Cosa significa conseguire la conformità del GDPR?

In sostanza, la conformità al GDPR significa che un'organizzazione che rientra nell'ambito di applicazione del regolamento generale sulla protezione dei dati (GDPR) soddisfa i requisiti legali per il trattamento dei dati personali.

Il GDPR definisce gli obblighi che le organizzazioni devono rispettare e che limitano le modalità di utilizzo dei dati personali. Inoltre, definisce anche otto diritti degli interessati che garantiscono diritti specifici per i dati personali delle persone. In ultima analisi, il regolamento conferisce alle persone una maggiore autonomia sui propri dati personali e sul loro utilizzo.
 

Panoramica del GDPR

Il GDPR è la legge sulla privacy più severa attualmente in vigore a livello internazionale. Creato dall'Unione Europea (UE), regola le modalità con cui le organizzazioni raccolgono, gestiscono e proteggono i dati personali dei residenti nell'UE. È entrato in vigore il 25 maggio 2018 ed è un regolamento vincolante scritto direttamente nelle leggi degli Stati membri. Il GDPR è stato concepito per rafforzare i diritti in materia di privacy dando agli interessati il controllo su come i loro dati personali vengono ottenuti, utilizzati e condivisi.

Il GDPR è stato creato con tre obiettivi principali:

1. stabilire e proteggere i diritti fondamentali in materia di privacy delle persone;
   
2. unificare le leggi sulla privacy in tutta l'UE, sostituendo le leggi dei 28 Stati membri e la direttiva sulla protezione dei dati del 1995;
   
3. adattare le leggi sulla privacy affinché riflettano i cambiamenti avvenuti nel mondo dei dati personali degli ultimi 25 anni.
   

Terminologia del GDPR

Prima di entrare nei dettagli, definiamo alcuni termini di base del GDPR.

• Interessato: qualsiasi persona che risiede formalmente nell'UE e i cui dati sono stati raccolti, conservati o trattati da un titolare o da un responsabile del trattamento.
  
• Titolare del trattamento: l'entità che determina la finalità e la base giuridica del trattamento dei dati personali.
  
• Responsabile del trattamento: la persona che collabora con il titolare del trattamento ed è responsabile del trattamento dei dati personali per suo conto.
  
• Trattamento: qualsiasi operazione eseguita sui dati personali, automatizzata o manuale, inclusa la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, ecc.
  
• Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato") relativa alla sua vita privata, professionale o pubblica. Può trattarsi di nome, indirizzo e-mail, foto o estratti conto bancari.
  
• Ottenimento del consenso dell'interessato: qualsiasi "manifestazione libera, specifica, informata e inequivocabile" con cui l'interessato acconsente al trattamento dei propri dati personali. Gli interessati possono esprimere il consenso tramite una dichiarazione o un'azione affermativa.
   

Il GDPR si applica alla tua organizzazione?

Per determinare la copertura del GDPR, considera l'"ambito materiale" (se la tua attività di trattamento è regolamentata dal GDPR) e l'"ambito territoriale" (se ti trovi in ​​una giurisdizione in cui si applica il GDPR).
 

Il GDPR si applica alle aziende statunitensi?

Le organizzazioni statunitensi potrebbero rientrare nell'ambito di applicazione del GDPR. Per determinare se la tua organizzazione debba conformarsi, applica l'analisi descritta di seguito per determinare l'ambito di applicazione materiale e territoriale della legge. In breve, la tua organizzazione probabilmente rientra nell'ambito di applicazione del GDPR se tratta, ovvero raccoglie, registra, struttura, conserva, modifica, utilizza, divulga, cancella, ecc. i dati personali di un residente nell'UE per lo scambio di beni o servizi o per monitorare il comportamento dei cittadini dell'UE.
 

Ambito materiale

Il GDPR si applica al trattamento dei dati personali effettuato interamente o parzialmente con mezzi automatizzati. Si applica anche al trattamento che non utilizza mezzi automatizzati, ma che costituisce o è destinato a far parte di un archivio. Queste disposizioni riguardano la maggior parte delle attività che le organizzazioni svolgono con i dati, tra cui la raccolta, la registrazione, l'archiviazione, l'accesso, la consultazione, l'utilizzo, l'analisi, l'interconnessione, la divulgazione o la cancellazione dei dati personali.
 

Ambito territoriale: il GDPR si applica al di fuori dell'UE?

Il GDPR si applica al trattamento dei dati personali da parte di un titolare o responsabile del trattamento stabilito nell'UE, indipendentemente dal luogo in cui avviene il trattamento.

Il regolamento si applica anche a livello extraterritoriale a un titolare o responsabile del trattamento non stabilito nell'UE qualora offra beni o servizi a interessati nell'UE o ne monitori il comportamento. Ad esempio, il GDPR si applica a un sito web di shopping online statunitense che attrae clienti nell'UE e offre loro beni. I beni e i servizi offerti potrebbero essere gratuiti. Questo potrebbe riguardare agenzie governative straniere o organizzazioni no-profit. Ad esempio, il GDPR si applica alla pagina informativa sui viaggi di un governo statale statunitense che raccoglie informazioni personali, come gli indirizzi IP, dai visitatori dell'UE che accedono alle informazioni di viaggio gratuite.
 

Quali sono i diritti degli interessati garantiti dal GDPR?

Il GDPR delinea otto diritti fondamentali degli interessati, oltre al diritto di revoca del consenso. Analizziamoli più da vicino. 

1. Diritto di essere informato (dall'articolo 12 al 14 del GDPR):
   gli interessati hanno il diritto di sapere come vengono raccolti e utilizzati i loro dati personali.
2. Diritto di accesso (articolo 15 del GDPR):
   gli interessati hanno il diritto di visionare e richiedere copie dei propri dati personali.
   
3. Diritto di rettifica (articolo 16 del GDPR):
   gli interessati hanno il diritto di richiedere l'aggiornamento o la correzione di dati personali inesatti o obsoleti.
   
4. Diritto all'oblio/diritto alla cancellazione (articolo GDPR 17 del GDPR):
   gli interessati hanno il diritto di richiedere la cancellazione dei propri dati personali. Nota: questo non è un diritto assoluto e può essere soggetto a esenzioni in base a determinate leggi.
   
5. Diritto alla portabilità dei dati (articolo 20 del GDPR):
   gli interessati hanno il diritto di richiedere che i propri dati siano trasferiti a un altro titolare del trattamento o forniti a loro. I dati devono essere forniti in un formato elettronico leggibile da dispositivo automatico.
   
6. Diritto di limitazione del trattamento (articolo 18):
   gli interessati hanno il diritto di richiedere la limitazione o la cancellazione dei propri dati personali.
   
7. Diritto di revoca del consenso (articolo 7 del GDPR):
   gli interessati hanno il diritto di revocare il consenso al trattamento dei propri dati personali in qualsiasi momento.
   
8. Diritto di opposizione (articolo 21 del GDPR):
   gli interessati hanno il diritto di opporsi al trattamento dei propri dati personali.
   
9. Diritto di opposizione al trattamento automatizzato (articolo 22 del GDPR):
   gli interessati hanno il diritto di opporsi a decisioni prese esclusivamente sulla base del trattamento automatizzato o della profilazione dei propri dati.
    

Lista di controllo relativa alla conformità al GDPR in 11 fasi

Ora che abbiamo compreso le basi, analizziamo i passaggi che la tua organizzazione può intraprendere per conformarsi al GDPR. Sebbene la conformità al GDPR possa variare da un'organizzazione all'altra, esistono passaggi specifici che ogni organizzazione può intraprendere fin da ora per creare un programma di tutela della privacy conforme al GDPR:

1. crea un piano d'azione basato sui 7 principi del GDPR;
   
2. genera un registro dei trattamenti ai sensi dell'articolo 30;
   
3. esegui valutazioni d'impatto sulla protezione dei dati (DPIA) e implementa la Privacy by Design (PbD);
   
4. crea un quadro di riferimento per la gestione del consenso;
   
5. soddisfa i requisiti di conformità sui cookie per la privacy dell'UE;
   
6. crea un portale per le richieste relative ai diritti dell'interessato;
   
7. esamina e correggi i rischi legati ai titolari del trattamento;
   
8. prepara un flusso di lavoro per la segnalazione degli incidenti e la gestione delle violazioni;
   
9. rivedi i meccanismi di trasferimento transfrontaliero dei dati;
   
10. implementa corsi di formazione sulla conformità al GDPR;
    
11. nominare un responsabile della protezione dei dati (Data Protection Officer, DPO).

 Diamo un'occhiata più da vicino a ogni passaggio.
 

Fase 1: crea un piano d'azione basato sui 7 principi del GDPR

Il GDPR stabilisce sette principi fondamentali che devono guidare il tuo approccio al trattamento dei dati personali.

• Liceità, correttezza e trasparenza: ogni attività di trattamento dei dati deve avere una base giuridica. Il trattamento dei dati non deve essere inaspettato e gli interessati devono essere informati del trattamento.
  
• Limitazione delle finalità: definisci chiaramente le finalità per cui tratti i dati personali e registrale e specificale nelle informative sulla privacy destinate agli interessati. Tratta i dati solo per le finalità identificate.
  
• Minimizzazione dei dati: tratta i dati personali solo nella misura necessaria.
  
• Accuratezza: assicurati che i dati personali trattati siano accurati e aggiornati. Correggi o cancella i dati personali inesatti il ​​prima possibile.
  
• Limitazione dell'archiviazione: conserva i dati personali solo se ne hai bisogno.
  
• Integrità e riservatezza (sicurezza): adotta misure di sicurezza adeguate per proteggere i dati personali da elaborazioni non autorizzate o illecite, nonché da perdite, distruzioni o danneggiamenti accidentali.
  
• Responsabilizzazione: assumiti la responsabilità del trattamento dei dati personali. Adotta misure e registri adeguati per dimostrare la conformità ai principi di trattamento dei dati.
  

Il GDPR richiede l'implementazione di misure tecniche e organizzative adeguate per attuare efficacemente i principi di protezione dei dati e tutelare i diritti degli interessati. Questo concetto è definito "protezione dei dati fin dalla progettazione e per impostazione predefinita". In altre parole, devi integrare la protezione dei dati nelle attività di trattamento e nelle pratiche aziendali fin dalla fase di progettazione e durante l'intero ciclo di vita del trattamento.
 

Articoli del GDPR

• Articolo 5: principi relativi al trattamento dei dati personali
  
• Articolo 24: responsabilità del titolare del trattamento
   

Fase 2: genera un registro dei trattamenti ai sensi dell'articolo 30

Il GDPR impone alle organizzazioni di conservare e aggiornare i registri delle proprie attività di trattamento. La mappatura dei dati è il processo di generazione e mantenimento di un inventario dei flussi di dati di un'organizzazione.

Sebbene il GDPR non menzioni esplicitamente la mappatura dei dati, richiede ai titolari e ai responsabili del trattamento (B2B e B2C) di tenere un inventario delle attività di trattamento. L'articolo 30 del GDPR prevede requisiti molto specifici, pertanto, anche se un'organizzazione ha già eseguito la mappatura dei dati, deve essere comunque aggiornata o rielaborata per soddisfare i requisiti del GDPR.
 

Articoli del GDPR

• Articolo 6: legalità del trattamento
  
• Articolo 30: registro delle attività di trattamento (primarie)
  
• Articolo 32: sicurezza del trattamento
   

Fase 3: esegui valutazioni d'impatto sulla protezione dei dati (DPIA) e implementa la Privacy by Design (PbD)

Il GDPR impone ai titolari del trattamento di condurre una valutazione d'impatto sulla protezione dei Dati (DPIA) quando le operazioni di trattamento possono presentare un rischio elevato per gli individui. Molti dettagli del GDPR rendono questa procedura più complessa rispetto a un questionario standard. Ad esempio, richiede il coinvolgimento di un responsabile della protezione dei dati (Data Protection Officer, DPO) in flussi di lavoro specifici, il monitoraggio delle attività di mitigazione, la documentazione del rischio in termini di danno per l'individuo e la consultazione degli interessati.

In pratica, le organizzazioni devono implementare un questionario di screening semplificato per analizzare il rischio e determinare se sia necessaria una DPIA completa. I requisiti relativi al flusso di lavoro e alla documentazione, nonché le aspettative relative all'esperienza utente e all'integrazione degli utenti aziendali, richiedono l'utilizzo di strumenti specializzati per l'implementazione del GDPR.

Se correttamente implementate, le DPIA possono rappresentare un approccio efficace per soddisfare i requisiti di protezione dei dati fin dalla progettazione e di default.
 

Articoli del GDPR

• Articolo 25: protezione dei dati fin dalla progettazione e di default
  
• Articolo 35: valutazioni d'impatto sulla protezione dei dati
  
• Articolo 36: consultazione preventiva
   

Fase 4: crea un quadro di riferimento per la gestione del consenso

Il GDPR stabilisce standard più elevati per le organizzazioni che trattano i dati sulla base del consenso. Ad esempio, il consenso deve essere specifico, chiaro e redatto in un linguaggio semplice. Non può essere nascosto in note legali o raggruppato in più note e deve essere facile da revocare. Inoltre, le organizzazioni devono essere in grado di dimostrare come è stato ricevuto il consenso.
 

Articoli del GDPR

• Articolo 7: condizioni relative al consenso
   

Fase 5: soddisfa i requisiti di conformità sui cookie per la privacy dell'UE;

Secondo la direttiva sulla privacy e le comunicazioni elettroniche, le organizzazioni devono informare gli utenti se utilizzano cookie e spiegare a cosa servono e i motivi per cui lo fanno. Gli utenti devono esprimere il proprio consenso in un processo che consenta all'organizzazione di dimostrare che il consenso è stato prestato in modo attivo e chiaro. Inoltre, gli utenti devono anche essere informati sulle diverse funzioni dei cookie utilizzati sul sito web e sull'identità delle organizzazioni che li distribuiscono e utilizzano i dati raccolti tramite tali cookie. Tuttavia, esiste un'eccezione per i cookie essenziali per fornire un servizio online su richiesta dell'utente. Ad esempio, questi cookie potrebbero essere utilizzati per ricordare gli articoli in un carrello della spesa online o per garantire la sicurezza nell'online banking. Le stesse regole si applicano ad altri tipi di tecnologie utilizzate per archiviare o accedere a informazioni sul dispositivo di un utente, come i kit di sviluppo software (SDK) per app mobili.

I requisiti della direttiva sulla privacy e le comunicazioni elettroniche si applicano indipendentemente dal fatto che i cookie elaborino dati anonimi o personali. Anche se i dati dei cookie sono anonimi, il consenso dell'utente per la loro raccolta deve soddisfare gli standard del GDPR. Se i dati non sono anonimi, l'organizzazione deve inoltre conformarsi a ulteriori norme del GDPR per la protezione dei dati personali, come l'esecuzione di una DPIA e la registrazione dell'attività di trattamento nei propri archivi.

Il GDPR ha influenzato la stesura del regolamento sulla privacy e le comunicazioni elettroniche, che sostituirà l'attuale direttiva e si allineerà maggiormente al GDPR. In base alla bozza di questo regolamento, le organizzazioni dovranno affrontare sanzioni più severe e misure normative più mirate.
 

Articoli del GDPR

• Articolo 7: condizioni relative al consenso
  
• Articolo 21: diritto di opposizione
  
• Direttiva e regolamento sulla privacy e le comunicazioni elettroniche
   

Fase 6: crea un portale per le richieste relative ai diritti dell'interessato;

Il GDPR conferisce agli interessati diritti specifici, come la portabilità dei dati, l'accesso, la cancellazione ("diritto all'oblio") e la rettifica. Inoltre, vi sono requisiti specifici di conservazione dei dati relativi ai tempi di risposta, alla possibilità di richiedere una proroga, alla convalida dell'identità e alla trasmissione sicura delle risposte ai singoli interessati. Un portale automatizzato che possa facilitare l'acquisizione e la selezione di queste richieste è fondamentale per la gestione, il monitoraggio e la rendicontazione delle richieste DSAR.
 

Articoli del GDPR

• Articolo 7: condizioni relative al consenso
  
• Articolo 12: informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato
  
• Articolo 13: informazioni da fornire qualora i dati personali siano raccolti presso l'interessato
  
• Articolo 14: informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato
  
• Articolo 15: diritto di accesso dell'interessato
  
• Articolo 16: diritto di rettifica
  
• Articolo 17: diritto alla cancellazione (''diritto all'oblio'')
  
• Articolo 18: diritto di limitazione di trattamento
  
• Articolo 19: obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
  
• Articolo 20: diritto alla portabilità dei dati
  
• Articolo 21: diritto di opposizione
   

Fase 7: esamina e correggi i rischi legati ai titolari del trattamento

Il GDPR attribuisce al titolare del trattamento la responsabilità delle azioni o delle violazioni del responsabile del trattamento. Per adottare una posizione difendibile nel caso in cui un responsabile del trattamento subisca una violazione, è fondamentale analizzare i trasferimenti di dati e gli obblighi contrattuali del responsabile del trattamento con lo stesso livello di diligenza delle attività di trattamento interne. Questo approccio consente inoltre alle organizzazioni di determinare rapidamente quali dati siano stati interessati dalla violazione.
 

 Articoli del GDPR

• Articolo 28 (dal paragrafo 1 al 3): responsabile del trattamento
  
• Articolo 24 (paragrafo 1): responsabilità del titolare del trattamento
  
• Articolo 29: trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
  
• Articolo 46 (paragrafo 1): trasferimento soggetto a garanzie adeguate
   

Fase 8: prepara un flusso di lavoro per la segnalazione degli incidenti e la gestione delle violazioni

Il GDPR prevede rigorosi obblighi di notifica: le organizzazioni devono notificare all'autorità di controllo entro 72 ore una violazione dei dati e, se la violazione può causare situazioni ad alto rischio per gli individui, devono notificare anche gli individui interessati. È fondamentale che le organizzazioni stabiliscano un processo sistematico per conformarsi a tali obblighi.
 

Articoli del GDPR

• Articolo 33: notifica di una violazione dei dati personali all'autorità di controllo
  
• Articolo 34: comunicazione di una violazione dei dati personali all'interessato
   

Fase 9: rivedi i meccanismi di trasferimento transfrontaliero dei dati

Il GDPR richiede lo stesso livello di protezione per i dati personali trasferiti al di fuori dello Spazio Economico Europeo (SEE). Pertanto, le organizzazioni devono verificare e garantire di disporre di meccanismi adeguati per i trasferimenti transfrontalieri di dati.

La prima cosa da considerare quando si trasferiscono dati personali a un Paese terzo è se sia stata adottata una "decisione di adeguatezza". Ciò significa che la Commissione europea ha stabilito che un Paese terzo o un'organizzazione internazionale fornisce un livello adeguato di protezione dei dati. Tuttavia, tale decisione è soggetta a revisione da parte della Commissione e può essere revocata, come ad esempio nel caso dello scudo UE-USA per la privacy. Un altro esempio è la decisione della Commissione europea di concedere al Regno Unito due decisioni di adeguatezza dopo la Brexit.

In assenza di una decisione di adeguatezza, il GDPR consente il trasferimento dei dati se il titolare o il responsabile del trattamento ha implementato "garanzie appropriate". La garanzia più comunemente utilizzata sono le "clausole contrattuali tipo" (Standard Contractual Clauses, SCC), che impongono obblighi all'esportatore e all'importatore di dati e garantiscono diritti agli interessati.

Il trasferimento dei dati è ancora possibile anche in assenza di una decisione di adeguatezza o di garanzie adeguate. In questo caso, le organizzazioni possono avvalersi di una deroga, come il consenso esplicito dell'interessato o un trasferimento necessario per l'esecuzione di un contratto. Tuttavia, questa soluzione è sconsigliata poiché, in assenza di garanzie adeguate, il rischio di violazione dei dati aumenta.
 

Articoli del GDPR

• Articolo 44: principio generale per il trasferimento
  
• Articolo 45: trasferimento sulla base di una decisione di adeguatezza
  
• Articolo 46: trasferimento soggetto a garanzie adeguate
  
• Articolo 47: norme vincolanti d'impresa
  
• Articolo 49: deroghe in specifiche situazioni
   

Fase 10: implementa corsi di formazione sulla conformità al GDPR

Il GDPR impone alle organizzazioni di nominare un responsabile della protezione dei dati per monitorare la conformità al regolamento, anche attraverso la sensibilizzazione e la formazione del personale. Le organizzazioni devono fornire al personale una formazione iniziale e di aggiornamento. Dovrebbe inoltre essere predisposto un meccanismo per registrare le sessioni di formazione a dimostrazione della conformità.
 

Articoli del GDPR

• Articolo 39: compiti del responsabile della protezione dei dati
  
• Articolo 47: norme vincolanti d'impresa
   

Fase 11:  nominare un responsabile della protezione dei dati (Data Protection Officer, DPO).

Il GDPR impone alle organizzazioni di nominare un responsabile della protezione dei dati (DPO) se sono autorità o enti pubblici, se le loro attività principali comportano il monitoraggio su larga scala, regolare e sistematico degli individui (ad esempio, il monitoraggio del comportamento online) o se le loro attività principali comportano il trattamento su larga scala di categorie particolari di dati o dati relativi a condanne penali e reati.

Il DPO ha la responsabilità di garantire la conformità al GDPR e assiste le organizzazioni nel monitoraggio della conformità interna, informando e fornendo consulenza sugli obblighi in materia di protezione dei dati, fornendo consulenza in merito alle valutazioni d'Impatto sulla protezione dei dati (DPIA) e fungendo da punto di contatto per gli interessati e le autorità di protezione dei dati.
 

Articoli del GDPR

• Articolo 37: designazione del responsabile della protezione dei dati
  
• Articolo 38: posizione del responsabile della protezione dei dati
  
• Articolo 39: compiti del responsabile della protezione dei dati
  
  

Come OneTrust può essere d'aiuto per il conseguimento della conformità al GDPR

OneTrust Privacy Automation ti offre gli strumenti necessari per creare un programma completo per la confornità al GDPR. Grazie a questa soluzione potrai:

• condurre valutazioni d'impatto sulla privacy (PIA) specifiche per il GDPR, valutazioni d'impatto sulla protezione dei dati (DPIA) e altre valutazioni interne sulla privacy e sulla sicurezza, come la Privacy by Design (PbD);
• mantenere una mappa aggiornata dei flussi di dati e dei trasferimenti transfrontalieri, completare registri dei trattamenti e utilizzare i modelli predefiniti ai sensi dell'articolo 30;  
• implementare un piano di risposta agli incidenti, gestire il ciclo di vita degli incidenti e ricevere una guida automatica alle notifiche delle violazioni che copre centinaia di leggi a riguardo; 
• gestire l'intero flusso di lavoro delle richieste DSAR, dall'acquisizione al compimento, con flussi di lavoro predefiniti e linee guida per il GDPR e altre normative sulla privacy che richiedono diritti alla privacy; 
• eseguire la scansione dei tuoi siti web per identificare cookie e tracker e generare banner dei cookie, centri preferenze e policy in base a regioni specifiche; 
• raccogliere, centralizzare e sincronizzare i dati sul consenso degli utenti su canali, piattaforme e sistemi.

Richiedi una demo per saperne di più su come OneTrust Privacy Automation può aiutarti a creare un programma per la conformità al GDPR.