È difficile credere che ci stiamo avvicinando all'anniversario di un anno del GDPR. Dopo un periodo di transizione di due anni, il GDPR è entrato in vigore il25 maggio 2018 e ha trasformato completamente il modo in cui le organizzazioni si avvicinano alla privacy dei dati.
La legislazione è stata introdotta per riflettere il nostro mondo sempre più digitalizzato e riconoscere i diritti degli individui riguardo all'uso dei loro dati personali.
Molte organizzazioni hanno speso molto tempo e sforzi per assicurarsi di essere conformi alla nuova legislazione, tuttavia per altre è stato un viaggio più difficile e arduo. Dimostrare la conformità con il GDPR è un processo continuo e ci sono molti aspetti della legislazione che richiedono ancora chiarimenti e che possono confondere le organizzazioni.
Due termini che sentiamo costantemente in relazione al GDPR sono "Controllori di dati" e "Elaboratori di dati". È importante capire la distinzione tra questi due termini perché determinerà le vostre responsabilità sotto la legislazione.
La distinzione tra un controllore e un responsabile del trattamento dei dati può avere conseguenze significative nel mondo reale. Se un'organizzazione è coinvolta nell'elaborazione dei dati, è vitale stabilire ruoli e responsabilità in una fase iniziale per evitare qualsiasi confusione in caso di violazione dei dati. Questo aiuterà a garantire che non ci siano lacune nelle responsabilità e che le organizzazioni possano affrontare questi problemi in modo efficiente ed efficace.
Cosa sono i dati personali?
Se la vostra organizzazione tratta dati personali, allora il GDPR si applica a voi. L'UE definisce i "dati personali" come qualsiasi informazione che può essere utilizzata direttamente o indirettamente per identificare un individuo (soggetto dei dati). Questo include tutto, dal nome, all'indirizzo e-mail, all'indirizzo IP e alle immagini. Include anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere trattati per identificare un individuo.
Siete un "Controllore di dati" o un "Elaboratore di dati"?
Se la vostra organizzazione determina gli scopi e il modo in cui i dati personali sono trattati, allora è considerata un controllore di dati.
I controllori di data giocano un ruolo chiave nella conformità al GDPR a causa dei dati personali di clienti e dipendenti che conservano e raccolgono.
I doveri del controllore dei dati includono:
- Facilitare una maggiore trasparenza nel trattamento dei dati sulla privacy in relazione alle richieste del Soggetto dei Dati
- Garantire che i Soggetti dei dati siano gestiti entro le scadenze definite dal GDPR
- Effettuare valutazioni sulla privacy e nominare i DPO
- Notifica alle autorità di vigilanza delle violazioni dei dati entro 72 ore dalla scoperta della violazione
- Monitoraggio e risposta ai cambiamenti dei mandati di conformità
- Sostituzione di campi di dati identificativi con pseudonimi e crittografia dei dati personali
- Mantenere le registrazioni del trattamento dei dati personali tramite un registro dei dati personali
- Gestire e governare l'interazione con terzi in relazione al trattamento dei dati personali
Chi è un responsabile del trattamento dei dati e quali sono le sue responsabilità?
Se una persona, un'organizzazione, un'agenzia o un altro ente agisce per conto di un controllore di dati, allora è considerato un responsabile del trattamento.
Esempi di un elaboratore di dati includono:
- Un'agenzia esterna (es: un'azienda responsabile dello smaltimento delle informazioni dei clienti)
- Un fornitore di cloud che memorizza dati personali
- Qualsiasi fornitore di servizi che agisce per suo conto con accesso ai dati personali di un cliente o dipendente
Leggi anche la guida Dummies al regolamento ePrivacy
I compiti dell'elaboratore di dati includono:
- Decidere quali sistemi informatici o altri metodi usare per raccogliere dati personali
- Come conservare i dati personali
- Sicurezza dei dati
- Mezzi usati per trasferire dati da un'organizzazione all'altra
- Mezzi utilizzati per recuperare i dati personali di alcuni individui
- Garantire il rispetto del metodo alla base del programma di conservazione
- Mezzi usati per cancellare/eliminare i dati
I responsabili del trattamento dei dati sono soggetti a diversi nuovi obblighi ai sensi del GDPR, che includono il mantenimento di misure che assegnano livelli adeguati di sicurezza per i dati personali rispetto al rischio potenziale.
I responsabili del trattamento dei dati sono tenuti a rispettare le istruzioni dei responsabili del trattamento dei dati, a meno che queste istruzioni non siano in conflitto con il GDPR stesso.
Un controllore di dati può essere anche un elaboratore di dati?
Ci sono alcune aree grigie in cui le situazioni possono sovrapporsi rendendo difficile distinguere se si è un controllore o un elaboratore di dati. Tuttavia, l'ICO è chiaro nei suoi consigli affermando che: "Un'organizzazione non può essere sia controllore che elaboratore di dati per la stessa attività di trattamento dei dati; deve essere uno o l'altro.
Ciò significa che al fine di stabilire quale organizzazione ha la responsabilità della protezione dei dati per quali dati, è necessario esaminare il trattamento in questione, così come le organizzazioni coinvolte. È anche importante che, per quanto possibile, i sistemi e le procedure distinguano tra i dati "propri" dell'organizzazione e i dati che tratta per conto degli altri".
Impara anche cos'è il consenso GDPR valido
Per garantire la piena conformità al GDPR, le organizzazioni dovranno definire chiaramente ruoli e responsabilità per evitare di cadere in fallo con la legislazione. Se non siete sicuri della posizione della vostra organizzazione, dovreste consultare un consulente legale per ulteriori chiarimenti.
MetaPrivacy è stato progettato per fornire l'approccio migliore alla conformità alla privacy dei dati. Contattaci per ulteriori informazioni su come possiamo aiutare la vostra organizzazione a migliorare la sua struttura di conformità.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale e non devono essere considerati o trattati come un sostituto di consigli specifici relativi a circostanze particolari, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.