della legge (con esclusione degli obblighi contrattuali).
• Interesse vitale: il trattamento è necessario per proteggere la vita di qualcuno.
• Pubblico interesse: il trattamento è necessario per eseguire un compito di pubblico interesse o è svolto nell'ambito delle funzioni di autorità pubblica e il compito o la funzione ha una chiara base giuridica di riferimento.
• Legittimo interesse: il trattamento è necessario per i tuoi interessi legittimi o per gli interessi legittimi di una terza parte a meno che non vi sia una buona ragione per proteggere i dati personali dell'interessato che prevalga su tali interessi legittimi (non applicabile nel caso di autorità pubblica che tratta i dati nell'ambito della propria attività ufficiale).

Se si trattano categorie particolari di dati personali o relativi a condanne penali e reati è necessario individuare sia il criterio di liceità per il trattamento in generale sia una delle ulteriori condizioni previste (dagli articoli 9 e 10 del GDPR) per il trattamento di questo tipo di dati. È necessario fornire agli interessati informazioni su come si intendono trattare i loro dati personali e su quali criteri di liceità e condizioni si basa il trattamento.

Il GDPR stabilisce reqisiti rigorosi per la raccolta del consenso, ma ricorda che spesso non avrai bisogno del consenso degli interessati per il trattamento dei loro dati personali. Dovresti valutare se è più appropriato un altro criterio di liceità.

Raccogliere il consenso significa offrire agli interessati una scelta e un controllo autentici su come si utilizzano i loro dati personali. Puoi creare un clima di fiducia e migliorare la tua reputazione usando correttamente le modalità previste.

Il GDPR si basa su criteri precisi per il consenso in diverse aree e contiene punti molto dettagliati:

• Mantieni le richieste di consenso in evidenza e separate da altri termini e condizioni.
• Utilizza criteri di scelta positivi come caselle non selezionate o metodi attivi simili.
• Evita di rendere il consenso una condizione preliminare per l'erogazione del servizio.
• Sii specifico e dettagliato. Permetti agli interessati di acconsentire separatamente alle diverse finalità e tipo di trattamento ove opportuno.
• Fornisci il nome della tua attività commerciale e di qualsiasi terza parte identificata che tratterà i dati sulla base del consenso.
• Tieni traccia di ciò a cui un interessato ha acconsentito, incluso ciò che gli hai comunicato e quando e come ha manifestato il consenso.
• Informa gli interessati che possono revocare il consenso in qualsiasi momento e le modalità per mettere in pratica tale revoca.

I tuoi obblighi non finiscono con la semplice raccolta del consenso. È necessario continuare a rivedere il consenso nell'ambito di un rapporto continuativo con gli interessati: non rappresenta una casella nella lista di controllo per la conformità normativa da spuntare una tantum e archiviare.

Tieni sotto controllo il consenso e aggiornalo se cambia qualcosa. È necessario disporre di un sistema o di una metodologia per acquisire queste revisioni e registrare qualsiasi modifica.

Se la tua attuale raccolta del consenso non soddisfa gli elevati standard previsti dal GDPR o non è adeguatamente documentata, devi chiedere agli interessati un nuovo consenso conformemente al GDPR, identificare un diverso criterio di liceità per il trattamento dei dati personali (e assicurarti che la prosecuzione del trattamento sia corretta) o interrompere il trattamento stesso.

È necessario disporre di un valido criterio di liceità per il trattamento dei dati personali di un minore.

Se il trattamento si basa sul consenso e offri servizi online ai minori, ricorda che solo un bambino di età pari o superiore a 13 anni sarà in grado di fornire il proprio consenso validamente.

Considerato il punto precedente, dovrai quindi compiere sforzi ragionevoli per verificare che chiunque dia il proprio consenso sia abbastanza grande per farlo.

Per i minori di 13 anni è necessario ottenere il consenso di chiunque detenga la responsabilità genitoriale del minore, a meno che i servizi online offerti non abbiano finalità preventive o di assistenza (ad esempio per risolvere problemi personali, sociali o psicologici).

Considerato il punto precedente, è necessario compiere sforzi ragionevoli (utilizzando la tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.

Il criterio di liceità per interessi vitali si riferisce espressamente a chiunque, non solo all'interessato stesso. Questo criterio di liceità ha un ambito di applicazione molto limitato e generalmente si applica solo a questioni di vita o di morte. È probabile che sia particolarmente rilevante per le cure mediche di emergenza, quando è necessario trattare dati personali a fini medici ma l'interessato non è in grado di dare il consenso al trattamento. È improbabile che sia appropriato per l'assistenza medica ordinaria o per il trattamento su scala più ampia.

Poiché i dati relativi alla salute appartengono a una delle categorie particolari di dati è necessario identificare, oltre al criterio di liceità di cui al punto precedente e ai sensi dell'articolo 9 del GDPR, una condizione ulteriore per il loro trattamento.

È opportuno fornire adeguata assistenza al personale in modo che sia a conoscenza delle circostanze in cui è possibile applicare tale criterio di liceità per il trattamento.

È necessario effettuare un controllo dei trattamenti esistenti per valutare se ne è in corso qualcuno basato su questo criterio di liceità o è probabile che sia necessario intraprenderne in futuro. Dovresti quindi documentare i casi in cui applichi tale criterio e informare gli interessati ove necessario.

Il legittimo interesse rappresenta il criterio di liceità più flessibile per il trattamento dei dati personali, ma non puoi presumere che sia sempre il più appropriato. È probabile che sia appropriato se:

• usi i dati degli interessati in modi ragionevolmente prevedibili e con un impatto minimo sulla privacy
• esiste una giustificazione convincente per il trattamento

Il GDPR menziona specificamente l'uso dei dati dei clienti o dei dipendenti, il marketing, la prevenzione delle frodi, i trasferimenti all'interno di un gruppo o la sicurezza IT come potenziali legittimi interessi, ma questo non è un elenco esaustivo. Afferma anche che hai un legittimo interesse a divulgare informazioni alle autorità competenti su possibili atti criminali o minacce alla sicurezza.

Se vuoi basare un trattamento sul legittimo interesse devi eseguire un test di bilanciamento per valutare se prevale il tuo legittimo interesse o prevalgono i diritti degli interessati. Puoi utilizzare il seguente test in tre parti per valutare se è possibile applicare tale criterio. Dovresti eseguire il test di bilanciamento degli interessi contrapposti prima di iniziare il trattamento.

Prima parte - identificare i legittimi interessi:

• Perché vuoi trattare i dati? Cosa stai cercando di ottenere?
• Chi beneficia del trattamento? In quale modo?
• Ci sono benefici pubblici più ampi dal trattamento?
• Quanto sono importanti questi benefici?
• Quale sarebbe l'impatto se non potessi proseguire il trattamento?
• L'uso dei dati da parte tua sarebbe in qualche modo immorale o illegale?

Seconda parte - individuare le necessità:

• Questo trattamento aiuta effettivamente a soddisfare una necessità?
• È un modo ragionevole per farlo?
• C'è un altro modo meno invasivo per ottenere lo stesso risultato?

Terza parte - analisi costi benefici:

Valuta l'impatto del trattamento sugli interessati, se e quanto prevale sui legittimi interessi identificati. Potresti trovare utile analizzare i punti seguenti:

• Qual è la natura dei tuoi rapporti con l'interessato?
• Alcuni dei dati sono particolarmente sensibili?
• Le persone si aspettano che tu utilizzi i loro dati in questo modo?
• Trovi problematico descriverglielo o lo faresti con tranquillità?
• È probabile che alcune persone avanzino obiezioni o lo trovino invasivo?
• Qual è il possibile impatto sugli interessati?
• Quanto forte potrebbe essere tale impatto su di loro?
• Stai elaborando dati di minori?
• Qualche altro interessato appartiene a categorie vulnerabili di qualche altro tipo?
• È possibile adottare misure appropriate per ridurre al minimo l'impatto??
• Puoi offrire agli interessati la possibilità di sottrarsi al trattamento?

Se scegli di basare il trattamento sul criterio di liceità del legittimo interesse, ti stai assumendo la responsabilità aggiuntiva di prendere in considerazione e proteggere i diritti e il benessere degli interessati.