Con il nuovo regolamento generale sulla protezione dei dati (GDPR), le aziende che elaborano i dati dovranno assicurarsi di avere registrazioni dettagliate di ciò che stanno facendo con i dati.
L'articolo 30 dice: "Ogni responsabile del trattamento e, se del caso, il suo rappresentante, tiene un registro delle attività di trattamento sotto la sua responsabilità".
Il GDPR vedrà la fine di ogni distinzione tra registrazioni interne ed esterne. C'è ora un solo tipo di record - il record interno - che deve essere messo a disposizione delle autorità di vigilanza su loro richiesta.
In casi estremi, il mancato rispetto dei requisiti del GDPR potrebbe vedere la vostra organizzazione affrontare una multa fino a 20 milioni di euro o il 4% o il fatturato globale annuo - quello che è più alto.
Controllore o processore
Se la vostra organizzazione è quella che decide per quale scopo i dati vengono raccolti, o come vengono raccolti, allora siete un controllore di dati.
Tuttavia, se state facendo l'elaborazione per conto di un'altra organizzazione, allora siete un elaboratore di dati. È probabile che la vostra organizzazione sia sia un controllore che un elaboratore.
Il nuovo regolamento GDPR ha una serie di requisiti rigorosi da seguire sia per i controllori che per i responsabili del trattamento dei dati. Esso stabilisce che dovete registrare:
1) I vostri dettagli organizzativi e i dettagli di contatto del vostro responsabile della protezione dei dati. Inoltre, se la vostra azienda non è all'interno dell'UE, allora dovete fornire i dettagli del vostro rappresentante designato nell'UE
2) Una descrizione delle misure di sicurezza che avete in atto per proteggere i dati. Ciò include sia le misure di sicurezza tecnica, come la crittografia, sia la sicurezza organizzativa, ad esempio le restrizioni interne su chi ha accesso a quali parti della rete
3) Per i trasferimenti di dati al di fuori del SEE, le organizzazioni dovranno documentare dove i dati vengono trasferiti e le garanzie in atto per proteggere tali dati.
Articolo 30 - Cosa significa per il controllore?
Se il vostro ruolo è di agire come controllore, allora l'onere è su di voi per determinare lo scopo del trattamento dei dati.
Dovrete anche registrare i tipi di persone i cui dati state lavorando e i tipi di dati con cui state lavorando, che inevitabilmente saranno diversi a seconda della natura del vostro business.
Se siete un controllore, dovrete anche registrare i tipi di destinatari a cui divulgherete i dati. È anche responsabilità del controllore documentare la durata di tempo in cui si prevede di conservare ogni categoria di dati prima di cancellarli.
Articolo 30 - Cosa significa per il processore?
Se sei l'incaricato del trattamento, allora dovrai occuparti della documentazione dei dati. Dovrai registrare:
- I nomi e i dettagli di contatto del controllore per il quale stai elaborando i dati
- I dettagli del DPO del controllore (se ne hanno uno) e del loro rappresentante se non hanno sede nell'UE.
Questo può non sembrare troppo impegnativo, ma bisogna tenere presente che l'elaboratore medio, ad esempio un'agenzia di marketing, elaborerebbe i dati per conto di numerosi clienti. Questi dettagli devono essere registrati anche per ogni controllore per conto del quale l'incaricato elabora i dati.
Inoltre, i processori devono documentare le diverse categorie di trattamento che vengono eseguite per conto di ogni controllore. Il GDPR definisce il trattamento come: "qualsiasi operazione o insieme di operazioni compiute su dati personali o su insiemi di dati personali, con o senza l'ausilio di mezzi automatizzati, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione."
Con così tante variabili si può capire come questo possa diventare un problema complesso abbastanza rapidamente.
Cos'altro c'è da sapere sull'articolo 30?
Molti sono impreparati per questo livello di conformità alla protezione dei dati. Avranno bisogno di adottare rapidamente delle linee guida mature sulla privacy che possano controllare le attività di elaborazione in più dipartimenti, aziende e mercati.
Dovete avere un registro di tutte le elaborazioni di dati, che siano in formato scritto o elettronico, e deve essere disponibile per la vostra autorità di controllo locale quando lo richiedono.
Preparazione all'articolo 30
La funzione aziendale pertinente e le attività di elaborazione dei dati di terzi devono essere identificate e deve essere creato un registro dei dati personali. Le vostre politiche sulla privacy e gli avvisi dovrebbero essere aggiornati e il personale interno dovrebbe essere messo al corrente del GDPR in relazione al loro specifico titolo di lavoro.
In un contesto più ampio, il nucleo del GDPR sta nell'enfasi sulla responsabilità. Una catena di responsabilità dovrebbe essere stabilita a livello di dipartimento, azienda e organizzazione al fine di mantenere una gestione coerente degli incidenti, dei processi operativi e delle attività di reporting. Potete leggere di più sull'importanza della responsabilità nel nostro blog precedente qui.
Se volete ulteriore aiuto per il vostro progetto GDPR, potete venire a trovarci in una delle nostre fermate come parte del nostro roadshow GDPR for Dummies, che arriverà presto in una città vicina a voi. Registrati per i briefing gratuiti a colazione qui.
Abbiamo anche creato MetaPrivacy - una soluzione GDPR che è specificamente progettata per aiutare la vostra azienda ad affrontare l'articolo 30. Per ulteriori informazioni su MetaPrivacy e le nostre altre risorse GDPR, visita qui.