Privacy by default
Il titolare del trattamento deve adottare misure tecniche e organizzative per trattare i dati personali che siano “già predefinite” allo scopo di trattare solo i dati necessari e detenerli solamente per il periodo di conservazione necessario.
Privacy by design
All’atto di organizzare attività operative, prodotti, servizi eventi funzionali agli scopi dell’Organizzazione determinare quali sono i trattamenti di dati personali ed organizzarli in maniera tale che, prima di essere effettuati, risultino conformi al GDPR e già controllati da misure tecniche ed organizzative.
Adozione delle misure tecniche ed organizzative
Adottare misure tecniche e organizzative adeguate al fine di garantire la sicurezza dei dati degli interessati tenendo conto dei rischi presenti nel trattamento. Essere in grado di dimostrare all’interessato e a eventuali terzi la conformità del trattamento al GDPR e l’efficacia delle misure intraprese.
Rispettare i diritti dell’interessato
Garantire agli interessati i diritti di accesso, di rettifica, di cancellazione di limitazione del trattamento, di portabilità dei dati, di opposizione al trattamento, con gli eventuali connessi obblighi di comunicazione.
Informativa per gli interessati
Provvedere a informare l’interessato relativamente al trattamento che riguarda i suoi dati personali attraverso l’Informativa che deve essere redatta in maniera chiara con un linguaggio semplice in maniera tale da permetterne l’immediata comprensione e favorire l’esercizio dei diritti.
Trasparenza nella gestione di trattamenti
Adottare procedure e documentazione adeguate affinché l’interessato riceva informazioni e comunicazioni chiare dei trattamenti che si applicano ai suoi dati personali. Favorire l’esercizio dei diritti da parte dell’interessato. Provvedere a fornire il riscontro a eventuali sue istanze senza ingiustificato ritardo.
Acquisizione del consenso necessario e accountability
Verificare se il consenso è necessario ed essere in grado di dimostrare che il consenso è stato effettivamente prestato. Evidenziare invece i casi di esonero.
Finalità e principi del trattamento dei dati personali
-
Determinare finalità esplicite e legittime
-
Assicurare che i dati: siano limitati rispetto alle necessità del trattamento, adeguati, pertinenti, esatti ed aggiornati e trattati in condizioni di sicurezza.
-
Trattare i dati personali in modo lecito, corretto e trasparente nei confronti dell’interessato.
Responsabilità dei contitolari del trattamento
I contitolari del trattamento, nell’accordo, devono determinare in modo trasparente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa vigente. Gli obblighi e le cautele sono indicati di seguito:
I contitolari determinano congiuntamente le finalità e i mezzi ai sensi dell’art.26 del Regolamento Europeo 2016/679 e all’interno dell’accordo specificano in maniera chiara:
-
La descrizione del trattamento
-
Le finalità del trattamento
-
Gli interessati
-
Categorie dei dati trattati
-
Categorie dei destinatari
-
Termini ultimi per la cancellazione dei dati
-
Esistenza di trasferimenti di dati a paesi terzi ed a organizzazioni internazionali
-
Garanzie di trasferimento all’estero
Quando, in riferimento ai dati trattati, ci sono più titolari del trattamento, il GDPR prevede l’adempimento dell’accordo di contitolarità.
Nei casi in cui gli interessati lasciano i propri dati personali per accedere ad un servizio erogato congiuntamente da due entità differenti, i titolari dei trattamenti si configurano come “contitolari”.
Il consenso dei minori a fronte di servizi ICT
Il titolare che offre eventuali servizi di tecnologia (ICT) per i quali si trattano dati personali di minori devono acquisire (ove necessario) il consenso del minore che abbia compiuto 16 anni. Se il trattamento riguarda minori di età inferiore ai 16 anni, il consenso deve essere acquisito presso coloro che ne hanno la responsabilità genitoriale.
Gestire divieti ed eccezione di trattamento dei dati “particolari”
Il titolare non può trattare dati particolari dell’interessato quali l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale, l’orientamento sessuale i dati genetici e biometrici. Il titolare deve gestire le eccezioni al divieto, nei casi in cui l’interessato presti il consenso, i dati sono trattati sono necessari al contratto di lavoro oppure devono essere trattati per esigenze di sicurezza, o trattati per tutelare un interesse vitale dell’interessato. Tali dati personali possono essere trattati se sono stati resi pubblici dall’interessato.
Trattamento di dati relativi a condanne penali e reati
Il titolare del trattamento deve garantire che il trattamento di eventuali dati ‘giudiziari’ avvenga sotto il controllo della autorità pubblica oppure a seguito di un’autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
Processi decisionali automatizzati
Il titolare del trattamento deve garantire il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che “produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona” attraverso le operazioni di profilazione a meno che l’interessato non rilasci il consenso oppure il trattamento risulti necessario per l’esecuzione di un contratto con l’interessato, o sia autorizzato dal diritto dell’Unione o del singolo Stato membro.
Il rappresentante del Titolare
Quando si trattano dati di persone che si trovano nell’Unione Europea, il titolare che non si trova nell’Unione deve designare un proprio rappresentante nell’Unione. Tale rappresentante assume il ruolo di interlocutore della autorità di controllo e degli interessati che si trovano nell’Unione.
Il responsabile del trattamento
Se un’Organizzazione decide di affidare un trattamento ad un responsabile esterno, Il titolare del trattamento deve conferire tale incarico ad un soggetto o ad un’Organizzazione che presenti garanzie sufficienti ad attuare le misure tecniche e organizzative del trattamento.
Il registro dei trattamenti
Se un’organizzazione ha almeno 250 dipendenti oppure tratta i dati personali attraverso delle attività non occasionali che risultino pericolose per i diritti e le libertà degli interessati o tratta dati sensibili, genetici, biometrici, giudiziari, il titolare è tenuto a documentare la mappa dettagliata di tutti i trattamenti.
Obbligo di cooperazione con le autorità di controllo
Il titolare del trattamento è tenuto a cooperare con l’autorità di controllo, in occasioni di richieste da parte di quest’ultima.
Data breach e notificazioni al Garante
In presenza di episodi, che vedono una violazione riguardante la sicurezza di dati personali, in cui vengono messi a rischio i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a farne notifica al Garante entro 72 ore e comunque senza ingiustificato ritardo senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza.
Violazioni di dati e comunicazioni agli interessati
In occasione di violazione della sicurezza dei dati personali nella quale vengono messi a rischio i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo.
Il risarcimento dei danni
I danni materiali o immateriali causati da comportamenti che violano il GDPR devono essere risarciti dal titolare del trattamento dannoso. Questi può esonerarsi da tale responsabilità allorché riesca a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
Valutazione di impatto e consultazione preventiva con il Garante
Il titolare deve valutare gli impatti di quei trattamenti che risultano rischiosi per i diritti e le libertà delle persone fisiche. Se a seguito della valutazione di impatto tali rischi dovessero risultare elevati, il titolare, prima di procedere al trattamento, deve consultarsi con l’autorità di controllo e applicare le misure che questa prescrive.
Nomina del DPO (Responsabile per la protezione dei dati)
Se l’organizzazione effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure effettua “come attività principale” trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari, il Titolare del trattamento deve nominare il DPO (Responsabile della protezione dei dati). Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza in merito alla privacy e costituisce l’interlocutore dell’autorità di controllo.
Codici di condotta e certificazioni
Il titolare del trattamento può fare adesione a codici di condotta o far certificare il proprio sistema di gestione per la privacy (che prevede un’implementazione sistemica dei trattamenti e delle misure tecniche ed organizzative) allo scopo di dimostrare la conformità dei trattamenti dei dati personali ai requisiti stabiliti dal GDPR.
Cautele per il trasferimento dei dati in Paesi terzi
Il trasferimento di dati personali verso un Paese terzo o verso un’Organizzazione internazionale può essere effettuato nel rispetto di specifiche condizioni affinché non sia compromessa la protezione delle persone fisiche garantita dal Regolamento.