Contrariamente a quanto si possa pensare, il GDPR non riguarda solo il contesto online, ma è “neutro” dal punto di vista tecnologico (technology neutral): si applica a qualsiasi tipo di trattamento di dati personali, indipendentemente dal contesto (online, offline, tramite un sito web, tramite un’app, in un rapporto di lavoro ecc.).
Questo post approfondisce alcuni dei più rilevanti adempimenti offline, che per comodità chiameremo “offline-compliance”, ovvero:
Se sei un titolare del trattamento (o data controller) con sede al di fuori dell’UE, ma stai offrendo beni o servizi (anche gratuitamente) a persone fisiche che si trovano nell’UE o stai monitorando il loro comportamento posto in atto all’interno dell’UE, devi nominare un rappresentante stabilito in uno dei paesi dell’UE in cui si trovano gli interessati.
Il rappresentante nell’UE può essere una persona fisica o giuridica.
Il rappresentante nell’UE funge da sportello unico per eventuali richieste o reclami indirizzati al titolare del trattamento da parte di interessati o autorità di controllo. Ciò significa che il rappresentante deve inoltrare al titolare tali richieste unitamente a tutte le informazioni correlate di cui dispone. Più in generale, deve assistere il titolare del trattamento nell’adempimento a tutte le disposizioni del GDPR, quali la notifica di violazioni di dati personali o la cooperazione con le autorità di controllo. In generale, tuttavia, è comunque il titolare del trattamento e non il rappresentante ad rispondere di tutte le attività di trattamento dei dati.
Il rappresentante UE ha però anche specifici obblighi propri, del cui rispetto risponde. Ad esempio, deve mantenere un registro del trattamento.
Il GDPR richiede che la nomina del rappresentante nell’UE sia fatta “per iscritto”. Puoi utilizzare il modello di nomina che abbiamo creato e reso disponibile in formato .docx:
Nel trattare dati personali in qualità di titolare, avrai spesso la necessità di delegare una parte delle attività di trattamento ad un fornitore esterno. Il più delle volte, tale fornitore tratterà quindi dati personali relativi ai tuoi clienti per conto tuo, e non nel proprio interesse. Tali fornitori sono definiti “responsabili” dal GDPR ed il rapporto che li lega al titolare è un incarico di trattamento di dati personali.
Hai un negozio online di scarpe. Quando i clienti effettuano un ordine, le scarpe vengono confezionate e preparate per la consegna da un fornitore esterno, che ovviamente deve ricevere tutti i dati personali dei clienti necessari per evadere l’ordine. Il fornitore esterno, pertanto, elabora i dati dei clienti su incarico tuo in qualità di responsabile.
Un chiarimento terminologico: sfortunatamente il legislatore europeo nella versione italiana del GDPR non ha dimostrato particolare creatività, ed ha in tal modo creato una grande confusione attorno al concetto di “responsabile”.
Proviamo a mettere un po’ d’ordine:
Quindi, restando nell’esempio di sopra, potremmo dire che:
Ai sensi dell’art. 28 del GDPR, titolare e responsabile devono concludere un “contratto di trattamento dei dati” per iscritto, anche in formato elettronico. Tale accordo ha lo scopo di specificare i diritti e i doveri delle parti nello svolgimento delle attività di trattamento da parte del responsabile. Tanto per citarne alcuni, il responsabile deve agire solo su istruzione del titolare del trattamento, adottare misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali, collaborare con il titolare in caso di richieste degli interessati o indagini da parte di autorità di controllo, etc.
La più rilevante novità introdotta dal GDPR è che, ai sensi dell’art. 82, titolare e responsabile del trattamento rispondono in solido nel rapporto con i terzi. Ciò significa che, qualora un interessato ritenga che i suoi dati siano stati trattati illecitamente, può rivolgersi indifferentemente al titolare o al responsabile e pretendere il risarcimento dell’intero danno subito. Solo in un secondo tempo, la parte che ha versato il risarcimento potrà, a sua volta, esercitare il proprio diritto di regresso nei confronti dell’altra.
Una persona riceve un paio di scarpe consegnate al suo indirizzo di casa, sebbene non le abbia mai ordinate. Sceglie di richiedere un risarcimento al fornitore (cioè il responsabile). Quest’ultimo paga ed in seguito esercita azione di regresso nei confronti del titolare, poiché è quest’ultimo ad aver impartito l’istruzione di consegnare il paio di scarpe all’interessato.
Qualsiasi soggetto non nominato responsabile è una “terza parte“. Pertanto, se inoltri dati personali dei tuoi clienti a soggetti che non sono stati nominati responsabili, dal punto di vista giuridico stai trasferendo dati ad un terzo: cosa che puoi fare solo in base a una base giuridica – costituita il più delle volte dal consenso dell’interessato. Tuttavia, spesso non è facile soddisfare tutti i requisiti per un consenso valido quando si trasferiscono dati a terzi.
A volte i responsabili nominati per specifiche attività di elaborazione dati hanno sede al di fuori dell’UE. Questo ti mette di fronte al problema di individuare una base giuridica per il trasferimento di dati personali al di fuori della UE. Abbiamo spiegato le diverse basi giuridiche contemplate dal regolamento qui. Va però sottolineato che la base giuridica del trasferimento ed il contratto di trattamento dei dati (DPA) sono due questioni distinte che non necessariamente coincidono con lo stesso documento.
Abbiamo creato un modello di contratto di nomina a responsabile del trattamento, è disponibile in formato .docx:
Ai sensi dell’art. 37 del GDPR, a determinate condizioni il titolare deve nominare un responsabile della protezione dei dati. Ma che cos’è un responsabile della protezione dei dati?
Un DPO è una persona fisica (o giuridica) che deve supervisionare l’ottemperanza del titolare del trattamento (o del responsabile) alle disposizioni sulla protezione dei dati personali. Quando ricorrono i presupposti di una nomina obbligatoria, il responsabile della protezione dei dati deve:
Il GDPR non richiede espressamente che il responsabile della protezione dei dati sia una persona fisica: ciò significa che, in linea di principio, anche una persona giuridica come una società di consulenza può essere nominata responsabile della protezione dei dati. Tuttavia, fin d’ora diversi commentatori sottolineano che alcune delle previsioni del GDPR possono applicarsi solo a una persona fisica: ad esempio “le qualità professionali, in particolare la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e la capacità di assolvere i compiti di cui all’articolo 39” possono solo riferirsi a una persona fisica e non giuridica.
Tuttavia, ad oggi non è possibile risolvere la questione in maniera netta: bisognerà aspettare e vedere quale atteggiamento sarà adottato dalle autorità di controllo e/o dai tribunali.
Innanzitutto, il DPO può essere integrato nell’organizzazione del titolare (in genere un dipendente) o un soggetto esterno (prestatore d’opera). In entrambi i casi può anche adempiere ad altri compiti nell’esercizio delle sue attività come responsabile della protezione dei dati, a patto che essi non diano luogo ad un conflitto di interessi: l’amministratore della società, ad esempio, non può essere nominato responsabile della protezione dei dati. Lo stesso vale per il CTO: sarebbe quantomeno curioso demandare la valutazione della conformità dell’infrastruttura IT in termini di protezione dei dati personali alla stessa persona che l’ha sviluppata.
Complessivamente, il DPO è tenuto a rispettare un obbligo legale di riservatezza in merito a qualsiasi informazione acquisita nello svolgimento del proprio incarico e deve sempre mantenere la piena indipendenza (anche se formalmente è un dipendente). Ciò significa che il DPO deve ricevere tutti i mezzi, il personale e la dotazione economica necessari per adempiere ai suoi compiti e che non deve essere soggetto a potere direttivo altrui.
L’autorità per la protezione dei dati svolge una revisione della protezione dei dati e richiede accesso al registro del trattamento ai sensi dell’art. 30 del GDPR. Il DPO sa che non esiste alcun registro perché il titolare non ha mai dato troppo peso a tale adempimento. Tuttavia, il responsabile della protezione dei dati deve essere neutrale e non può “difendere” il titolare: deve dichiarare che il registro non esiste.
In termini di responsabilità, è importante notare che il DPO non risponde dell’adempienza del titolare. Il dovere del DPO è di informare, consigliare e collaborare come appena descritto. Se il titolare non segue il consiglio del DPO, ne risponde. Il responsabile della protezione dei dati risponde invece nei confronti del titolare del trattamento di eventuali pareri o consigli errati. Ma anche in tal caso, nei confronti degli interessati, il titolare sarà sempre l’unico responsabile.
Ai sensi del GDPR, la nomina di un DPO è obbligatoria in 3 scenari:
Gli scenari n. 1 e 2 sono relativamente chiari: i dati “sensibili” sono dati che rivelano le origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici allo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati riguardanti la vita o l’orientamento sessuale o di una persona fisica.
Ma che dire del “monitoraggio regolare e sistematico degli interessati su larga scala”? Tale presupposto ricorre solo nel caso di soggetti come Facebook o Google, il cui modello di business è praticamente fondato sul trattamento di un’ingente quantità di dati personali, oppure è già applicabile se, ad esempio, integri Google Analytics nel tuo shop online poiché questo strumento ti consente di monitorare i tuoi clienti?
Per il momento non lo sappiamo. Diverse autorità, osservatori ed esperti, come il WP29, hanno espresso la loro opinione in materia, nessuna delle quali è giuridicamente vincolante.
Pertanto, anche in questo caso tutto ciò che possiamo fare è attendere di vedere che atteggiamento sarà adottato dalle autorità di controllo e/o dai tribunali.
Abbiamo creato un modello per la nomina del DPO, è disponibile in formato .docx:
Sebbene il GDPR, a differenza di certa normativa pre-GDPR (come quella italiana e tedesca), non preveda in via generale l’obbligo di assoggettare i dipendenti o, più genericamente, il personale coinvolto nelle attività di trattamento, ad un obbligo di riservatezza, è sempre consigliabile istruire il personale sull’obbligo di riservatezza e sottoporlo ad obbligo contrattuale per conformarsi alle condizioni stabilite da alcune disposizioni del GDPR, come:
Inoltre, l’art. 24 impone al titolare del trattamento di “essere in grado di dimostrare che il trattamento è eseguito in conformità con il presente regolamento”, e dunque, indirettamente, anche di dimostrare che dipendenti e altri membri del personale hanno elaborato dati personali in conformità con il GDPR.
Ti suggeriamo pertanto di concludere uno accordo di riservatezza e di non divulgazione con tutti i membri del personale, facendo riferimento alle istruzioni sul corretto trattamento di dati personali che hai loro precedentemente fornito. È necessario assicurarsi che tali istruzioni siano consegnate al personale e firmate per ricevute al fine di poterne eventualmente fornire la prova.
Abbiamo creato un modello per l’obbligo di non divulgazione e riservatezza dei dipendenti, è disponibile in formato .docx:
Ai sensi dell’art. 35 del GDPR, a determinate condizioni il titolare deve svolgere una valutazione d’impatto sulla protezione dei dati (DPIA). Ma di che si tratta esattamente?
Una DPIA è una procedura adottata per aiutare il titolare ad ottemperare al GDPR in maniera effettiva e garantire che siano attuati i principi di responsabilizzazione “privacy by design” e “privacy by default“.
La DPIA dovrebbe includere:
È consigliabile tenere traccia scritta del processo di DPIA.
In generale, la DPIA è obbligatoria solo nei casi in cui l’attività di trattamento dei dati possa comportare un rischio elevato per gli interessati (ad esempio quando si introduce una nuova tecnologia di trattamento). Nel dubbio, è raccomandabile lo svolgimento di una DPIA, tanto più che si tratta di uno strumento utile ad assicurare l’ottemperanza alla normativa.
Le attività di trattamento di dati “ad alto rischio” includono:
Lo svolgimento di una DPIA può anche essere necessaerio in altre circostanze (da valutare caso per caso), quali ad esempio l’elaborazione di dati riguardanti soggetti particolarmente vulnerabili (ad esempio bambini o anziani), il trasferimento di dati al di fuori dell’UE o il trattamento di dati con finalità di profilazione (ad es. affidabilità creditizia). Se ti interessa, puoi approfondire i criteri qui (PDF).
Sebbene il GDPR non preveda che l’esito della DPIA sia reso pubblico, puoi considerare l’ipotesi di pubblicare la DPIA in toto o in parte come misura di trasparenza e responsabilizzazione, specialmente in casi in cui il trattamento riguardi soggetti indefiniti del pubblico o della cittadinanza (ad esempio nel caso di un’autorità pubblica).
Una DPIA ben svolta è inoltre utile a soddisfare i requisiti di “Privacy by design”, in quanto consente al titolare di individuare e risolvere i problemi già in fase iniziale, riducendo così i rischi per la sicurezza dei dati degli utenti ed il rischio di incorrere in multe, sanzioni e danni alla reputazione ed all’immagine.
Scarica il modello per la valutazione d’impatto sulla protezione dei dati (in inglese):
