Linee Guida dell’Autorità Garante Inglese – ICO

Di seguito elenchiamo i 12 punti tradotti in italiano  che la ICO – l’Autorità Inglese per la protezione dei dati personali – ha reso pubblico e che intende utilizzare per informare sulle novità introdotte dal GDPR.

(La traduzione come al solito è pedissequa, salvo alcune frasi perché di difficile traduzione, ma comunque non impattanti sulla traduzione stessa)

1. Consapevolezza

Dovresti assicurarti che i responsabili delle decisioni e le persone chiave della tua organizzazione siano consapevoli del fatto che la legge sta cambiando nel GDPR. Devono comprendere l’impatto che probabilmente avrà e individuare le aree che potrebbero causare problemi di conformità nell’ambito del GDPR. Sarebbe utile iniziare a guardare l’impatto che hanno i rischi sulla tua organizzazione, se ne hai uno.

L’attuazione del GDPR potrebbe avere implicazioni significative nelle risorse, in particolare per organizzazioni più grandi e più complesse. Potresti trovare il processo di conformità difficile, se cominci all’ultimo minuto.

2. Informazioni che hai già

Dovresti documentare quali dati personali hai, da dove provengono e con chi li condividi. Potrebbe essere necessario organizzare un audit informativo in tutta l’organizzazione o in determinate aree di business.

Il GDPR richiede di conservare i registri delle attività di elaborazione. Ad esempio, se disponi di dati personali imprecisi e li hai condivisi con un’altra organizzazione, dovrai informare l’altra organizzazione circa l’inesattezza in modo da poterli correggere. Non potrai farlo a meno di non sapere quali dati personali hai, da chi provengono e con chi li condividi. Dovresti documentarlo. Questa operazione ti aiuterà anche a rispettare il principio di responsabilità del GDPR, che richiede che le organizzazioni siano in grado di dimostrare come rispettano i principi di protezione dei dati, ad esempio adottando efficaci politiche e procedure.

3. Comunicare informazioni sulla privacy

Dovresti esaminare le tue informative privacy e pianificare ogni modifica necessaria in tempo per l’implementazione del GDPR.

Quando raccogli dati personali attualmente devi dare alle persone alcune informazioni, come la tua identità e come intendi utilizzare le loro informazioni. Questo è fatto di solito attraverso un’informativa privacy. Con il GDPR ci sono alcune informazioni aggiuntive che dovrai comunicare alle persone. Ad esempio, è necessario spiegare la base legale per l’elaborazione dei dati, i periodi di conservazione dei dati e che gli interessati hanno diritto a lamentarsi all’Autorità Garante se pensano che esista un problema con il modo in cui gestisci i loro dati. Il GDPR richiede che le informazioni siano fornite in modo conciso, chiaro e di facile comprensione. L’informativa della ICO riflette già i nuovi requisiti del GDPR.

4. Diritti degli interessati

È necessario controllare le tue procedure per assicurarti che coprano tutti i diritti che gli interessati hanno, incluso come eliminare i dati personali o fornire i dati in forma elettronica e in un formato comunemente utilizzato.

Il GDPR comprende i seguenti diritti per gli interessati:

 il diritto di essere informati;

 il diritto di accesso;

 il diritto di rettifica;

 il diritto all’oblio;

 il diritto alla limitazione del trattamento;

 il diritto alla portabilità;

 il diritto di opposizione; e

 il diritto a non essere sottoposti a trattamenti automatici che producano decisioni inclusa la profilazione.

Nel complesso, i diritti che gli interessati godranno sotto il GDPR sono gli stessi di prima, ma con alcuni significativi miglioramenti. Se sei già orientato a concedere i propri diritti agli interessati, allora la transizione al GDPR dovrebbe essere relativamente facile. Questo è un buon momento per controllare le procedure e per valutare come reagiresti se qualcuno ti chiedesse di cancellare i propri dati personali, per esempio. I tuoi sistemi ti aiutano a individuare e cancellare i dati? Chi prenderà le decisioni in merito alla cancellazione?

Il diritto alla portabilità dei dati è nuovo. Si applica solo:

 ai dati personali che un interessato ha fornito a un titolare;

 dove il trattamento si basa sul consenso dell’interessato o sull’esecuzione di un contratto; e

 quando l’elaborazione é effettuata con mezzi automatizzati.

Dovresti considerare se è necessario rivedere le procedure e apportare modifiche. Dovrai fornire i dati personali in una forma strutturata comunemente usata e in forma leggibile dalla macchina e fornire le informazioni gratuitamente.

5. Richieste di accesso del soggetto

Dovresti aggiornare le tue procedure e pianificare come gestire le richieste

tenendo conto delle nuove regole:

 Nella maggior parte dei casi non sarai in grado di richiedere un pagamento per adempiere ad una richiesta.

 Avrai un mese per rispettarla, piuttosto che i 40 giorni attuali (15 giorni attualmente in Italia).

 Puoi rifiutare o addebitare le richieste manifestamente infondate

o eccessive.

 Se rifiuti una richiesta, devi dire all’interessato perché e che ha

il diritto di lamentarsi all’autorità di vigilanza e di fronte a un giudice. È necessario che tu lo faccia senza indebito ritardo e al più tardi, entro un mese.

Se la tua organizzazione gestisce un gran numero di richieste di accesso, considera le implicazioni logistiche di dover affrontare le richieste più rapidamente (o più richieste). Potresti considerare se è possibile o desiderabile sviluppare sistemi che permettano agli interessati di accedere facilmente alle proprie informazioni online.

6. Base legale per l’elaborazione dei dati personali

Dovresti identificare la base legale per la tua attività di elaborazione sotto il

GDPR, documentarla e aggiornare la tua informativa privacy per spiegarla.

Molte organizzazioni non hanno pensato alla loro base legale per l’elaborazione di dati personali. Secondo l’attuale legge inglese, questo non ha molte implicazioni pratiche. Tuttavia, questo sarà diverso con il GDPR perché alcuni diritti degli interessati verranno modificati a seconda della base legale per l’elaborazione dei loro dati personali. L’esempio più ovvio è che le persone avranno un diritto più forte all’eliminazione dei propri dati quando si utilizza il consenso come base legale per l’elaborazione. Dovrai anche spiegare la tua base legale per l’elaborazione dei dati personali nella tua informativa privacy e quando rispondi a una richiesta di accesso al soggetto. Le basi legittime del GDPR sono sostanzialmente le stesse delle attuali condizioni per l’elaborazione. Dovrebbe essere possibile rivedere i tipi di attività di elaborazione da te svolte e identificare la tua base legale per farlo. Dovresti documentare le tue basi legali al fine di rispettare i requisiti di responsabilità del GDPR.

 7. Consenso

Dovresti esaminare come ottieni, registri e gestisci il consenso e se devi apportare modifiche. Aggiorna ora i consensi esistenti se non soddisfano lo standard GDPR. Vedi le indicazioni dettagliate che l’ICO ha pubblicato sul consenso ai sensi del GDPR e utilizza la nostra check-list di consenso per esaminare le tue procedure. Il consenso deve essere dato liberamente, specifico, informato e inequivocabile. Deve esserci un’azione positiva – non può essere dedotto dal silenzio, da caselle preselezionate o dall’inattività. Deve inoltre essere separato da altri termini e condizioni e dovrai disporre di modi semplici per poter revocare il consenso. Le autorità pubbliche e i datori di lavoro dovranno prestare particolare attenzione. Il consenso deve essere verificabile e gli interessati hanno generalmente maggiori diritti nei casi in cui il consenso è alla base del trattamento dei dati.

Non è richiesto di “ripristinare” automaticamente o aggiornare tutti i consensi DPA (Data Privacy Act) esistenti in preparazione per il GDPR. Ma se ti basi sul consenso dei singoli per elaborare i loro dati, assicurati che il consenso soddisfi lo standard GDPR e sia specifico, granulare, chiaro, prominente, volontario (opt-in), documentato e facilmente revocabile. In caso contrario, modificare i meccanismi di consenso e richiedere un nuovo consenso conforme al GDPR oppure trovare un’alternativa al consenso.

8. Bambini

Dovresti iniziare a pensare ora se hai bisogno di mettere in atto sistemi per verificare l’età degli interessati e ottenere il consenso dei genitori o del tutore per qualsiasi attività di elaborazione dati. Per la prima volta, il GDPR porterà una protezione speciale per i dati personali dei bambini, in particolare nel contesto di servizi commerciali come il social networking. Se la tua organizzazione offre servizi online (“servizi della società dell’informazione”) ai bambini e si basa sul consenso per raccogliere informazioni su di loro, potrebbe essere necessario il consenso di un genitore o di un tutore per elaborare i loro dati personali in modo legittimo. Il GDPR stabilisce l’età in cui un bambino può dare il proprio consenso a questa elaborazione a 16 anni (anche se questo può essere ridotto ad un minimo di 13 nel Regno Unito). Se un bambino è più giovane allora sarà necessario ottenere il consenso da una persona che detiene la “responsabilità genitoriale”. Questo potrebbe avere implicazioni significative se la tua organizzazione offre servizi online ai bambini e raccoglie i loro dati personali. Ricorda che il consenso deve essere verificabile e che durante la raccolta dei dati per i bambini l’informativa sulla privacy deve essere scritta in un linguaggio comprensibile ai bambini.

9. Violazione dei dati

Dovresti assicurarti di avere le procedure giuste per individuare, segnalare e analizzare una violazione dei dati personali. Alcune organizzazioni sono già tenute a notificare all’Autorità Garante (e anche ad alcuni altri organi) quando subiscono una violazione dei dati personali. Il GDPR introduce un obbligo a tutte le organizzazioni di segnalare alcuni tipi di violazione dei dati all’Autorità Garante e, in alcuni casi, agli interessati. Devi notificare solo all’Autorità Garante una violazione dalla quale è probabile che risulti un rischio per i diritti e le libertà degli interessati – se, ad esempio, può provocare discriminazioni, danni alla reputazione, perdite finanziarie, perdita di riservatezza o qualsiasi altro svantaggio economico o sociale significativo.

Se una violazione rischia di provocare un elevato rischio per i diritti e le libertà degli interessati, nella maggior parte dei casi dovrai notificare direttamente ai destinatari. Dovresti mettere in atto procedure per individuare, segnalare e analizzare una violazione dei dati personali.

Vorrai valutare i tipi di dati personali di cui sei in possesso e documentare per quali dati dovresti informare l’Autorità Garante o gli interessati in caso si verifichi una violazione. Le organizzazioni più grandi hanno bisogno di sviluppare politiche e procedure per la gestione delle violazioni dei dati. La mancata comunicazione di una violazione quando richiesta potrebbe comportare una sanzione, nonché una multa per la violazione stessa.

10. Protezione dei Dati nella progettazione e Valutazione d’impatto privacy

È sempre stata buona pratica adottare un approccio privacy sin dalla progettazione e effettuare una valutazione di impatto sulla privacy (PIA) come parte di essa. Tuttavia, il GDPR rende la privacy a partire dalla progettazione uno specifico requisito legale, sotto il termine “protezione dei dati sin dalla progettazione e per impostazione predefinita”. Inoltre rende le PIA – denominate “Valutazione dell’impatto sulla protezione dei dati” o DPIA – obbligatorie in determinate circostanze. È necessaria una DPIA in situazioni in cui l’elaborazione dei dati può causare un rischio elevato per gli interessati, ad esempio:

  •  quando viene utilizzata una nuova tecnologia;
  •  quando un’operazione di profilazione potrebbe avere un impatto significativo sugli interessati; o
  •  laddove esiste un’elaborazione su larga scala di dati ‘sensibili’.

Se una DPIA indica che l’elaborazione dei dati è ad alto rischio e non è possibile affrontare in modo adeguato tali rischi, sarà necessario consultare l’Autorità Garante per richiedere il parere sulla conformità dell’operazione di elaborazione al DPPR.

Dovresti quindi iniziare a valutare le situazioni in cui sarà necessario condurre una DPIA. Chi la farà? Chi altro deve essere coinvolto? Il processo verrà eseguito centralmente o localmente?

Dovresti anche familiarizzare ora con le linee guida che l’ICO ha prodotto sulla PIA e le linee guida del gruppo di lavoro articolo 29 e capire come implementarle nella tua organizzazione. Questa guida mostra come le PIA possano collegarsi ad altri processi organizzativi quali la gestione dei rischi e la gestione dei progetti.

11. Responsabili della protezione dei dati

Dovresti designare qualcuno che si assuma la responsabilità della conformità alla privacy e valutare dove si colloca questo ruolo all’interno dell’organizzazione e nelle modalità di gestione. Dovresti considerare se sei chiamato formalmente a designare un responsabile della protezione dei dati (DPO). È necessario designare un DPO se sei:

  •  un’autorità pubblica (ad eccezione dei tribunali che agiscono in qualità di giudici);
  •  un’organizzazione che effettua monitoraggio regolare e sistematico delle persone su vasta scala; o
  •  un’organizzazione che esegue l’elaborazione su vasta scala di particolari categorie di dati, come dati di salute o informazioni su condanne penali. Il gruppo di lavoro dell’articolo 29 ha fornito indicazioni per le organizzazioni in materia di designazione, posizione e compiti dei DPO.

È molto importante che qualcuno della tua organizzazione, o un consulente privacy esterno, abbia la responsabilità appropriata per l’adeguamento della tua protezione dei dati personali e abbia la conoscenza, il supporto e l’autorità per svolgere efficacemente il proprio ruolo.

12. Internazionale

Se la tua organizzazione opera in più di uno Stato membro dell’UE, dovresti definire la tua autorità di vigilanza capofila sulla tutela dei dati e documentarlo.

L’autorità capofila è l’autorità di vigilanza nello Stato in cui si trova il tuo stabilimento principale. Il tuo principale stabilimento è il luogo in cui è situata la tua amministrazione centrale nell’Unione europea o, alternativamente, il luogo in cui vengono prese e attuate le decisioni sulle finalità e sui mezzi di elaborazione. Ciò è rilevante soltanto quando si effettua l’elaborazione transfrontaliera – vale a dire se si dispone di stabilimenti in più di uno Stato membro dell’UE o si dispone di un unico stabilimento nell’UE ma che effettua processi che influenzano sostanzialmente gli interessati di altri Stati dell’UE. Se questo vale per l’organizzazione, dovresti individuare dove l’organizzazione effettua le decisioni più significative sulle sue attività di elaborazione. Ciò ti aiuterà a determinare il tuo “stabilimento principale” e quindi la tua autorità di vigilanza principale.

Il documento originale non tradotto è consultabile da questo link https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...