È difficile credere che ci stiamo avvicinando all’anniversario di un anno del GDPR. Dopo un periodo di transizione di due anni, il GDPR è entrato in vigore il25 maggio 2018 e ha trasformato completamente l’approccio delle organizzazioni alla privacy dei dati.

La legislazione è stata introdotta per riflettere il nostro mondo sempre più digitalizzato e riconoscere i diritti degli individui in merito all’utilizzo dei loro dati personali.

Molte organizzazioni hanno dedicato molto tempo e sforzi per assicurarsi di essere conformi alla nuova normativa, ma per altre il percorso è stato più difficile e arduo. Dimostrare la conformità al GDPR è un processo continuo e ci sono molti aspetti della normativa che richiedono ancora chiarimenti e che possono confondere le organizzazioni.

Due termini che sentiamo costantemente in relazione al GDPR sono “Titolari e Responsabili del trattamento dei dati”. È importante capire la distinzione tra questi due termini perché determinerà le tue responsabilità ai sensi della normativa.

La distinzione tra un Titolare e un Responsabile del trattamento dei dati può avere conseguenze significative nel mondo reale. Se un’organizzazione è coinvolta nel trattamento dei dati, è fondamentale che stabilisca tempestivamente ruoli e responsabilità per evitare qualsiasi confusione in caso di violazione dei dati. Questo aiuterà a garantire che non ci siano lacune nelle responsabilità e che le organizzazioni possano affrontare questi problemi in modo efficiente ed efficace.

Cosa sono i dati personali?

Se la tua organizzazione tratta dati personali, allora il GDPR si applica a te. L’UE definisce i “dati personali” come qualsiasi informazione che possa essere utilizzata per identificare direttamente o indirettamente un individuo (soggetto interessato). Questo include tutto, dal nome all’indirizzo e-mail, dall’indirizzo IP alle immagini. Sono inclusi anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere elaborati per identificare un individuo.

Sei un “Titolare” o un “Responsabile” del trattamento dei dati?

1 6
1 6

    

Se la tua organizzazione determina le finalità e le modalità di trattamento dei dati personali, allora è considerata un Titolare del trattamento.

I Responsabili del trattamento dei dati giocano un ruolo fondamentale nella conformità al GDPR a causa dei dati personali di clienti e dipendenti che conservano e raccolgono.

I compiti del Data Controller includono:

  • Facilitare una maggiore trasparenza nella gestione dei dati sulla privacy in relazione alle richieste degli interessati.
  • Garantire che i soggetti interessati siano gestiti entro le tempistiche definite dal GDPR.
  • Effettuare valutazioni sulla privacy e nominare DPO
  • Notifica alle autorità di vigilanza delle violazioni dei dati entro 72 ore dalla scoperta della violazione.
  • Monitorare e rispondere alle modifiche dei mandati di conformità.
  • Sostituzione dei campi di dati identificativi con pseudonimi e crittografia dei dati personali
  • Mantenere le registrazioni del trattamento dei dati personali attraverso un registro dei dati personali.
  • Gestire e governare l’interazione con le terze parti in relazione all’elaborazione e al trattamento dei dati personali.

Chi è un Responsabile del trattamento e quali sono le sue responsabilità?

Responsabilità del responsabile del trattamento dei dati

Se una persona, un’organizzazione, un’agenzia o un altro ente agisce per conto di un Titolare del trattamento, allora è considerato un Responsabile del trattamento.

Tra gli esempi di responsabili del trattamento dei dati ci sono:

  • Un’agenzia esterna (ad esempio, un’azienda incaricata di smaltire le informazioni dei clienti)
  • Un provider cloud che memorizza dati personali
  • Qualsiasi fornitore di servizi che agisca per conto dell’utente e che abbia accesso ai dati personali di un cliente o di un dipendente

Leggi anche la guida Dummies al regolamento ePrivacy

Le mansioni del Responsabile del trattamento dei dati includono:

  • Decidere quali sistemi informatici o altri metodi utilizzare per raccogliere i dati personali.
  • Come conservare i dati personali
  • Sicurezza dei dati
  • Mezzi utilizzati per trasferire i dati da un’organizzazione all’altra
  • Mezzi utilizzati per recuperare i dati personali di alcuni individui
  • Garantire il rispetto del metodo alla base del programma di conservazione.
  • Mezzi utilizzati per cancellare/eliminare i dati

I Responsabili del trattamento dei dati sono soggetti a diversi nuovi obblighi ai sensi del GDPR, che includono il mantenimento di misure che assegnano livelli di sicurezza adeguati ai dati personali in relazione al rischio potenziale.

Gli incaricati del trattamento dei dati sono tenuti a rispettare le istruzioni dei responsabili del trattamento dei dati, a meno che tali istruzioni non siano in conflitto con il GDPR stesso.

Un Titolare del trattamento può essere anche un Responsabile del trattamento?

Esistono alcune aree grigie in cui le situazioni possono sovrapporsi, rendendo difficile distinguere se sei un Titolare o un Responsabile del trattamento dei dati. Tuttavia, l’ICO è chiaro nei suoi consigli e afferma che: “Un’organizzazione non può essere sia responsabile che incaricato del trattamento dei dati per la stessa attività di trattamento dei dati; deve essere l’uno o l’altro”.

Ciò significa che per stabilire quale organizzazione sia responsabile della protezione dei dati, è necessario esaminare il trattamento in questione e le organizzazioni coinvolte. È inoltre importante che, per quanto possibile, i sistemi e le procedure distinguano tra i dati “propri” dell’organizzazione e i dati che essa tratta per conto degli altri”.

Scopri anche cos’è un consenso valido ai sensi del GDPR

Per garantire la piena conformità al GDPR, le organizzazioni dovranno definire chiaramente ruoli e responsabilità per evitare di incorrere nella normativa. Se non sei sicuro della posizione della tua organizzazione, consulta un consulente legale per ulteriori chiarimenti.

MetaPrivacy è stato progettato per fornire un approccio ottimale alla conformità dei dati personali. Contattaci per avere maggiori informazioni su come possiamo aiutare la tua organizzazione a migliorare la sua struttura di conformità.

DISCLAIMER: Il contenuto e le opinioni contenute in questo blog hanno uno scopo puramente informativo. Non intendono costituire una consulenza legale o professionale di altro tipo e non devono essere considerati come sostitutivi di una consulenza specifica relativa a circostanze particolari, al Data Protection Act o a qualsiasi altra legislazione attuale o futura. MetaCompliance non si assume alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, né per eventuali perdite derivanti dall’aver fatto affidamento sui materiali contenuti in questo blog.