Durante lo svolgimento lavorativo per l’ICT-Information and Communications Technology, ossia la Tecnologia dell’Informazione e della Comunicazione, incontriamo la Compliance aziendale, cioè l’insieme di processi e procedure che un’azienda implementa per assicurarsi di rispettare leggi, regolamenti e normative pertinenti al suo settore. I principi relativi al trattamento dei dati personali sono posti al centro del Regolamento Generale sulla Protezione dei Dati (GDPR). L’art. 5 del GDPR fissa sette principi chiave relativi al trattamento dei dati personali, che devono essere rispettati dagli operatori economici (titolari e responsabili del trattamento) quando trattano dati personali:
- Liceità, correttezza e trasparenza;
- Limitazione della finalità;
- Minimizzazione dei dati;
- Esattezza;
- Limitazione della conservazione;
- Integrità e riservatezza;
- Responsabilizzazione.
I suddetti principi di trattamento dei dati personali costituiscono il punto di partenza per la conformità al GDPR. Si tratta di principi fondamentali che mirano a il rispetto delle norme sulla protezione dei dati personali e a tutelare i diritti delle persone (soggetti interessati).
Comprendere i principi del trattamento dei dati personali è essenziale per capire gli obblighi del GDPR. Prima di qualsiasi trattamento di dati personali, le aziende (titolari del trattamento) devono chiedersi se tale trattamento sia lecito, corretto, trasparente, necessario per raggiungere uno scopo specifico, se i dati personali in possesso della società siano accurati, se siano conservati solo per il tempo strettamente necessario per realizzare una specifica finalità e se siano state adottate misure adeguate per mantenere i dati personali al sicuro.
Tutte le informazioni rivolte agli interessati devono essere rese disponibili in un unico luogo o in un documento completo, in modo conciso e trasparente, per evitare la saturazione delle informazioni. Il Regolamento Generale sulla Protezione dei Dati non specifica come debba essere definito questo documento, ma nella prassi viene comunemente chiamato informativa privacy o dichiarazione sulla privacy.
Le informazioni contenute in tale documento devono essere chiaramente distinte da altre informazioni non correlate alla protezione dei dati personali, come i termini contrattuali o le condizioni generali di utilizzo.
Molto spesso gli imprenditori commettono errori sul trattamento dei dati personali nell’ambito, ad esempio, delle condizioni generali di utilizzo. L’informativa sulla privacy deve essere un documento separato, facilmente e pubblicamente accessibile agli interessati, ad esempio in calce al sito web, su ogni sito web.
Alcune delle misure e degli strumenti utili per dimostrare la compliance rispetto al regolamento generale sulla protezione dei dati
- Svolgimento di un’analisi approfondita delle attività di trattamento nell’organizzazione/società e una mappatura dei dati che consenta l’organizzazione e la gestione dei dati per scopi operativi e il monitoraggio dei flussi di dati;
- Implementazione di misure tecniche e organizzative adeguate
- Applicazione del principio di privacy by default
- Attuazione di norme e informative sulla privacy appropriate; disporre di una informativa privacy concisa, accessibile e trasparente, disponibile al pubblico, e di policy chiare di conservazione dei dati, policy di cancellazione dei dati, policy sulle richieste di accesso ai dati e policy sulla gestione delle richieste di diritti di protezione dei dati;
- Stipulare contratti chiari con i responsabili del trattamento che agiscono per conto del titolare del trattamento
- Conservare i registri delle attività di trattamento, ove opportuno;
- Nominare un responsabile della protezione dei dati e garantire il suo tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati.
- Adottare policy interne e condurre valutazioni d’impatto sulla protezione dei dati.
- Compliance a codici di condotta o schemi di certificazione;
- Registrare e, se del caso, segnalare le violazioni dei dati personali.
Gli obblighi derivanti dal principio di responsabilizzazione si applicano e si evolvono nel tempo, e il titolare del trattamento deve costantemente rivedere e aggiornare le proprie misure.
Se l’organizzazione/società dispone di un sito web ufficiale, il titolare del trattamento può utilizzarlo come primo punto di riferimento per gli utenti che desiderano saperne di più sulla policy privacy dell’organizzazione/società (titolare del trattamento) e sui dettagli di contatto del responsabile della protezione dei dati. Queste informazioni devono essere chiaramente visibili e facilmente accessibili.
Se la società tratta i dati personali attraverso i cookie sul sito web, in particolare allo scopo di generare informazioni analitiche che possono essere successivamente utilizzate per la pubblicità mirata, ciò deve essere chiaramente visibile ai visitatori del sito web quando vi accedono per la prima volta. È essenziale consentire ai visitatori del sito web di rinunciare facilmente ai cookie senza alcuna riduzione della qualità del servizio fornito dal sito stesso.
Cos’è la protezione tecnologica e integrata dei dati ?
La privacy by design e by default è parte integrante dell’attuazione del principio di responsabilizzazione. Si tratta di integrare la privacy in tutte le attività di trattamento dei dati. La privacy by design e by default non è un principio a sé stante, ma comprende tutti i principi di cui all’articolo 5 del Regolamento Generale sulla Protezione dei Dati e le misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati personali contro i rischi e ad assicurare che la società tratti solo i dati personali che sono necessari per ogni finalità specifica del trattamento.
Le società devono prendere in considerazione i principi di privacy by design e by default prima di iniziare a trattare i dati personali. Le società sono obbligate a implementare i principi di privacy by design e by default prima del trattamento, ma anche durante l’intero trattamento, verificando regolarmente l’efficacia delle misure di sicurezza scelte. Le misure che possono essere appropriate sono la riduzione della quantità di dati raccolti, l’uso di tecniche di pseudonimizzazione e il miglioramento delle misure di sicurezza.
Nel prossimo articolo andremo ad approfondire alcuni aspetti, buona lettura.