Gestione della protezione dei dati personali: tra accountability, documentazione e best practice

di Marco MIGLIETTA

Il sistema di gestione della privacy delineato dal GDPR si basa sul principio di accountability del titolare e del responsabile del trattamento.

Secondo questo principio, il titolare del trattamento dei dati è tenuto a dimostrare sia alle autorità competenti che ai proprietari dei dati la conformità aziendale al GDPR.

L’architettura di questo principio si articola su due livelli distinti.

1. Al primo livello sono inclusi i requisiti legali vincolanti per tutti i titolari del trattamento.
   • Questi requisiti devono essere seguiti per garantire il rispetto delle disposizioni e dei principi del GDPR, e per evitare sanzioni.
   • Ciò include l’implementazione delle misure e delle procedure richieste dal Regolamento e la tenuta di una traccia di queste azioni per dimostrarne l’adeguatezza e la correttezza, se necessario.
2. Il secondo livello del principio è costituito dalle misure aggiuntive adottate volontariamente dal titolare del trattamento.
   • È importante sottolineare che il titolare ha un duplice obbligo: verso gli interessati da un lato, e principalmente verso le autorità di controllo dall’altro.
   • Queste ultime devono essere in grado di ricevere prova dell’adozione degli adempimenti prescritti dalla legge e delle azioni volte a dimostrare l’accountability del titolare del trattamento.

Tra le misure che titolare e responsabile devono adottare per assolvere agli obblighi imposti dalla normativa ed evitare quindi di incorrere in sanzioni, troviamo senza dubbio:

• la redazione del registro delle attività di trattamento;
• la previsione di policy e procedure in materia di privacy che vincolino i soggetti coinvolti nel trattamento dei dati;
• la ripartizione degli incarichi relativi all’implementazione delle policy e delle procedure previste, nonché i compiti e le responsabilità tra i soggetti coinvolti nel trattamento;
• la nomina in caso di esternalizzazione di attività concernenti trattamenti di dati personali dei responsabili esterni mediante atto scritto (Data Processing Agreement);
• assicurare le risorse necessarie per la gestione della privacy, garantendo un’adeguata formazione del personale;
• informare gli interessati del verificarsi di eventuali violazioni (data breach), ivi incluse le misure adottare per porvi rimedio;
• la redazione di una policy di data retention;
• la redazione di una policy per l’utilizzo e l’uso degli strumenti informatici;
• la previsione di audit interni per l’utilizzo e l’uso di strumenti informatici;
• effettuare audit ai responsabili del trattamento;
• fornire informative agli interessati;
• gestire le richieste di esercizio dei diritti;
• prevedere registri degli incidenti di sicurezza;
• prevedere registri dei data breach;
• sviluppare una procedura di privacy by design e by default;
• nominare gli amministratori di sistema;
• effettuare una verifica annuale sulle attività svolte dagli AdS (Amministratori di Sistema);
• condurre una valutazione d’impatto con riferimento a quei trattamenti cche presentino un rischio elevato (DPIA).

Tra questi, il documento che riassume e “fotografa” più di tutti l’attività di trattamento dei dati personali è senz’altro il registro dei trattamenti.

Il Registro dei Trattamenti

Il registro dei trattamenti è un documento in cui il titolare tiene traccia di tutte le attività di trattamento dei dati personali che svolge. Questo include la raccolta, l’elaborazione, la conservazione e la condivisione dei dati personali degli utenti o dei clienti. Il registro fornisce una panoramica completa delle pratiche di gestione dei dati dell’organizzazione, consentendo di identificare potenziali rischi per la privacy e di garantire la conformità alle normative vigenti.

Il contenuto del registro dei trattamenti

Informazioni sull’organizzazione

• Nome e contatti dell’organizzazione responsabile del trattamento dei dati

Descrizione delle attività di trattamento 

• Elenco delle attività di trattamento dei dati personali svolte dall’organizzazione, inclusa la finalità del trattamento e le categorie di dati personali trattati

Base giuridica per il trattamento

• Indicazione della base giuridica su cui si basa ciascuna attività di trattamento dei dati (ad esempio, consenso dell’utente, adempimento di un contratto, obblighi legali, ecc.)

Destinatari dei dati personali

• Indicazione delle categorie di destinatari con cui vengono condivisi i dati personali, inclusi partner commerciali, fornitori di servizi, autorità governative, ecc.

Trasferimenti Internazionali

• Se applicabile, indicazione dei trasferimenti internazionali di dati personali e dei meccanismi utilizzati per garantire la protezione dei dati in tali trasferimenti

Periodo di Conservazione dei Dati (data retention)

• Specifica del periodo di tempo per cui vengono conservati i dati personali e le procedure per la cancellazione o l’anonimizzazione dei dati quando non sono più necessari

Misure di Sicurezza

• Descrizione delle misure di sicurezza implementate per proteggere i dati personali da accessi non autorizzati, uso improprio o perdita

In conclusione, un’implementazione efficace del principio di accountability è essenziale per garantire la protezione dei dati personali. Le organizzazioni devono pertanto dimostrare costantemente un impegno costante in tema di compliance aziendale in materia di privacy e per la protezione dei dati dei propri utenti attraverso misure tecniche ed organizzative che siano concrete e trasparenti.

Intervento di Marco MIGLIETTA – Legal & Compliance Specialist c/o F2A

Le opinioni sono espresse a titolo personale e non impegnano l’Istituzione di appartenenza.