Unique go phygital

Come applicare il Regolamento Europeo sulla privacy in 7 passi

Gli step fondamentali per la compliance al GDPR

Definito cos’è il GDPR e compresa la sua utilità nella strategia di Inbound Marketing, a cosa serve e come funziona, capiamo quali sono i 7 step fondamentali da seguire per la compliance al GDPR.

Come mettere la propria azienda e la strategia di marketing al sicuro

Indice

GDPR Passo 1: la mappatura

È di fondamentale importanza raccogliere le informazioni necessarie per mappare le attività di trattamento di dati personali che l’azienda gestisce, ma esistono delle differenze se:

L’azienda ha più di 250 dipendenti

In questo caso ha senso incaricare sin da subito un responsabile e trovare un partner valido che sappia guidare l’organizzazione nel processo di adeguamento. Le operazioni di messa in conformità potrebbero rivelarsi particolarmente complesse e onerose, meglio affidarsi ad esperti. Sarà inoltre necessario predisporre e mantenere aggiornato un registro dei trattamenti e assicurarsi che si rispettino i principi previsti dal regolamento.

L’azienda ha meno di 250 dipendenti

In questa seconda ipotesi, se l’azienda non fa trattamento di dati sensibili e/o giudiziari, allora tutto è molto più semplice.
Anche se non è obbligatorio, consigliamo di predisporre un registro delle attività, sarà molto utile!
Ciò consentirà di avere una mappatura dei trattamenti utile per le altre attività di adeguamento e per dimostrare la conformità.

Gli elementi base del registro dei trattamenti

Tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’azienda – sia essa un’azienda, un ente o un’associazione – dovranno essere tracciate e per farlo il Titolare del trattamento e gli eventuali responsabili sono tenuti a utilizzare il registro dei trattamenti.

Cosa deve contenere il registro dei trattamenti?

Sul registro andranno indicate tutte le finalità del trattamento, ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie a verificare che gli obblighi normativi previsti dal GDPR siano costantemente rispettati.

Chi è obbligato a tenere il registro dei trattamenti?

Il General Data Protection Regulation, all’articolo 30 comma 5, non definisce obbligatoria la tenuta del registro ed esonera le imprese con meno di 250 dipendenti, ad eccezione però di quelle che effettuano un trattamento che può rappresentare un rischio per i diritti e le libertà dell’interessato o che coinvolge in modo non occasionale dati particolari.
Il numero dei dipendenti diventa determinante per l’obbligatorietà della tenuta del registro solo se i trattamenti a rischio non vengono effettuati. Ovviamente tutte le organizzazioni che hanno dei dipendenti di cui trattano anche dati sanitari e quindi particolari saranno obbligate a tenere il registro dei trattamenti.

In sintesi, ecco cosa contiene il registro dei trattamenti:

  • I differenti trattamenti di Dati personali: cosa fa l’azienda con i dati raccolti
  • Le categorie di interessati e di dati personali trattati: gruppi di utenti
  • Le finalità del trattamento: per quale motivo l’azienda tratta i dati
  • I soggetti interni ed esterni coinvolti nel trattamento di dati, tra cui l’elenco degli incaricati: chi lavora o collabora con l’azienda
  • Il flusso di dati, in caso di trasferimento di dati extra UE
  • Il luogo in cui i dati sono conservati: server, applicativi, cloud, faldoni, social network, provider, gestionali…
  • Il tempo di conservazione per ciascuna categoria di dati: per quanto tempo realisticamente è utile e necessario conservare i dati
  • Le misure di sicurezza adottate per minimizzare i rischi: antivirus, crittografia, separazione dei dati, ecc…

CONSIGLIO

Il GDPR introduce il principio di protezione dei dati “by Design”, ovvero progettare (cioè prima di raccogliere e trattare dati) le procedure, in modo che diventino parte
dell’organizzazione e quotidianità in tutte le soluzioni (sito web, software, applicazioni, ambienti di lavoro, etc.), ad esempio attraverso le seguenti attività:

  • pseudonimizzazione rendendo anonimi i dati;
  • crittografia del database;
  • predisposizione della cancellazione automatica dei dati dopo un dato periodo;
  • sistema integrato per la registrazione e gestione dei consensi;
  • predisposizione di informative chiare ed esaustive;
  • implementazione di processi di backup e ripristino dei dati.

OBBLIGO

Il titolare deve adottare alcune misure di default per garantire che siano trattati solo i dati personali necessari.
Dalla raccolta alla cancellazione dei dati e non soltanto durante l’elaborazione:

  • raccogliere solo i dati necessari
  • rendere i dati anonimi
  • definire il tempo di conservazione
  • autorizzare all’accesso ai dati i soli collaboratori incaricati
  • predisporre incarichi temporanei per accessi effettuati da personale estraneo all’organizzazione e non incaricato.

GDPR Passo 2: individuare ruoli, responsabilità e compiti

Il Titolare

Fermo restando che “chi rischia” resta sempre e soltanto il Titolare, è possibile per un’azienda incaricare dei responsabili per svolgere le attività di attuazione e controllo.

Quali ruoli sono in carico al Titolare:

  • implementare le opportune misure di sicurezza tecniche e organizzative;
  • promuovere adeguate politiche in materia di protezione dei dati;
  • proteggere i dati;
  • dimostrare la conformità.

RICORDA: le misure che adotti devono tener conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, ma anche del rischio per i diritti e le libertà delle persone fisiche di cui conservi e tratti i dati.

Inoltre il Regolamento stabilisce che il soggetto interessato può richiedere al Titolare il risarcimento dei danni subiti da un trattamento; in tal caso il Titolare è tenuto a risponderne direttamente e interamente.

Il Responsabile

Il Titolare può incaricare un Responsabile del trattamento (interno o esterno), quindi può affidare ad un suo collaboratore (o più di uno se svolgono diverso trattamenti) il compito, ma deve farlo con un contratto o altro atto giuridico.

Cosa va messo “nero su bianco”?

  • L’oggetto del trattamento, la durata, la natura e la finalità;
  • il tipo di dati personali e le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento e del responsabile del trattamento.

Come comportarsi con i fornitori esterni?

Il Titolare o il Responsabile del trattamento possono avvalersi ovviamente di “altri” esterni (commercialista, studio paghe, la società di videosorveglianza, la web agency, avvocato,… ), ma occorre regolarizzare l’incarico con un contratto, trasferendo gli stessi obblighi definiti internamente.

Quali sono gli obblighi da regolamentare nel contratto (o altro atto):

  • trattare i dati personali eseguendo le istruzioni fornite dal titolare;
  • rendersi disponibile a Audit di verifica da parte del titolare del trattamento;
  • cooperare con l’Autorità di Vigilanza;
  • assicurare che le persone autorizzate a trattare i dati personali si siano impegnate a rispettare vincoli di riservatezza;
  • su richiesta del titolare cancellare o restituire i dati personali al termine del trattamento;
  • avvertire il titolare del trattamento immediatamente dopo aver riscontrato il verificarsi di una violazione dei dati;
  • implementare e mantenere tutte le misure tecniche e organizzative adeguate;
  • fornire al titolare qualsiasi informazione necessaria per dimostrare il rispetto del Regolamento;
  • designare un Responsabile della Protezione dei Dati (DPO), nei casi in cui è richiesto;
  • assistere il titolare del trattamento per la gestione delle richieste di diritto d’accesso e per gli altri obblighi imposti dal Regolamento;
  • tenere un Registro delle categorie di attività di trattamento dei dati personali svolte per conto del Titolare del trattamento

Il Responsabile interno del trattamento

Il Regolamento stabilisce che un soggetto che tratta dati personali per conto di un Titolare agisce in qualità di Responsabile.
Il Titolare potrà nominare soggetti interni Responsabili del trattamento, tuttavia su di essi non potranno ricadere i medesimi compiti previsti dal GDPR per i Responsabili Esterni.

Soggetti autorizzati al trattamento

Qualsiasi persona che agisca sotto l’autorità del Titolare del trattamento o Responsabile, che ha accesso ai Dati personali, può trattarli solo su istruzione del Titolare o se è imposto dalla legge o degli Stati Membri dell’Unione.

Il Regolamento introduce il principio di “Contitolarità” quando due o più soggetti possono svolgere dei trattamenti congiunti. I Contitolari devono stabilire mediante un accordo interno:

  • le rispettive responsabilità in relazione agli obblighi in materia di protezione dei dati;
  • il soggetto che sarà individuato come punto di contatto unico per l’esercizio dei diritti degli interessati;
  • le modalità per l’espletamento delle richieste di diritto d’accesso ai dati;
  • le modalità per fornire un’adeguata informativa agli interessati;
  • i rispettivi ed effettivi ruoli dei contitolari, soprattutto nei confronti degli interessati.
RICORDA: il contenuto essenziale dell’accordo deve essere reso disponibile agli Interessati.

Il DPO – Data Protection Officer

Ai fini della gestione dei Dati Personali raccolti presso l’azienda, il GDPR ha previsto l’individuazione del DPO – DATA PROTECTION OFFICER – che esercita funzione di informazione, consiglio e controllo interno.

Il DPO è il soggetto a cui il Titolare o il Responsabile si affidano per garantire la conformità dell’organizzazione ai requisiti stabiliti dal Regolamento.
Il DPO agisce in modo indipendente e riferisce direttamente ai vertici.
È designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa, delle prassi in materia di protezione dei dati e della capacità di assolvere i compiti di cui all’art. 39 GDPR.

È obbligatorio se l’azienda:

  • È un organismo pubblico
  • Esercita come attività principale un trattamento che comporta la sorveglianza regolare e sistematica di soggetti su larga scala
  • Esercita come attività principale un trattamento di dati particolari o giudiziari su larga scala.

 

Se l’azienda non rientra formalmente nell’obbligo di nominare un DPO può individuare uno o più soggetti, siano essi esterni o interni all’organizzazione, che si occupino degli adeguamenti al Regolamento Europeo.

Compiti e responsabilità del DPO

 
COMPITI
  • Informare e consigliare il titolare sugli obblighi concernenti il Regolamento
  • Assicurare la messa in opera degli adeguamenti
  • Istruire i soggetti interni all’azienda sui requisiti da rispettare per la protezione dei dati personali
  • Sorvegliare il rispetto del Regolamento
  • Dialogare con le autorità competenti e i soggetti interessati, ove necessario
  • Comprendere i rischi connessi al trattamento dei dati personali e suggerire le misure per contenerli.
 
RESPONSABILITÀ

Il controllo del rispetto del regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il GDPR chiarisce che il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del Titolare del trattamento, non del DPO.
In caso di inadempimenti derivanti da colpa o dolo del DPO, il Titolare o il Responsabile potrà avanzare pretese risarcitorie a titolo di responsabilità contrattuale.

 

Al DPO è consentito “svolgere altri compiti e funzioni”, ma a condizione che il Titolare o il Responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”.

L’assenza di conflitti di interessi è strettamente connessa agli obblighi di indipendenza.
Ciò significa, in modo particolare, che un DPO non può rivestire all’interno dell’organizzazione del titolare o del responsabile un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

Le tipologie di DPO

Soggetto interno

Già presente in azienda appositamente selezionato per ricoprire tale carica.
Può svolgere ulteriori compiti che esulano dalla protezione dei dati, purché sia garantita l’assenza di conflitti di interesse e deve operare con un grado sufficiente di autonomia.

Soggetto esterno

La funzione di DPO può essere affidata ad un soggetto esterno all’organismo o all’azienda titolare/responsabile del trattamento, sulla base di un contratto di servizi.

Persona fisica o giuridica

La funzione di DPO può essere esercitata da una persona fisica o giuridica.
È indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i requisiti applicabili: per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi.

Team

Per favorire una corretta e trasparente organizzazione interna e prevenire conflitti di interesse a carico dei componenti si raccomanda di procedere a una chiara ripartizione dei compiti all’interno del team DPO e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun Titolare.

Condiviso

Può essere designato da associazioni e altri organismi di categoria solamente nei casi in cui NON rientri nell’obbligo di nomina, tenuto conto della struttura organizzativa e delle dimensioni. Assicura supporto alle aziende che decidono di usufruire della sua funzione e di aderire al relativo Codice di Condotta.

GDPR Passo 3: definire e attuare gli adempimenti per priorità d’azione

Dopo aver mappato i trattamenti, è necessario identificare per ciascuno di questi le attività da effettuare per essere conformi al Regolamento.
Gli adeguamenti dovranno essere categorizzati per priorità in base ai rischi per i diritti e le libertà dei soggetti.

Le principali attività saranno:

  • assicurarsi che siano trattati solo i dati personali strettamente necessari alle finalità di trattamento;
  • identificare la base giuridica del trattamento (consenso, interesse legittimo, contratto, obblighi legali);
  • revisionare tutte le informative per essere conformi al Regolamento;
  • regolamentare i rapporti con i Responsabili del trattamento;
  • verificare che gli incaricati del trattamento siano a conoscenza degli obblighi in materia di protezione dei dati personali e che siano presenti clausole di riservatezza;
  • prevedere le modalità d’esercizio dei diritti degli interessati;
  • valutare e adottare le misure di sicurezza adeguate.

 

Se l’azienda tratta dati particolari o giudiziari, effettua attività di sorveglianza sistematica di un’area accessibile al pubblico, svolge attività di valutazione sistematica di aspetti personali dei soggetti, tra cui la profilazione o trasferisce dati personali fuori dall’UE, dovrà ottemperare ad ulteriori adempimenti:

  • valutazione di impatto per la protezione dei dati personali (PIA);
  • informative specifiche e dettagliate;
  • raccolta di consensi specifici;
  • garanzie per il trasferimento dei dati Extra UE;
  • determinazione delle misure di sicurezza adeguate da mettere in atto in considerazione dei rischi.

GDPR Passo 4: definire misure di sicurezza adeguate e gestione dei rischi

Se sono stati individuati trattamenti di Dati Personali suscettibili di generare dei rischi elevati per i diritti e le libertà dei Soggetti Interessati, dovrà essere eseguita, per ognuno dei trattamenti, un’analisi d’impatto sulla protezione dei dati.

Gestire i rischi

Ogni Titolare del trattamento dovrà determinare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e al trattamento

I suoi compiti

La DPIA è una procedura che ha lo scopo di costruire e dimostrare la Compliance ai requisiti del Regolamento 679/2016.

È un importante strumento di Accountability (la responsabilità, da parte degli amministratori che impiegano risorse finanziarie pubbliche, di rendicontarne l’uso sia sul piano della regolarità dei conti sia su quello dell’efficacia della gestione) e si realizza attraverso:

  • la valutazione delle attività di cui si compone il trattamento dei dati personali alla luce dei principi di necessità e proporzionalità;
  • la gestione dei rischi nei confronti dei diritti e libertà individuali derivanti dal trattamento dei dati personali.

Come eseguire una DPIA

Non è obbligatorio per ogni operazione, ma soltanto quando il trattamento dei dati ha un’alta probabilità di rischi nei confronti dei diritti e libertà individuali derivanti dal trattamento dei dati personali, sebbene in termini di buona prassi costituisca un modo per il Titolare/Responsabile di dimostrare responsabilità e trasparenza attraverso la predisposizione di misure di sicurezza adeguate al contesto e al rischio.

Alta probabilità di rischio: i criteri da considerare

  • Decisioni automatiche che producono sui soggetti interessati degli effetti legali o simili. Per esempio una decisione potrebbe produrre degli effetti discriminatori o di esclusione nei confronti di individui
  • Valutazioni o Registrazioni, inclusa profilazione, di aspetti che riguardano le performance lavorative, la salute, le condizioni economiche, gli interessi personali ecc…
  • Controllo sistematico utilizzato per osservare e controllare i soggetti interessati
  • Trasferimento dei Dati al di fuori dellUnione Europea
  • Dati trattati su larga scala
  • Usi innovativi e applicazione di soluzioni tecnologiche
  • È necessaria una DPIA in quanto dalle nuove tecnologie possono generarsi forme nuove di raccolta dati e utilizzo di dati
  • Dati che riguardano “Soggetti Vulnerabili” è necessaria una DPIA a causa dello squilibrio tra le posizioni del Data Controller e dei soggetti interessati
  • Set di Dati originati per esempio dalla combinazione di due o più operazioni nel trattamento di Dati con finalità diverse o ad opera di differenti Titolari e/o Responsabili
  • Quando il trattamento in sé non consente ai soggetti interessati di esercitare un diritto o utilizzare un servizio o un contratto
  • Dati sensibili

Misure tecniche e organizzative

Il Regolamento introduce l’obbligo di attuare misure di sicurezza ADEGUATE in considerazione dei seguenti elementi:

  • Lo stato dell’arte e i costi di attuazione
  • La natura e il campo di applicazione del trattamento
  • Il contesto e le finalità del trattamento
  • Il rischio, la probabilità e la gravità delle conseguenze per i diritti e le libertà delle persone

GDPR Passo 5: definire policy e procedure organizzative

Per garantire un adeguato livello di protezione dei dati personali, è necessario implementare procedure interne organizzative che tengano in considerazione qualsiasi evento che possa avere un impatto sul trattamento di dati personali nel caso si verifichi:

01.

Vulnerabilità

02.

Incidenti

03.

Violazione dei dati

04.

Esercizio dei diritti

Queste procedure interne devono comprendere:

  • Il rispetto del principio della protezione dei dati già in fase di progettazione di un’applicazione o di un trattamento
  • La formazione e la sensibilizzazione dei soggetti interni che trattano dati personali
  • La gestione dei reclami e delle richieste di esercizio dei diritti da parte degli interessati
  • La prevenzione e la gestione di violazioni ai dati personali, tra cui l’obbligo di notifica all’autorità Garante ed eventualmente agli interessati.

GDPR Passo 6: definire una procedura in caso di violazione dei dati

Procedura di Data Breach

Nel caso in cui si verifichi una violazione dei dati personali che possa in qualche modo tradursi in un rischio per i diritti e le libertà degli individui, qualsiasi Titolare del trattamento ha l’obbligo normativo di notificare l’avvenimento all’Autorità di controllo.

Il Titolare del trattamento è tenuto ad informare gli interessati tempestivamente se la violazione può comportare una grave ed elevata compromissione dei loro diritti e delle libertà, come nel caso di:

  • Danni fisici, materiali o morali
  • Limitazione dei diritti
  • Discriminazione
  • Furto o usurpazione d’identità
  • Perdita del controllo dei dati

 

Non è necessaria la comunicazione ai soggetti interessati se il Titolare del trattamento ha applicato le opportune misure tecnologiche e organizzative preventive (ad esempio la crittografia dei dati) o è stato in grado di evitare tempestivamente il verificarsi di rischi elevati.

Elementi essenziali da riportare all’interno della Notifica di violazione all’Autorità

  • La natura della violazione dei dati personali e le circostanze in cui si è verificata;
  • Il numero approssimativo di soggetti interessati coinvolti;
  • Le categorie e il numero approssimativo di registrazioni dei dati oggetto della violazione;
  • Iriferimenti del responsabile della protezione dei dati o di un altro punto di contatto;
  • Le probabili conseguenze della violazione dei dati personali;
  • Le misure già adottate o che il titolare intende adottare per ridurre le conseguenza e porre rimedio alla violazione dei dati personali.

Contromisure necessarie per la gestione di una violazione e per limitarne gli effetti

  • Misure tecniche che riconoscano all’istante la violazione e allertino prontamente il Titolare o il Responsabile
  • Sensibilizzazione dei responsabili del trattamento e dei soggetti autorizzati al trattamento, anche tramite adeguate privacy, affinché si possa agire correttamente e tempestivamente in caso di Data Breach
  • Misure atte a rendere non intellegibili e criptati i dati oggetti di violazione per chiunque non sia autorizzato ad accedervi
  • Mezzi adeguati per l’invio della comunicazione ai soggetti interessati quando dovuto, tenendo in considerazione che la violazione potrebbe anche compromettere i dati presenti a sistema.

GDPR Passo 7: documentare la conformità

Per dimostrare di essere conformi al GDPR è necessario raccogliere la documentazione necessaria.
Le attività e i documenti posti in essere in ogni fase del trattamento dovranno essere riesaminati e aggiornati regolarmente per assicurare una protezione dei Dati permanente.

Per provare la conformità al Regolamento, predisporre e tenere aggiornata la documentazione necessaria:

  • Documentazione attestante i trattamenti di dati personali svolti (registro delle attività di trattamento, valutazione d’impatto, la documentazione prevista per il trasferimento dei dati Extra UE)
  • Documentazione attestante il rispetto dei diritti e delle libertà dei soggetti interessati (le informative, i moduli di raccolta consensi, l’attestazione dei consensi raccolti, la gestione dei diritti esercitati)
  • Documentazione che definisce i ruoli e le responsabilità in materia di protezione dei dati personali (i contratti e le nomine dei responsabili esterni, la gestione degli incaricati del trattamento, le procedure interne, etc… )
  • Comprova delle misure di sicurezza tecniche implementate (analisi dei log, report, configurazioni, policy, etc…).

Scopri con noi come affrontare il tema del Regolamento per la Privacy e il Trattamento dei Dati nei tuoi progetti di Marketing online.

Il marketing oggi è fatto principalmente dall’utilizzo sapiente e intelligente dei dati, di cui occorre avere il controllo nel pieno rispetto delle leggi.

È una questione etica e di rispetto delle persone che si intende servire e trasformare in nuovi clienti.

fissa un appuntamento

Unique Go Phygital

Agenzia Digital Marketing Milano | Varese | Bologna

Da 28 anni Digital Marketing! Partner strategico per crescita e innovazione, combiniamo tecnologia, creatività e approccio data-driven per il successo dei nostri clienti.

Digital Strategy | Consulenza SEOMedia Plan e Campagne ADS | Content Marketing | CRO UI / UX | Consulenza Web Analytics | Sviluppo E-commerce | HubSpot Onboarding | Web Design | Inbound Marketing | Performance Marketing | Social Media Marketing | Lead Generation | Brand Identity | Odoo Onboarding|

Iscriviti alla newsletter

Resta aggiornato sui nostri contenuti digital e web marketing

Unique Go Phygital
CHI SIAMO

Presentazione

Team

Manifesto

Certificazioni

RISORSE
Guide & Template
INFO LEGALI

Informazioni Legali

Contatti Amministrazione

Privacy Policy

CONTATTI

Contattaci

Richiedi assistenza

Lavora con noi

Headquarter

Meeting Point Milano

Meeting Point Bologna

Lavora con noi

Facebook-f Linkedin-in Instagram Youtube

Varese    Milano    Bologna

P.IVA IT02917790129

INIZIA UN PROGETTO CON NOI!

Scopri di più