Documentazione

GDPR e requisiti di conformità offline

Contrariamente a quanto si possa pensare, il GDPR non riguarda solo il contesto online, ma è “neutro” dal punto di vista tecnologico (technology neutral): si applica a qualsiasi tipo di trattamento di dati personali, indipendentemente dal contesto (online, offline, tramite un sito web, tramite un’app, in un rapporto di lavoro ecc.).

Questo post approfondisce alcuni dei più rilevanti adempimenti offline, che per comodità chiameremo “offline-compliance”, ovvero:

  1. Nomina di un rappresentante nell’UE
  2. La nomina di responsabili del trattamento e relativo contratto (o DPA, Data Processing Agreement)
  3. Il responsabile della protezione dei dati (o DPO, Data Protection Officer)
  4. Obblighi di riservatezza dei dipendenti
  5. Valutazione d’impatto sulla protezione dei dati (o DPIA, Data Protection Impact Assessment)

1. Nomina di un rappresentante nell’UE

Se sei un titolare del trattamento (o data controller) con sede al di fuori dell’UE, ma stai offrendo beni o servizi (anche gratuitamente) a persone fisiche che si trovano nell’UE o stai monitorando il loro comportamento posto in atto all’interno dell’UE, devi nominare un rappresentante stabilito in uno dei paesi dell’UE in cui si trovano gli interessati.

Il rappresentante nell’UE può essere una persona fisica o giuridica.

Che cosa fa il rappresentante nell’UE?

Il rappresentante nell’UE funge da sportello unico per eventuali richieste o reclami indirizzati al titolare del trattamento da parte di interessati o autorità di controllo. Ciò significa che il rappresentante deve inoltrare al titolare tali richieste unitamente a tutte le informazioni correlate di cui dispone. Più in generale, deve assistere il titolare del trattamento nell’adempimento a tutte le disposizioni del GDPR, quali la notifica di violazioni di dati personali o la cooperazione con le autorità di controllo. In generale, tuttavia, è comunque il titolare del trattamento e non il rappresentante ad rispondere di tutte le attività di trattamento dei dati.

Il rappresentante UE ha però anche specifici obblighi propri, del cui rispetto risponde. Ad esempio, deve tenere mantenere un registro del trattamento.

Come nominare il rappresentante nell’UE (template)

Il GDPR richiede che la nomina del rappresentante nell’UE sia fatta “per iscritto”. Puoi utilizzare il modello di nomina che abbiamo creato e reso disponibile su Quip (trovi le opzioni per esportare il documento in alto a sinistra) e in formato .docx:


2. Responsabili del trattamento e contratto di nomina a responsabile (o DPA, Data Processing Agreement)

Nel trattare dati personali in qualità di titolare, avrai spesso la necessità di delegare una parte delle attività di trattamento ad un fornitore esterno. Il più delle volte, tale fornitore tratterà quindi dati personali relativi ai tuoi clienti per conto tuo, e non nel proprio interesse. Tali fornitori sono definiti “responsabili” dal GDPR ed il rapporto che li lega al titolare è un incarico di trattamento di dati personali.

Facciamo un esempio

Hai un negozio online di scarpe. Quando i clienti effettuano un ordine, le scarpe vengono confezionate e preparate per la consegna da un fornitore esterno, che ovviamente deve ricevere tutti i dati personali dei clienti necessari per evadere l’ordine. Il fornitore esterno, pertanto, elabora i dati dei clienti su incarico tuo in qualità di responsabile.

Un chiarimento terminologico: sfortunatamente il legislatore europeo nella versione italiana del GDPR non ha dimostrato particolare creatività, ed ha in tal modo creato una grande confusione attorno al concetto di “responsabile”.

Proviamo a mettere un po’ d’ordine:

  • il “responsabile” del trattamento è quello di cui stiamo parlando in questo paragrafo ed è previsto all’art. 28
  • il “responsabile della protezione dei dati personali” è un soggetto (di norma una persona fisica) che, all’interno dell’organizzazione del titolare, svolge un ruolo di supervisione e controllo (più avanti ne parliamo più diffusamente)
  • il titolare, cioè colui che stabilisce criteri, modi e finalità del trattamento, è responsabile del trattamento nel senso che “ne risponde”

Quindi, restando nell’esempio di sopra, potremmo dire che:

  • Il signor X, proprietario del negozio online di scarpe, è titolare del trattamento. Qualsiasi cosa succeda con i dati dei suoi clienti (ad esempio un data breach) lui ne risponde.
  • Per svolgere la sua attività si serve di alcuni fornitori esterni che, su suo incarico, trattano dati dei suoi clienti in qualità di responsabili.
  • Inoltre, per assicurare un livello ottimale di protezione dei dati personali, il signor X ha nominato il suo fidato collaboratore Y responsabile della protezione dei dati personali.

Cosa devo fare?

Ai sensi dell’art. 28 del GDPR, titolare e responsabile devono concludere un “contratto di trattamento dei dati” per iscritto, anche in formato elettronico. Tale accordo ha lo scopo di specificare i diritti e i doveri delle parti nello svolgimento delle attività di trattamento da parte del responsabile. Tanto per citarne alcuni, il responsabile deve agire solo su istruzione del titolare del trattamento, adottare misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali, collaborare con il titolare in caso di richieste degli interessati o indagini da parte di autorità di controllo, etc.

La più rilevante novità introdotta dal GDPR è che, ai sensi dell’art. 82, titolare e responsabile del trattamento rispondono in solido nel rapporto con i terzi. Ciò significa che, qualora un interessato ritenga che i suoi dati siano stati trattati illecitamente, può rivolgersi indifferentemente al titolare o al responsabile e pretendere il risarcimento dell’intero danno subito. Solo in un secondo tempo, la parte che ha versato il risarcimento potrà, a sua volta, esercitare il proprio diritto di regresso nei confronti dell’altra.

Esempio (continua)

Una persona riceve un paio di scarpe consegnate al suo indirizzo di casa, sebbene non le abbia mai ordinate. Sceglie di richiedere un risarcimento al fornitore (cioè il responsabile). Quest’ultimo paga ed in seguito esercita azione di regresso nei confronti del titolare, poiché è quest’ultimo ad aver impartito l’istruzione di consegnare il paio di scarpe all’interessato.

Cosa succede se non nomino responsabili tutti i miei fornitori?

Qualsiasi soggetto non nominata responsabile è una “terza parte“. Pertanto, se inoltri dati personali dei tuoi clienti a soggetti che non sono stati nominati responsabili, dal punto di vista giuridico stai trasferendo dati ad un terzo: cosa che puoi fare solo in base a una base giuridica – costituita il più delle volte dal consenso dell’interessato. Tuttavia, spesso non è facile soddisfare tutti i requisiti per un consenso valido quando si trasferiscono dati a terzi.

DPA e trasferimento di dati verso paesi terzi

A volte i responsabili nominati per specifiche attività di elaborazione dati hanno sede al di fuori dell’UE. Questo ti mette di fronte al problema di individuare una base giuridica per il trasferimento di dati personali al di fuori della UE. Abbiamo spiegato le diverse basi giuridiche contemplate dal regolamento qui. Va però sottolineato che la base giuridica del trasferimento ed il contratto di trattamento dei dati (DPA) sono due questioni distinte che non necessariamente coincidono con lo stesso documento.

Alcuni esempi
  • Trasferisci dati a Google (p. es. Google Analytics). Dovrai firmare un DPA con Google, ma il tuo trasferimento di dati a Google, Inc. negli Stati Uniti avverrà sulla base dell’accordo Privacy Shield a cui Google aderisce.
  • Trasferisci dati a una società con sede in Australia. Al momento, non esiste alcuna decisione di adeguatezza o altro accordo, come il Privacy Shield, applicabile ai trasferimenti in Australia (dall’UE o dalla Svizzera). Pertanto, potresti effettuare il trasferimento sulla base “clausole contrattuali tipo”. In tal caso, il DPA con il responsabile stabilito in Australia includerà anche le clausole contrattuali tipo previste dalla decisione 78/2010/CE della Commissione Europea. In questo caso, la base giuridica del trasferimento coinciderà con il DPA.

Template

Abbiamo creato un modello di contratto di nomina a responsabile del trattamento, è disponibile su Quip (trovi le opzioni per esportare il documento in alto a sinistra) e in formato .docx:


3. Il responsabile della protezione dei dati (o DPO, Data Protection Officer)

Ai sensi dell’art. 37 del GDPR, a determinate condizioni il titolare deve nominare un responsabile della protezione dei dati. Ma che cos’è un responsabile della protezione dei dati?

Chi è il DPO?

Un DPO è una persona fisica (o giuridica) che deve supervisionare l’ottemperanza del titolare del trattamento (o del responsabile) alle disposizioni sulla protezione dei dati personali. Quando ricorrono i presupposti di una nomina obbligatoria, il responsabile della protezione dei dati deve:

  • informare ed consigliare il titolare (o responsabile) e i suoi dipendenti in merito alla normativa sulla protezione dei dati;
  • supervisionare l’ottemperanza alle disposizioni applicabili, in primo luogo il GDPR;
  • su richiesta, assistere il titolare (o il responsabile) nello svolgimento della valutazione d’impatto sulla protezione dei dati (DPIA) e supervisionarne l’attuazione;
  • collaborare con e fungere da punto di contatto per le autorità di vigilanza su qualsiasi questione relativa al trattamento di dati personali;
  • fungere da punto di contatto per gli interessati in merito alle questioni relative al trattamento di dati personali e all’esercizio dei loro diritti ai sensi del GDPR.

Il GDPR non richiede espressamente che il responsabile della protezione dei dati sia una persona fisica: ciò significa che, in linea di principio, anche una persona giuridica come una società di consulenza può essere nominata responsabile della protezione dei dati. Tuttavia, fin d’ora diversi commentatori sottolineano che alcune delle previsioni del GDPR possono applicarsi solo a una persona fisica: ad esempio “le qualità professionali, in particolare la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all’articolo 39” possono solo riferirsi a una persona fisica e non giuridica.

Tuttavia, ad oggi non è possibile risolvere la questione in maniera netta: bisognerà aspettare e vedere quale atteggiamento sarà adottato dalle autorità di controllo e/o dai tribunali.

Come agisce il DPO?

Innanzitutto, il DPO può essere integrato nell’organizzazione del titolare (in genere un dipendente) o un soggetto esterno (prestatore d’opera). In entrambi i casi può anche adempiere ad altri compiti nell’esercizio delle sue attività come responsabile della protezione dei dati, a patto che essi non diano luogo ad un conflitto di interessi: l’amministratore della società, ad esempio, non può essere nominato responsabile della protezione dei dati. Lo stesso vale per il CTO: sarebbe quantomeno curioso demandare la valutazione della conformità dell’infrastruttura IT in termini di protezione dei dati personali alla stessa persona che l’ha sviluppata.

Complessivamente, il DPO è tenuto a rispettare un obbligo legale di riservatezza in merito a qualsiasi informazione acquisita nello svolgimento del proprio incarico e deve sempre mantenere la piena indipendenza (anche se formalmente è un dipendente). Ciò significa che il DPO deve ricevere tutti i mezzi, il personale e la dotazione economica necessari per adempiere ai suoi compiti e che non deve essere soggetto a potere direttivo altrui.

Esempio pratico

L’autorità per la protezione dei dati svolge una revisione della protezione dei dati e richiede accesso al registro del trattamento ai sensi dell’art. 30 del GDPR. Il DPO sa che non esiste alcun registro perché il titolare non ha mai dato troppo peso a tale adempimento. Tuttavia, il responsabile della protezione dei dati deve essere neutrale e non può “difendere” il titolare: deve dichiarare che il registro non esiste.

In termini di responsabilità, è importante notare che il DPO non risponde dell’adempienza del titolare. Il dovere del DPO è di informare, consigliare e collaborare come appena descritto. Se il titolare non segue il consiglio del DPO, ne risponde. Il responsabile della protezione dei dati risponde invece nei confronti del titolare del trattamento di eventuali pareri o consigli errati. Ma anche in tal caso, nei confronti degli interessati, il titolare sarà sempre l’unico responsabile.

Quando devo nominare un DPO?

Ai sensi del GDPR, la nomina di un DPO è obbligatoria in 3 scenari:

  1. il titolare è un ente pubblico o un’autorità (ad esempio un’agenzia amministrativa o governativa);
  2. le attività principali del titolare (o del responsabile) consistono nel trattamento su larga scala di dati sensibili o dati personali relativi a condanne penali e reati;
  3. le attività principali del titolare (o del responsabile) consistono in attività di trattamento che richiedono il monitoraggio regolare e sistematico degli interessati su vasta scala.

Gli scenari n. 1 e 2 sono relativamente chiari: i dati “sensibili” sono dati che rivelano le origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati riguardanti la vita o l’orientamento sessuale o di una persona fisica.

Ma che dire del “monitoraggio regolare e sistematico degli interessati su larga scala”? Tale presupposto ricorre solo nel caso di soggetti come Facebook o Google, il cui modello di business è praticamente fondato sul trattamento di un’ingente quantità di dati personali, oppure è già applicabile se, ad esempio, integri Google Analytics nel tuo shop online poiché questo strumento ti consente di monitorare i tuoi clienti?

Per il momento non lo sappiamo. Diverse autorità, osservatori ed esperti, come il WP29, hanno espresso la loro opinione in materia, nessuna delle quali è giuridicamente vincolante.

Pertanto, anche in questo caso tutto ciò che possiamo fare è attendere di vedere che atteggiamento sarà adottato dalle autorità di controllo e/o dai tribunali.

Template

Abbiamo creato un modello per la nomina del DPO, è disponibile su Quip (trovi le opzioni per esportare il documento in alto a sinistra) e in formato .docx:


4. Obblighi di riservatezza dei dipendenti

Sebbene il GDPR, a differenza di certa normativa pre-GDPR (come quella italiana e tedesca), non preveda in via generale l’obbligo di assoggettare i dipendenti o, più genericamente, il personale coinvolto nelle attività di trattamento, ad un obbligo di riservatezza, è sempre consigliabile istruire il personale sull’obbligo di riservatezza e sottoporlo ad obbligo contrattuale per conformarsi alle condizioni stabilite da alcune disposizioni del GDPR, come:

  • Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membro (articolo 32, paragrafo 4).
  • Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; (articolo 28, paragrafo 3, lettera b).
  • Il DPO deve informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati (articolo 39, paragrafo 1, lettera a).

Inoltre, l’art. 24 impone al titolare del trattamento di “essere in grado di dimostrare che il trattamento è eseguito in conformità con il presente regolamento”, e dunque, indirettamente, anche di dimostrare che dipendenti e altri membri del personale hanno elaborato dati personali in conformità con il GDPR.

Ti suggeriamo pertanto di concludere uno accordo di riservatezza e di non divulgazione con tutti i membri del personale, facendo riferimento alle istruzioni sul corretto trattamento di dati personali che hai loro precedentemente fornito. È necessario assicurarsi che tali istruzioni siano consegnate al personale e firmate per ricevute al fine di poterne eventualmente fornire la prova.

Template

Abbiamo creato un modello per l’obbligo di non divulgazione e riservatezza dei dipendenti, è disponibile su Quip (trovi le opzioni per esportare il documento in alto a sinistra) e in formato .docx:


5. Valutazione d’impatto sulla protezione dei dati (o DPIA, Data Protection Impact Assessment)

Ai sensi dell’art. 35 del GDPR, a determinate condizioni il titolare deve svolgere una valutazione d’impatto sulla protezione dei dati (DPIA). Ma di che si tratta esattamente?

Cos’è una DPIA?

Una DPIA è una procedura adottata per aiutare il titolare ad ottemperare al GDPR in maniera effettiva e garantire che siano attuati i principi di responsabilizzazione “privacy by design” e “privacy by default“.

La DPIA dovrebbe includere:

  • Descrizione completa dei dati trattati;
  • Lo scopo del trattamento (e, se del caso, indicazione sugli interessi legittimi del titolare del trattamento);
  • Una valutazione dell’entità e della necessità del trattamento in relazione con le finalità;
  • Una valutazione del rischio a cui sono esposti gli interessati;
  • Misure adottate per neutralizzare tale rischio.

È consigliabile tenere traccia scritta del processo di DPIA.

Quando è obbligatoria?

In generale, la DPIA è obbligatoria solo nei casi in cui l’attività di trattamento dei dati possa comportare un rischio elevato per gli interessati (ad esempio quando si introduce una nuova tecnologia di trattamento). Nel dubbio, è raccomandabile lo svolgimento di una DPIA, tanto più che si tratta di uno strumento utile ad assicurare l’ottemperanza alla normativa.

Le attività di trattamento di dati “ad alto rischio” includono:

  • l’elaborazione su larga scala di dati sensibili;
  • il monitoraggio sistematico di un’area accessibile al pubblico (ad esempio tramite CCTV);
  • la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche.

Lo svolgimento di una DPIA può anche essere necessaerio in altre circostanze (da valutare caso per caso), quali ad esempio l’elaborazione di dati riguardanti soggetti particolarmente vulnerabili (ad esempio bambini o anziani), il trasferimento di dati al di fuori dell’UE o il trattamento di dati con finalità di profilazione (ad es. affidabilità creditizia). Se ti interessa, puoi approfondire i criteri qui (PDF).

Sebbene il GDPR non preveda che l’esito della DPIA sia reso pubblico, puoi considerare l’ipotesi di pubblicare la DPIA in toto o in parte come misura di trasparenza e responsabilizzazione, specialmente in casi in cui il trattamento riguardi soggetti indefiniti del pubblico o della cittadinanza (ad esempio nel caso di un’autorità pubblica).

Una DPIA ben svolta è inoltre utile a soddisfare i requisiti di “Privacy by design”, in quanto consente al titolare di individuare e risolvere i problemi già in fase iniziale, riducendo così i rischi per la sicurezza dei dati degli utenti ed il rischio di incorrere in multe, sanzioni e danni alla reputazione ed all’immagine.

Template

Scarica il modello per la valutazione d’impatto sulla protezione dei dati (in inglese):